Toggle sidebar

Zertifikat als vertrauenswürdig deklarieren

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
G

Ghost108

Benutzer
Registriert
27. Juni 2015
Beiträge
1.278
Reaktionspunkte
76
Punkte
68
Guten Morgen!

ich habe eine Syno, welche nur im internen Netz genutzt.
Dennoch möchte ich gerne den Zugriff via HTTPS realisieren.

Ich habe ein selbst signiertes Zertifiakt mit openssl erstellt.
Dennoch (was logisch ist), wird beim ersten Aufruf wird die Warnung angezeigt "Nicht sicher" und man kann mit "Trotzdem öffnen" weitermachen.

Gibt es eine Möglichkeit, dass ich das Zertifikat im Browser hinterlegen kann, sodass dieser NICHT meckert und die Seite einfach öffnet?
 
Für was hast Du denn ein Zertifikat erstellt? Für eine IP geht das nicht.
Zudem würde mich interessieren, welchen Vorteil Du Dir von der Sache erwartest...
 
für eine domain, welche lokal aufgelöst wird.
Vorteil: HTTPS = verschlüsselte Verbindung, interessant für verschlüsselte Datenübertragung?
 
Die Möglichkeiten habe ich dir aber schon damals geschrieben. Für deine Domain kannst du den Alias-Mode nutzen, weil dein Anbieter nicht nativ von acme.sh unterstützt wird. Danach nur noch die Umleitung in deinen Pi-Hole oder in der Host-Datei. Letzte hast du doch verwendet. Das habe ich aber in deinen anderen Thread schon geschrieben. Es wunder mich nur, warum du es nicht umgesetzt hast.

https://www.synology-forum.de/threads/le-zertifikat-erneuern-pruefen-ob-notwendig.125404/

Für einen normalen USer ist es fast unmöglich ein vertrauenswürdiges Zertifikat auf eine IP auszustellen. Außerdem ist das Aufrufen der Anwendungen mit Subdomain einfacher. Notfalls organisiere dir eine weitere Domain nur Netzintern. Die kostet bei Netcup in der Osteraktion gerade einmal 1,60 € im Jahr dauerhaft!
 
Zuletzt bearbeitet:
Ich hab mir vor Jahren auch mal ein selbst signiertes Zertifikat für solche Zwecke erstellt. Im Wiki ist das vorgehen hier ja beschrieben. Der Artikel ist aber sehr alt. Einige Dinge würde man heute etwas anders machen, beispielsweise längere Schlüssel verwenden. Auch das Kapitel "Austausch der Dateien" geht heute einfacher. Man muss die Files nur auf einen Share kopieren und kann dann das Zertifikat über die DSM-Oberfläche importieren und die ca.crt auch auf den Clients als "Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate" importieren (s. certmgr.msc)
 
  • Like
Reaktionen: Ghost108
Denn muss man aber immer auf den Clients vorher tätig werden.
 
Ja, ist leider so, aber man hat dann wenigstens für 10 Jahre Ruhe. Es sei denn, es kommen neue Geräte hinzu, dann muss man halt extfile.cnf erweitern.
Das schöne ist halt, man kann alles möglich als AltNames aufnehmen, sogar IPs.
 
Von IPs bin ich weg. Und eine Domain oder DynDNS kostet nicht viel. Der Rest geht über Favoriten. Für mich eindeutig komfortabler als mit dem Zertifikat importieren. Das ganze geht auch automatisch und ohne Ports.
 
@EDvonSchleck
Ich frage hier für eine andere Synology an, wo eben auch kein pihole im Einsatz ist.

Das Zertifikat könnte ich auf den Clients auch via GPO importieren lassen, damit der Browser nicht meckert.
Aber eben das gelingt mir aktuell auf dem manuellen Wege noch nicht. Wenn ich das Cert der Syno exportiere und im MS Edge importiere, meckert der Browser dennoch. Was könnte ich hier falsch machen?
 
Dann brauchst du nur eine Vorwärtszone im Synology-DNS-Server einzurichten. Dafür braucht die Synology auch kein Docker. Alternativ die Umschreibung in der Host-Datei. Ich würde den Weg über einen Namen/Domain nehmen.

Was steht im Edge unter Zertifikat? Hast du das Zertifikat der Anwendung zugeordnet? Ohne Screens oder Logs werden wir nicht weiter helfen können. Alles andere sind nur Vermutungen bzw. häufige Fehler.
 
Verstehe immer noch nicht, warum man in seinem eigenen Netz verschlüsselte Verbindungen benötigt...
 
  • Like
Reaktionen: ottosykora
weil bestimmte System im Netz eine HTTPS Verbindung erwarten - sonst machen die nichts
 
Ghost108 schrieb:
. Wenn ich das Cert der Syno exportiere und im MS Edge importiere, meckert der Browser dennoch. Was könnte ich hier falsch machen?
Zum Vergrößern anklicken....
also ich muss dazu immer auch noch den den Cert der Certification Authority importieren. Erst dann kann Windows einen Bezug zu etwas finden
 
Hast du mal geprüft, ob das im Browser angezeigte Zertifikat überhaupt deines ist (Rechtsklick aufs Schloss) und für den in der URL verwendeten Namen gilt? Alternativ kannst du es dort auch exportieren.

@Thonav, braucht man nicht. Aber man lernt viel dabei, wenn man sich mal damit beschäftigt ;) Außerdem ist es doch schön, wenn man intern wie extern auch https verwenden kann.
 
Wenn diese "bestimmten" Systeme eine https Verbindung erwarten, so liegt der Grund ggf. darin, dass diese Dienste eigentlich auch von extern verfügbar sein sollten, oder?

@Benares : Im Ausgangsthread wird nur von interner Nutzung geschrieben. Daher meine Rückfrage - auch nach Details zu den "bestimmten Systemen".
 
Beispiel. Ich habe ein internes Firmennetzwerk, wo web Anwendungen laufen, wo sich User anmelden können.
Die Übertragung der Zugangsdaten würde unverschlüsselt laufen, wenn nicht HTTPS
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten