Lets Encrypt, Strato und Subdomains.....Probleme beim erstellen eines Zertifikates

[appel2000]

Guten Morgen Euch Allen,

bin leider ein wenig ratlos, weil ich es nicht schaffe, für meine Strato Domain und deren Sub-Domains ein Zertifikat zu erstellen.

Vorweg:
- Firewall Fritzbox deaktiviert
- Firewall Diskstation deaktiviert
(natürlich nur zur Erstellung des Zertifikates)

In der DS will ich mir dann ein Zertifikat erstellen:
Domainname = meine Domain bei Starto
Alternative Namen = meine Subdomains bei Strato, jeweils getrennt durch ein Semikolon

System denkt ein bisschen nach, dann kommt die Fehlermeldung:



Ich hab gefühlt schon alles probiert, angeschaut, geändert...immer das gleiche.

Kennt jemand das Problem?
Wo sollte ich denn am besten suchen?

Danke Euch,
Grüße und einen schönen Sonntag!

 

[appel2000]

Und wenn ich eine der Sub-Domains aufrufe, bekomme ich dieses Bild.
Da stimmt doch auch schon was nicht, oder?

Das Thema macht mich echt wahnsinnig....jedes Mal so ein Theater.
Ist das System so fehleranfällig, oder wie ist da Euer empfinden?
Eigentlich kanns ja so schwer nicht sein.....

 

[Hagen2000]

Das kann m. E. nicht funktionieren. Bei der Zertifikatserstellung mit HTTP-01 challenge wird jeder alternative Name geprüft und müsste somit zum Webserver auf dem NAS führen. Abgesehen vom Standardfall example.com und www.example.com ergibt das für andere Subdomains nicht wirklich Sinn.

Passend wäre hier ein Wildcard-Zertifikat, jedoch wird eine API für die dafür benötigte DNS-01 challenge von Strato nicht zur Verfügung gestellt.
Mit Bordmitteln kannst Du ein Wildcard-Zertifikat ohnehin nur bei Verwendung des Synology-DDNS-Dienstes erhalten.

Ansonsten müsste man mit mehreren Zertifikaten arbeiten und diese über Docker, eine VM oder selbst gebaute Skripte anfordern.

Nachtrag zu #2: Vermutlich hast Du die DNS-Einträge bei Strato für die Subdomains noch nicht richtig aufgesetzt?

 

[cwe89]

Du kannst doch bei Strato ein WildCard Zertifikat erstellen.
Zu dem Bild in #2. Du musst der Sub Domain in der Strato Konfig schon sagen wo sie hin zeigen soll. Aktuell ist da die Standard Weiterleitung drinnen.

 

[appel2000]

Hallo,

also Wildcart bei Strato gibt es meines Wissens nach nicht.
Alles weitere oben habe ich leider nicht verstanden.....


Und was die Einstellungen der Sub Domains angeht, bin ich ein wenig verwundert:

Ich hab sowohl bei der Domain als auch bei allen Sub-Domains DynDNS aktiviert.
Die entsprechende Funktion/Einstellung auch in der FritzBox hinterlegt.
Somit sollten doch die Anfragen, die über die Sub-Domain reinkommen über die Fritzbox an die DiskStation geleitet werden. Und dort dann via ReverseProxy bzw. Anwendung / Anmeldeportal an die entsprechenden Programme wie z.B. die File Station verteilt werden.

Oder??

 

[cwe89]

Also Wildcard gibt es. Siehe Foto.
DynDns zu aktivieren reicht nicht.

 

[appel2000]

Okay, für 7 Euro im Monat scheint es das zu geben.
Finde ich zu teuer.

Wenn DynDNS nicht reicht, was muss ich darüber hinaus denn noch ergänzen?
Danke!

 

[cwe89]

Das lässt sich jetzt mit den Infos nicht ganz sagen. Kommt drauf an was du wo bei Strato eingestellt hast. Bin bei Strato keine Kunde.

 

[appel2000]

diese Optionen gibt es bei sowohl bei der Domain als auch bei allen Subdomains.
Eingestellt habe ich nur bei "DynDNS"...und zwar aktiviert.

 

[cwe89]

Was steht denn bei Dynamic DNS drinnen.

 

[cwe89]

Von wo wird denn das DynDns beschrieben?

 

[appel2000]

Unter dem Punkt "DynDNS" kann ich nur aktivieren bzw. deaktivieren.

Meine Fritzbox meldet doch meine (sich verändernde) Telekom-IP Adresse an Strato....und Strato "verknüpft" die (Sub-)Domain mit dieser IP. war das mit der Frage gemeint?

 

[cwe89]

Da gibt es schon etwas mehr zu beachten.
1. Hast du überhaupt eine öffentliche IPv4 Adresse?
2. Was zeigt NS lookup?
3 Geht denn die Hauptadresse?

 

[appel2000]

1. ja
2. zu welcher domain?
3. nein

 

[cwe89]

Dann mal auf die Hauptadresse.
Port 433 ist aber schon in der Fritzbox für deine DS freigegeben? Ohne diese läuft kein Reverse Proxy.

 

[appel2000]

hmmm.....nslookup sagt
Non-authoritative answer:
Name: meinedomain.de
Address: xx.xxx.145.157 -----> ganz andere IP als meine öffentliche IP. Müsste doch aber gleich sein, oder?


Port ist freigegeben

 

[Hagen2000]

Meine Fritzbox meldet doch meine (sich verändernde) Telekom-IP Adresse an Strato....und Strato "verknüpft" die (Sub-)Domain mit dieser IP. war das mit der Frage gemeint?

Die FRITZ!Box kann ja nur eine einzelne (Sub-)Domain aktualisieren. Alle, die nicht aktualisiert sind, führen zur Seite in #2.
Welche (Sub-)Domain hast Du denn in der FRITZ!Box nun angegeben?

Port 433

Muss 443 heißen.

Address: xx.xxx.145.157

Die wird von Strato sein.
Wenn Du hier IPv4-Adressen nennst, dann bitte die ersten beiden Oktette nennen, die hinteren beiden kannst Du durch 'x' ersetzen. Das ist wichtig, um zu erkennen, ob es wirklich eine öffentlich erreichbare IPv4-Adresse ist.

 

[cwe89]

Ja die sollte gleich
Was passiert denn wenn du diese IP Adresse im Browser eingibst?

 

[appel2000]

Die FRITZ!Box kann ja nur eine einzelne (Sub-)Domain aktualisieren. Alle, die nicht aktualisiert sind, führen zur Seite in #2.
Welche (Sub-)Domain hast Du denn in der FRITZ!Box nun angegeben?

Die (Haupt-) Domain

Wenn Du hier IPv4-Adressen nennst, dann bitte die ersten beiden Oktette nennen, die hinteren beiden kannst Du durch 'x' ersetzen. Das ist wichtig, um zu erkennen, ob es wirklich eine öffentlich erreichbare IPv4-Adresse ist.

okay, war mir nicht bekannt, danke

Was passiert denn wenn die diese IP Adresse im Browser eingibst?

die von nslookup ermittelte?
Da kommt dann "404 not found"...

 

[cwe89]

Welche IP kommt denn auf der Seite https://www.wieistmeineip.de/ ?

Ich vermute ja du hast keine öffentlichen Ip sondern einen CGNAT Anschluss.