DSM 6.x und darunter https - sichere Verbindung lokal

[chats]

Hallo,
ich habe mir ein Lets Encrypt Zertifikat erstellt und eingebunden.
Mit der entsprechenden konfiguration bekomme ich auch eine sichere Verbinndung über
das Internet mittels DYNDNS aufgebaut.

Nun benötigt die DS aber nicht zwingend immer Internet das heisst ich konfiguriere das Internet nur bei Bedarf.

Ich möchte nun gerne lokal über https auf meine DS draufkommen.
Wie ist da der Weg das ganze ohne Browserwarnungen zu realisieren. Denn auch beim bestätigen der Warnmeldungen
bleibt das Schloss im Browser ja schliesslich rot.
Ich möchte keine Diskussion anstossen ob es im lokalen LAN notwendig ist verschlüsselt zu arbeiten.
Ich möchte es lediglich einrichten, verstehen und nutzen.

Vielen Dank für eure Vorschläge.

 

[ottosykora]

wenn du mit der lokalen IP zugreifen willst, muss diese als alternative in dem Zertifikat aufgeführt werden.
Allerdings bin ich nicht sicher ob dies überhaupt möglich ist, als Hauptadresse ist bei LE eine numerische Adresse nicht erlaubt.


Was gibts du lokal als url ein?

 

[Fusion]

Lets Encrypt läßt keine IPs zu.
Es gibt zwar manche CA die IPs als Common Name erlauben, allerdings sind dies öffentliche IP Adressen.
Auf private Adressen ( https://de.wikipedia.org/wiki/Private_IP-Adresse ) wird dir keine CA eine Zertifikat ausstellen, außer du selbst vielleicht.

Der Weg fürs LAN hängt von der Anzahl und Art der Geräte ab.
Wenn du viele Geräte hast die alle im LAN per Domain die DS aufrufen lönnen sollen und du keinen Zugriff auf deren Konfiguration hast (Stichwort Hosts-Datei), dann bleibt nur der Weg einen lokalen DNS Server aufzusetzen, außer dein Router leitet dich beim Aufruf der Domain schon automatisch intern an die DS.

 

[ottosykora]

Lets Encrypt läßt keine IPs zu.

also auch nicht als Alias?

Ich dachte ev könnte so was gerade noch gehen

 

[Fusion]

Probiers aus... Ich hab es nicht verifiziert.

Aber da auch keine Domain zugelassen ist, die nicht von extern validiert werden kann, auch nicht als Subject Alternative Name, würde mich das extrem wundern.

 

[ottosykora]

ach ja, genau, da hast du Recht, geht wohl kaum, kann nicht validiert werden

(Werde ich bei nächstem LE versuchen zu verifizieren)

 

[chats]

Ist es denn nicht möglich auf einer DS eigene Zertifikate zu erstellen ohne das diese von ausserhalb verifiziert werden müssen?
Ich muss doch nicht zwingend ein Zertifikat von Lets Encryt nehmen.

 

[ottosykora]

natürlich kannst du

dann kannst du sogar den Zeritifikat der 'eigenen CA' auf dein PC importieren respektive in deinen Browser importieren und schon sieht alles grün aus.
Nur von aussen ist es dann immer noch ungültig und Benutzer die den CA Teil nicht importiert haben, werden immer noch ungültig Warnung haben.


Das ist dann der Zustand bevor du den LE installiert hast.

 

[chats]

Aber ich kann doch in der DS mehr als ein Zertifikat einfügen.
Wenn ich jetzt ein selbst erstelltes Zertifikat nehme und das in den Browsern importiere wäre es doch gültig für die lokale Benutzung.
Und wenn ich ein weiteres von Lets Encrypt hinzufüge könnte das doch für den Zugriff von außerhalb gültig sein.

Oder kann ich nur ein Zertifikat benutzen?

 

[ottosykora]

du musst ein als 'default' markieren
dieser wird dann verwendet

du kannst jedoch versuchen den original Zertifikat von Synology exportieren (der ist noch da) und dessen CA Teil in deinen Browser zu importieren und schauen ob sich das dann anders verhaltet.

Ich habe intern für alles 'exeption' in den Browsern und der LE naturgemäss nur extern verwendet.

 

[Fusion]

@chats - du kannst beliebig viele und verschiedene Zertifikate anfordern, installieren etc.
Was du nicht kannst ist für einen Dienst der auf sub.domain.de lauscht und ein entsprechendes Zertifikat z.B. von LE hat, noch ein anderes Zertifikat zuweisen, das auf 192.168.1.20 lautet und beim Aufruf von Innen gilt.
Ein eigenes Cert könntest du zwar wieder auf sub.domain.de und die IP ausstellen, aber dann muss deine eigene CA-root in allen zugreifenden System verankert sein. Wenn es also nicht nur deine eigenen Geräte sind bekommst du wieder eine Warnung von extern.

Daher ist eben die Lösung mit lokalem DNS Server die komfortabelste (und auch nicht übermäßig schwierig), da man intern wie extern die Dienste mit sub.domain.de aufruft und dafür auch ein LE-Zertifikat bekommt. Fertsch.