SSL-Zertifikat wird falsch ausgeliefert

[berdalf]

Hallo zusammen,

ich habe eine Domain per DDNS mit dem Synoloby NAS verbunden. Das funktioniert alles korrekt und die richtigen Seiten werden angezeigt. Nun würde ich gerne noch ein SSL-Zertfikat von Let's Encrypt einbinden. Das Zertifikat habe ich bereits beantragt und es liegt in der Übersicht der Zertifikate vor. Wenn ich nun meine Domain im Browser aufrufe, wird aber nicht das Zertifikat für die Domain übertragen, sondern für "synology.com", also dem Standardzertifikat. Dementsprechend resultiert ein Zertifikatsfehler.

Wie gehe ich vor, damit das richtige Zertifikat für die Domain ausgeliefert wird?

Vielen Dank für eure Hilfe im Voraus.

 

[Fusion]

DSM > Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren

Entweder das Standard-Zertifikat ändern ("Dienst" heißt "Systemvoreinstellung" oder "default") oder für den Dienst den du von extern aufrufst dein Zertifikat setzen.

 

[berdalf]

Hallo Fusion, vielen Dank für deine Antwort.

Ich hatte das Zertifikat bereits als Standardzertifikat eingestellt, meine aber, dass es trotzdem nicht gegangen wäre. Werde es aber nochmal ausprobieren. Muss ich es zusätzlich zum Markieren auch beim Dienst "Systemvoreinstellung" setzen oder reicht eines der beiden?

Welchen Dienst müsste ich optional auswählen? Die Seite wird ja über die Web Station ausgegeben, aber diese kann ich im Auswahlmenü nicht finden.

Danke nochmals vorab.

EDIT: Zusatzfrage: Wie kann ich nach dem Einrichten des Zertifikats von Let's Encrypt für meine externe Domain weiterhin über 192.168... verschlüsselt auf das NAS zugreifen (also mit dem selbstsignierten Zertifikat)?

 

[servilianus]

EDIT: Zusatzfrage: Wie kann ich nach dem Einrichten des Zertifikats von Let's Encrypt für meine externe Domain weiterhin über 192.168... verschlüsselt auf das NAS zugreifen (also mit dem selbstsignierten Zertifikat)?

Wieso willst Du in Deinem privaten Heimnetz verschlüsselt auf das NAS zugreifen? Wobei "verschlüsselt" ja ohnehin falsch ist. Ich glaube, Du unterliegst einem Verständnisfehler: Der Sinn eines HTTPS-Zertifikates ist es, dass sich das Gerät/Server/Inhaber des https-Zertifikates als vertrauenswürdige Quelle outet (es geht also nicht um eine wie auch immer geartetete Übertragungsverschlüsselung). In Deinem Heimnetz weisst Du aber doch, dass Deine Syno ein vertrauenswürdiger Server ist. Daher

- entweder im Browser den Zertifikatsfehler ignorieren
- oder die IP-Adresse Deiner Syno als Ausnahme im Browser hinzufügen.
- oder die DSM-Oberfläche nicht mit der privaten IP-Adresse aufrufen, sondern mit dem Domain-Namen, für das Du das Zertifikat in der DS hinterlegt hast.

Denn: Zertifkate sind immer nur Domain - (Namens) - basiert, es gibt kein Zertifikat für eine IP-Adresse a la: 192.178....

 

[berdalf]

Hallo servilianus,

da hast du natürlich vollkommen recht - Denkfehler von mir. Allerdings muss ich dir in puncto Verschlüsselung widersprechen. Ein solches Zertifikat stellt einerseits die Authentizität/Echtheit der Verbindung sicher, gleichzeitig sorgt es aber auch für die Verschlüsselung. Aus diesem Grund verfügt das Zertifikat über einen privaten Schlüssel, der auf dem Server ist und einen öffentlichen, der bei einer Anfrage an den Browser geschickt wird. Aber sei es drum, es ist uns ja jetzt beiden klar.

Wäre nett, wenn mir jemand meine Fragen oberhalb des "EDIT" beantworten könnte. Vielen Dank.

 

[Fusion]

Der Dienst 'Systemvoreinstellung' ist ausschlagenbend. Was die Einstellung standard Zertifikat macht kann ich dir gerade nicht mehr sagen.

Lokales Netz. Du kannst pro Dienst nur ein Zertifikat hinterlegen. Also entweder von extern und intern das LE Zertifikat oder von extern und intern das selbst signierte Zertifikat pro Dienst.
Erster Fall macht ein Eintrag in die Hosts Datei jedes Client fällig oder einen lokalen DNS Server. Dann führt domain.de intern auf 192.x und extern auf die öffentliche IP deines Anschlusses.
Spezialfall wenn du nicht die gleichen Dienste intern wie extern benutzt. Dann kannst z.b. Das selbst signierte als Systemvoreinstellung setzen, aber für einen web station vhost oder benutzerdefinierte Domain (Systemsteuerung - Anwendungsportal) ein anderes.