Richtige Installation von Let's Encrypt Zertifikat

[Doomi]

Hallo

ich habe ein Zertifikat von Lets Encrypt installiert und erhalte beim Öffnen der DS folgende Fehlermeldung.



Diese Website ist nicht sicher.

Dieses Problem deutet eventuell auf den Versuch hin, Sie zu täuschen bzw. Daten, die Sie an den Server gesendet haben, abzufangen. Die Website sollte sofort geschlossen werden.

?
Zur Startseite wechseln
Details
Der Hostname im Sicherheitszertifikat der Website stimmt nicht mit dem Namen der Website überein, die Sie besuchen möchten.
Fehlercode: DLG_FLAGS_SEC_CERT_CN_INVALID

Ich kann die DS zwar trotzdem öffnen aber wie kann ich dieses Problem abstellen.

Viele Grüße

Doomi

 

[Kurt-oe1kyw]

Du musst die DS ganz exakt mit jenen Namen ansprechen wie dein Zertifikat ausgestellt wurde. Lautet der Name abc.de.com dann musst du exakt mit diesem Namen die DS aufrufen, denn nur darauf gilt das Zertifikat.

 

[Fusion]

Wie greifst du denn auf die DS zu?

Das Zertifikat funktioniert nur, wenn es auf www.meine-domain.de lautet und du auch via www.meine-domain.de zugreifst.
Greifst du per nas-ip:5001 zu, dann gibt es eine Warnmeldung, dass der Namen nicht übereinstimmt. Die Verbindung ist dann trotzdem sicher verschlüsselt.

Das kann man nur "abstellen" in dem man dafür sorgt, dass du auch lokal/intern sauber mit Namen anstatt IPs zugreifst.

 

[reiki]

......
Das kann man nur "abstellen" in dem man dafür sorgt, dass du auch lokal/intern sauber mit Namen anstatt IPs zugreifst.

Bei wird beim internen Zugriff per 192.168... im Chrome Browser das https-Symobol rot durchgestrichen und in der URL-Zeile steht links "nicht sicher". Habe Lets encrypt Zertifikat auf der DS hinterlegt. Beim externen Zugriff kommen keinerlei Warnmeldungen.

 

[Benares]

Das ist normal. Das Zertifikat ist ja nicht für 192.168... ausgestellt, sondern für deinen DDNS-Namen.

 

[Fusion]

@reiki - die "Warnungen" unterscheiden sich je nach Browser. Oder was willst du ausdrücken?

Es gibt auch noch weitere mögliche Ursachen.
"Sicherheitssoftware" auf dem PC die sich in SSL Verbindungen einhängt (man in the middle) um den Datenstrom nach Schädlichem Code zu durchsuchen. Da ist die "Sicherheitssoftware" für mich der Schädling.
Und auch noch anderes was man sich überlegen kann, was aber aus dem Detaillierungsgrad der Anfrage des Thread-Erstellers nicht herauszulesen ist.

 

[Doomi]

Vielen Dank für die Antworten

Es lag daran das ich über die IP reingegangen bin

Danke

 

[heido]

Hallo Doomi,
ich bekomme leider erst kein Zertifikat in die DS. Ich habe alle Einstellungen wie in den Videos von iDomix angegeben sind gemacht. Also Port 80 und 443 ovn der Fritz auf die DS geleitet. Ich habe eine Domain bei selfhost meine-domain.de. Es sind allerdings keine Dyn-Dns-Accounts angelegt. Bei Selfhost steht beim Status der Domain "konnektiert". Kannst du mir weiterhlefen?
Brauche ich Dyn-DNS-Accounts unter meiner Domain für Let´s Encrypt oder liegt es eher an Firewall und Rechten in der DS?
Grüße Heido

 

[Fusion]

Entweder brauchst du eine feste IP an deinem Internet-Anschluß oder eine dynDNS.
Wenn du (sub).meine-domain.de aufrufst musst du auf deiner DS landen, dann kannst du dafür auch ein Zertifikat ausstellen lassen auf der DS.

 

[heido]

Eine fest IP werde ich ja nicht bekommen bzw. bezahlen können. Bisher habe ich den Service von Synology genutzt um von extern auf meine DS zu kommen. o.k. dass heißt dann, ich muss unter meiner Domain den dynDns-Service bei Selfhost aktivieren um eine Zertifikat zu erstellen. Nur der Domainname und die email in der DS reicht nicht aus. Richtig?

 

[Fusion]

Für das Zertifikat reicht der Domainname und eine email-Adresse schon aus, aber du wirst das Zertifikat nur erstellen können, wenn der dort verwendete Domain-Namen auch auf deiner DS landet, wenn ich diese in einem Browser von extern aufrufe (Port 80).
(sub).deine-domain.de muss also irgendwie auf die öffentliche IP deines Anschlusses zeigen und Port 80 auf die DS weitergeleitet sein. Port 443 ebenfalls, oder ein anderer Port auf dem ein SSL verschlüsselter Dienst der DS lauscht.

Also musst du entweder deine Domain bei Selfhost auf dynDNS konfigurieren und per Router oder DSM mit der jeweils aktuellen IP versorgen lassen, oder du musst deine Domain in den DNS Einstellungen bei Selfhost per CNAME Eintrag auf deine xxx.synology.me Adresse leiten.

 

[heido]

vielen Dank,
dann muss ich mal probieren was CNAME kann oder ich lasse mit DynDNS bei Selfhost freischalten. Brauche ich diese Einstellungen auch noch wenn das Zerfifikat erstellt ist?
Ich habe ja nun mehrere DS - kann ich das Zertifikat auf alle anderen NAS kopieren?

 

[heido]

ach eins habe ich noch vergessen.

Danke für die Unterstützung!!!!

 

[Fusion]

Die Einstellung brauchst du spätestens alle 90 Tage, wenn das Zertifikat erneuert werden muss.

Willst du längere Laufzeiten bleiben 2 andere Optionen:
Selbst signierte Zertifikate (so wie das was die Synology schon mitbringt), dann musst halt auf die grünen Symole / Schlösser / sicher Markierungen verzichten.
Zertifikate kaufen die dann normal 1-3 Jahre Laufzeit haben.

Je nachdem was du auf welcher DS erreichen willst, immer die Frage, was MUSS von außen erreichbar sein? Je weniger desto besser.
Da kann man dann auch mit reverse Proxy auf der ersten DS arbeiten und auch nur dort braucht man die Zertifikate. Diese spielt dann Proxy und baut einen interne Verbindung zu den anderen DS auf.