DSM 6.x und darunter HTTPS mit gültigem SSL-Zertifikat über Sub-Domain und Weiterleitung/CNAME

[Senten]

Hallo zusammen,

Ich habe für meine DS415play nun ein SSL-Zertifikat von StartSSL installiert.
Das Zertifikat ist auf meine Domain example.de ausgestellt und ist gültig für die Subdomain dsm.example.de.

dsm.example.de ist eine Weiterleitung auf die DDNS senten.synology.me (ebenfalls ein Beispiel).

Navigiere ich nun mit einem beliebigen Browser zu dsm.example.de bekomme ich die Meldung, dass das Zertifikat nicht für senten.synology.me ausgestellt ist und die Verbindung unsicher sei.

Laut diversen Foren sollte mein Vorhaben in genau diesem Szenario funktionieren. Wo ist mein Fehler?

 

[Frogman]

Du darfst die Subdomain dms.example.de nicht an die DDNS weiterleiten (dann ändert sich nämlich auch die Adresszeile auf die DDNS), sondern Du musst die DDNS als CNAME-Record für die Subdomain eintragen - damit wird für die Auflösung der dms.example.de die IP der DDNS ermittelt und diese aufgerufen, dabei bleibt aber die dms.example.de in der Adresszeile stehen.

 

[Senten]

Vielen Dank für die Antwort.

Ich habe nun die Weiterleitung gelöscht und einen CNAME eingetragen dms.example.de -> senten.synology.me.

Bisher sind Tests aber nicht erfolgreich: Weiße Seite lädt und lädt und lädt und .....

edit: es endet mit einem Not Found - Error 404

 

[Frogman]

Das dauert etwas, bis die Anpassung im DNS-System durchgelaufen ist - probiere es heute abend um 22 Uhr nochmal.

 

[Senten]

Nagut dann lasse ich die Kiste mal replizieren. Bis dahin erstmal dankeschön ^^

edit: Und in dem Moment in dem ich schreibe, öffnet sich die Seite und schmeißt mir keine SSL-Warnung mehr raus Solved! Danke!

 

[Frogman]

Schön - dann mal weiter viel Spaß!

 

[Senten]

Der Spaß hat nicht lange auf sich warten lassen

Mit HTTPS kann DS Video nicht verbinden. Port 5001 ist offen (DSM funktioniert ja auch)

Fehlermeldung:

"Fehler bei der Verbindung zur DiskStation. Bitte überprüfen Sie die Netzwerkverbindung oder die IP-Adresse Ihrer DiskStation."

Host: dsm.example.de
HTTPS: Haken gesetzt
Zertifikat verifizieren: Haken nicht gesetzt allerdings schon ausprobiert.

 

[Frogman]

Schau mal in das Anwendungsportal - ist da der Alias für die Videostation aktiviert?
Ansonsten dort auch mal einen separaten SSL-Port festlegen, den Du dann an die URL anhängen musst in der App.

 

[Senten]

Tatsächlich, ich muss nur den Port 9008 manuell wählen. Ich dachte das wäre ausschließlich für die Weboberfläche der Video Station.
Auf der Synology-Support-Seite steht explizit, dass DS Video für HTTPs ausschließlich Port 5001 benötigt xD

Du bist mein Held, Frogman ^^

 

[Frogman]

Auf der Synology-Support-Seite steht explizit, dass DS Video für HTTPs ausschließlich Port 5001 benötigt xD

Das gilt nur für den Standard, wenn man keinen weiteren Port angibt und den Haken setzt. In jedem Fall sehr mißverständlich formuliert...
Schön, wenn's jetzt so läuft für Dich

 

[monschikadai]

Hallo zusammen,

hänge mich mal ran, in der Hoffnung das mir geholfen werden kann.

Versuche schon seit Tagen meine Videostation über https zu Laufen zu bringen.
- Zertifikat ist installiert, auf einen Domainnamen,
- die DS ist über dyndns verbunden.
- Zertifikat auf Ipad installiert als Profil

Kann mich da mal jemand an die Hand nehmen oder mir eine Empfehlung geben wo ich ein entsprechendes Tutorial finde!

Danke schon mal vorab

 

[Frogman]

..., - die DS ist über dyndns verbunden.

Du meinst, die DS hat eine DynDNS aktualisiert?

..., - Zertifikat auf Ipad installiert als Profil

Das soll was bedeuten?

 

[monschikadai]

Danke mal für die schnelle Antwort,

habe meinen Fehler gefunden. Im Anwendungsportal den HTTPS Port geändert und falschen Port im Router freigegeben.

1. Zertifikat in DS manuell installieren (selbstzertifiziert)
2. Dieses Zertifikat *.crt Datei als Profil auf Ipad und Iphone installieren
3. Protfreigabe im Router HTTPS wie in der Anwendung VideoStation freigeben

Nun funktioniert die Wiedergabe der Video`s auch über HTTPS, ohne den 5000 oder den 5001 dem bösen Netz zu Öffnen.

Die vorher beschriebenen Ausführung waren für mich eine Hilfe, daher nochmals Danke.

 

[Frogman]

...2. Dieses Zertifikat *.crt Datei als Profil auf Ipad und Iphone installieren

Dieser Punkt ist allerdings unsinnig. Das Installieren des Serverzertifikats auf dem Client bringt da nichts - Du musst, damit der Client bei einem selbstsignierten Zertifikat keine Warnung auswirft, das CA-Zertifikat im Client als vertrauenswürdige CA installieren.

 

[monschikadai]

Hmhmhmh, es funktioniert. Denke mal ich habe es so gemacht wie Du geschrieben hast.

Habe dazu etwas gefunden, das meine ich und Du wohl auch.


So importieren Sie SSL-Zertifikate

Auch unter iOS können Sie mit eigenen Zertifikaten sicher surfen und mailen

Bei manchen Web- und Maillösungen kommen individuelle SSL-Zertifikate zum Einsatz, mit denen sich die Server ausweisen. Diese Zertifikate gehören nicht zum Standardumfang von iOS und iPhone & Co geben beim SSL-geschützten Zugriff auf solche Server eine Warnmeldung aus. Die kann man zwar mit einem Fingertipp ignorieren, aber nach einem Neustart und erneutem Zugriff auf den entsprechenden Server wird die Warnung erneut angezeigt.

Um dieses lästige Verhalten zu ändern, können Sie individuelle Zertifikat (etwas das Ihres Unternehmens) manuell nachinstallieren. Das geht unter iOS wie folgt:

Lassen Sie sich die Zertifikatdatei per Mail zuschicken.
Rufen Sie die Mail auf Ihrem iPhone/iPad ab und öffnen Sie den Anhang.
Das Zertifikat wird als "nicht vertrauenswürdig" angezeigt.
Lassen Sie sich zur Kontrolle "Mehr Details" anzeigen.
Wenn Sie sicher sind, dass das Zertifikat korrekt ist, tippen Sie auf "installieren".

Das Zertifikat wird installiert und kann anschließend unter "Einstellungen > Allgemein > Profile" eingesehen werden.

 

[Frogman]

Ist dort sehr schlecht beschrieben. Ich verlinke hier mal bessere und verständlichere Artikel: hier geht's dezidiert um die Installation eines X.509-Rootzertifikats im iOS. Hier wird die Einbindung eines Rootzertifikats ebenfalls sehr gut beschrieben, darüber hinaus aber auch die Installation eines Identitätszertifikats (was bspw. ein Serverzertifikat auch darstellt), welches man zB. dann braucht, wenn man verschlüsselte oder signierte emails verschicken will.