Zertifikat für eigene Domain / Let^s Encrypt

[carcw]

Hallo liebe Community.

Ich wäre sehr froh wenn Ihr mit beim installieren eines gültigen Lets Encrypt Zertifikates helfen könntet. Ich konnte das Zertifikat zwar installieren aber es wird vom Browser immer als ungültiges Zertifkat gemeldet.

Daten:
Synology DS218+
Ich habe eine eigene Domain registrieren lassen.
eigenedomain.de

Ich habe bei Synology einen DDNS Eintrag wegen wechselnder IP
eigenedomain.synology.me

Ports: 80 und 443 sind vom Router auf die NAS weitergeleitet. Die NAS ist auch Problemlos von ausserhalb meines Netzwerkes erreichbar.

Bei meinem Domain Anbieter habe ich einen CNAME Eintrage gemacht welcher auf die DDNS zeigt.


Ich würde jetzt gerne ein gültiges Zertifikat für meine eigene Domain ausstellen lassen.
Bin mir aber überhaupt nicht sicher ob das gehen kann, da sie ja auf den DDNS Eintrag zeigt.
Wie müsste ich idealerweise vorgehen? Oder ist es unter den genannten Umständen gar nicht möglich?

Bin über jede Hilfe dankbar, bin noch ganz neu in der Materie und hab mich bisher noch nicht Gross mit Zertifikaten auseinander gesetzt.

Besten Dank
carcw

 

[Frogman]

Ich wäre sehr froh wenn Ihr mit beim installieren eines gültigen Lets Encrypt Zertifikates helfen könntet. Ich konnte das Zertifikat zwar installieren aber es wird vom Browser immer als ungültiges Zertifkat gemeldet.

Ich würde jetzt gerne ein gültiges Zertifikat für meine eigene Domain ausstellen lassen.

Du solltest das etwas klarer ausdrücken... Hast Du was ausstellen lassen oder nicht? Und wenn ja - was? Und was hast Du installiert? Grundsätzlich gilt, dass Du für eine eigene Domain ein Zertifikat ausstellen lassen kannst. Und das passt dann auch so, selbst wenn per CNAME-Record die Auflösung auf eine IP der DDNS erfolgt - denn die eingegebene Adresse entscheidet dafür über die Einstufung als 'vertrauenswürdig'. Bedenken sollte man nur, dass man 'meinedomain.de' im Regelfall nicht per CNAME weiterleiten kann, sondern immer nur Subdomains - also bespielsweise 'www.meinedomain.de' (das 'www' ist also nichts anderes als eine Subdomain). Daher sollte das LE Zertifikat für die Domain selbst und für die Subdomain ausgestellt sein (man kann bei LE eine ganze Liste von Subdomains mitgeben, die dann alle im Zertifikat enthalten sind).

 

[carcw]

Hallo Frogman, danke für Deine Hilfe

Also ich habe auf der Synology ein neues Zertifikat für www.eigenedomain.de ausstellen lassen.
Desweitern habe ich noch von früher ein Zertifikat auf eigenedomain.synology.me auch von Lets Encrypt. (Dieses funktioniert auch, in Chrome wird ein Schloss angezeigt und es steht Zertifikat gültig, ist aber kein grünes Schloss)

Das Neue Zertifikat www.eigendomain.de hab ich mittlerweile als Standardzertifikat eingerichtet, trotzdem wird die Verbindung über www.eigenedomain.de als unsicher angezeigt.

Der CNAME Eintrag zeigt auf eigenedomain.synology.me (nicht auf eine IP)

 

[Frogman]

Kleiner Hinweis am Rande: bei direkten Antworten auf einen Post bitte kein Vollzitat.

Der CNAME Eintrag zeigt auf eigenedomain.synology.me (nicht auf eine IP)

Korrekt - ich schrieb ja auch "Auflösung auf eine IP der DDNS". D.h., man trägt dort zunächst die DDNS ein, welche dann weiterauf die IP aufgelöst wird.

(Dieses funktioniert auch, in Chrome wird ein Schloss angezeigt und es steht Zertifikat gültig, ist aber kein grünes Schloss)

Über die Färbung von Schlössern bei Chrome kannst Du bei Google einiges finden. Dazu gehören inzwischen auch Fragen, welche Hashalgorithmen im Zertifikat verwenden werden (SHA2 ist da das Stichwort). Wichtig ist, dass auf jeden Fall vollwertig verschlüsselt wird (als zusätzliche Absicherung kannst Du Dir im Browser auch den Fingerprint des Zertifikats anzeigen lassen und mit dem Deines hinterlegten Zertifikats vergleichen; ergänzend kannst Du ja auch mal hier lesen). Zur Vertrauenswürdigkeit: greifst Du intern zu per IP, dann wird die fehlende Vertrauenswürdigkeit angemahnt. Der Zugriff muss immer mit einem Domainnamen erfolgen, der im Zertifikat hinterlegt ist.

 

[carcw]

Okay, dass mit dem zitieren kann ich mir merken. Danke

Also momentan ist es so, dass wenn ich meine eigene Domain aufrufe: www.eigenedomain.de dann kommt ein Zertifikatfehler, in diesem steht dann: Dass es sich hierbei nicht um die Seite eigenedomain.synology.me (DDNS) handelt.
Scheint so als noch das alte Zertifikat die Oberhand hat.

Im Prinzip könnte ich vieleicht auch versuchen das Zertifikat welches auf die DDNS Synology Adresse läuft zu löschen. Wobei dies gerade das einzige Zertifikat ist welches funktioniert.

 

[TeXniXo]

Du musst das Zertifikat mit dem GLEICHEN Namen wie deine Domainadresse ausstellen (lassen).

Also wenn du ein Zertifikat für xxx.synology.me hast, dann musst du diese Adresse auch eingeben, um "gültiges" Zertifikat sehen zu können. Wenn du ein WEITERES Zertifikat auf eigenedomain.de ausstellst, dann kannst du via eigenedomain.de "sicher" erreichen.
(falls du doch www.eigenedomain.de haben willst, dann NOCH EIN weiteres Zertifikat mit dem Namen www.eigenedomain.de ausstellen!)

Ansonsten in Systemeinstellungen - Sicherheit - Zertifikate (oben rechts) - Konfiguieren und dort es den entsprechenden Dienste zuweisen.

 

[Frogman]

Also momentan ist es so, dass wenn ich meine eigene Domain aufrufe: www.eigenedomain.de dann kommt ein Zertifikatfehler, in diesem steht dann: Dass es sich hierbei nicht um die Seite eigenedomain.synology.me (DDNS) handelt. Scheint so als noch das alte Zertifikat die Oberhand hat.

Wenn Du sicher bist, dass Du im DSM das Zertifikat zur eigenen Domain für den entsprechenden Dienst zugeordnet hast, kannst Du mal den Browser Cache löschen, neustarten und dann erneut zugreifen.

 

[carcw]

Okay vielen, vielen Dank für Eure Hilfe.
Bin echt froh um Eure Tipps und Anregungen, ist nicht ganz einfach die ganze Thematik zu durchblicken.

Ich habe jetzt komplett alle Dienste vom DDNS Zertifikat auf das www.eigenedomain.de Zertifikat gezügelt. So scheint es zu gehen, Google Chrome reklamiert zum ersten mal nicht mehr.

Wenn ich das jetzt richtig verstehe kann ich meine NAS nur über eine Zertifizierte Adresse ansprechen, da ja die Dienste jeweils nur einem Zertifikat zugewiesen werden können?

 

[TeXniXo]

Was Zertifikate angeht, kannst du pro Dienst nur eines susstellen, aber mehrere Alias-Domains (siehst du ja in Einstellungen der Zertifikate) > z.B. FileStation -> file.domain.de; explorer.domain.de; finder.domain.de usw.

Und mehrere Domains via CNAME z.B. auf eine einzige Diskstation auch möglich. Via vHost auf z.B. mehrere Wordpress - Seiten in /web/wordpress1 und /web/wordpress2 usw.

 

[carcw]

Okay, danke. So langsam scheint alles etwas klarer zu werden und mittlerweile funktioniert fast alles über www.eigenedomain.de

Eine abschliessende Frage hätte ich aber noch.

Ich habe auf der Webstation momentan eine Joomla eine DokuWiki und eine CMSIMPLE Installation, am laufen.

Zugriff auf Dokuwiki erfolgt über https://www.eigenedomain.de/dokuwiki
Zugriff auf joomla erfolgt über https://www.eigenedomain.de/joomla
Zugriff auf CMSIMPLE ist nicht möglich über www.eigenedomain.de/Cmsimple. Funktioniert nur über den DDNS Eintrag der wäre domain@synology.me/cmsimple

Ich zerbrech mir da gerade echt den Kopf und habe schon überall gesucht und finde keine Lösung, es ist als ob ich auf den Ordner keinen Zugriff hätte. Ich kann nicht mal Bilder in dem Ordner direkt ansprechen und öffnen.
Fehlermeldung: Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.

Habe Testweise auch einen neuen Unterordner erstellt. web/test auch auf diesen habe ich keinen Zugriff mit eigenedomain.de / nur über DDNS funktioniert es.