Sicherer Zuriff auf die Webstation (https)

Status
Für weitere Antworten geschlossen.

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Gibt es eine Möglichkeit, sicher auf die Webstation und damit verbundene Anwendungen zuzugreifen? z.b. https//www.domainname.tld statt http:///www.domainname.tld.de.

Ich habe für meinen Freundeskreis ein kleines soziales Netzwerk aufgebaut auf Basis von OSSN, und die Subdomain lautet http://ossn.domainname.tld. --> es soll aber sein https://ossn.domainname.tld. Wenn die Verbindung sicher ist, müsste im Browser neben der Adresszeile ein grüner Schlüssel erscheinen. Was er nicht macht.

Wer kann mir helfen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
ossn.domain.tld ist einfach eine Domain die als dyndns geschaltet ist oder per CNAME auf deine dyn zeigt?
Ist ossn.domain.tld ein vhost auf der Web Station, oder ein Reverse Proxy im Anwendungsportal?
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Situation ist wiie folgt: Die Domain (domainname.tld) ist bei Strato registriert, und Weiterleitung per DynDNS auf die Webstation. ossn.domainname.tld ist als Subdomain ebenfalls bei Strato registriert, gibt man ossn.domainname.tld ein, landet man direkt auf der Startseite des Netzwerkes.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Kann daraus nicht ablesen wie du es konfiguriert hast, weil es nicht eindeutig ausformuliert ist.

Bsp domain.tld, weiterleitung per dynDNS.
Heißt das domain.tld selbst ist als dyn Domain gesetzt? (kann eigentlich nicht sein, da du dann keine subdomains mehr einrichten könntest).
Oder bezieht sich die Weiterleitung (http, cname,.. Was genau) nur auf die ossn.domain.tld?

Ist ossn.domain.tld irgendwo auf der DS als vhost oder reverse proxy Hostname gesetzt?
Oder liegt das OSS direkt im Doc-root unter /web und der Webserver der alle nicht per Hostname spezifierten Anrufe annimmt antwortet hier?
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Ich habe eben etwas recherchiert..offenbar liegt es an den Zertifikaten, die Synology ausstellt, die werden als nicht zertifiziert und nicht sicher erkannt... Wie kann ich das beheben?dann müsste der Zugrifff sicher sein.
 
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Auch dafür wäre hilfreich die zuvor gestellten Fragen beantwortet zu haben.

'Zertifikate die Synology ausstellt' ist auch wieder mehrdeutig.
Sicher sind die alle, Warnungsfrei allerdings nicht unbedingt.

Bei offenem Port 80/443 kann man sich einfach ein Let's Encrypt Zertifikat ausstellen lassen unter Systemsteuerung > Sicherheit > Zertifikate.
Das klappt vermutlich jetzt schon. Wenn aber kein Hostname/Dienst spezifiert ist (hostname gesetzt) kann das Zertifikat unter konfigurieren keinem Dienst zugewiesen werden.
Einzig der Dienst 'Systemvoreinstellung', der Standarddienst, wäre dann die Möglichkeit. Der antwortet auf alles was nicht anderweitig spezifiziert ist.
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Irgendwie klappt das nicht mit dem Exportieren und installieren der Zertifikate von Synology. Ich lauf mir grad nen Wolf.. und komm nicht weiter.. auch bei let's encrypt konnte ich ein Zertifikat runterladen.
Es soll nachher erscheinen; https://domainname.tld (und mit grünem Schlüssel für sichere Verbindung)

Bei den Zertifiakten geh ich über die DS rein - Systemsteuerung - Sicherheit - Zertifikat --> und dann hinzufügen.

In den Zertifikaten, die ich dann exportieren kann, sind 3 Dateien vorhanden: primkey.perm, chain.perm, und cert.perm. Was muss ich mit diesen 3 Dateien anfangen, um eine sichere Verbindung zu bekommen?? da komme ich nicht weiter..
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wieso willst du überhaupt irgendwas exportieren?
Die Zertifikate sind gut da wo sie sind.
Es muss einzig konfiguriert werden wer diese dann wie nutzt.

Deshalb die Frage wie dein Webserver bzw ossn eingerichtet ist / installiert wurde / konfiguriert ist....
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
So, das mit dem sicheren Zugriff auf die DS scheint nun geklappt zu haben. Die Weiterleitung von domainname.tld auf domainname.synology.me klappt auch, und dann wird angezeigt: https://domainname.synology.me. Die Sache mit den Zertfikaten von Lets Encrpyt für die DS konnte ich ebenfalls lösen, das Zertifikat ist gültig bis 11.09.2019. Es gilt dann rechtzeitig ein neues Zertifikat erstellen lassen. Das Schlüsselsymbol neben dem Eingabefeld im Browser erscheint grün, und die Info "Sichere Verbindung" kommt ;

Ich kann auch eingaben direkt https://www.domainname.tld -> dann wird allerdings das schwarz-gelbe Schlüsselsymbol angezeigt, Verbindung unsicher. Hängt damit zusammen, dass beim Domainanbieter (strato) bei Dyn DSN keine SSL-Verbindung möglich ist.
Gebe ich http://www.domainname.tld ein --> automatische Weiterleitung auf https://domainname.synology.me
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Das Zertifikat wird automatisch verlängert zwischen 60 und 90 Tagen, wenn Port 80 offen ist.

Bei Strato gehst du das falsch an. Dyn DNS hat nichts mit ssl zu tun, sondern mit einer unpassenden http Weiterleitung.

Wenn du sub.domain.tld definierst und dies per CNAME in den DNS Einstellungen auf meine.synology.me setzt dann bleibt sub.domain.tld im Browser stehen und darauf muss auch das Zertifikat lauten.
Die andere Frage, wieso machst du überhaupt eine Weiterleitung auf synology.me wenn du doch direkt bei Strato eine dyn.domain.tld einrichten kannst?
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Stimmt, da war was doppelt gemoppelt. Ist jetzt korrigiert. Danke für den Hinweis.
Was die CNAME-Einstellungen angeht, ist da dieses Menü gemeint?

Screenshot_2019-06-15 STRATO Kunden-Login - Domainverwaltung.jpg

Was muss dann wo rein? Danke.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Nein, das ist die falsche Stelle, wenn du für sub.domain.tld einen CNAME record setzen willst.
Das ist unter Domain verwaltung, subdomain verwalten, dns Einstellungen.
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
So langsam bin ich am Verzweifeln, aber es gibt auch einen Hoffnungsschimmer:

über meine Synology-Adresse (https://name.synology.me) ist meine NAS per SSL-Verbindung (grüner Schlüssel im Browser) erreichbar. Soweit so gut (nachdem ich das Zertifikat von let's encrypt installiert hatte, welches Synology angefordert hatte)

aber über http://www.domainname.tld geht es eben nicht. Bei strato.de steht, dass DNS-Weiterleitungen oder andere Einrichtungen vorgenommen wurden, die eine https-Verbindung unmöglich machen. Auch da hatte ich ein Zertifikat angefordert, aber nie erhalten, zum herunterladen und installieren.

Wir halten also derzeit fest:

Strato: bei DNS-Weiterleitungen oder sonstigen Einrichtungen (z.:b. A-Record) --> kein https-Zugriff möglich
synology,me --> https-Zugriff möglich.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ich habe eine domain.tld bei Strato. Ich habe sub.domain.tld als dynDNS Adresse gesetzt und aktualisiere diese IP per DDNS Updater 2 von der DS aus (oder von der Fritzbox, geht auch, allerdings nicht, wenn man IPv6 und IPv6 haben will).
Auf diese sub.domain.tld habe ich ein LE Zertifikat auf der DS.
Ebenso möglich ist, falls man den dynDNS Dienst bei einem anderen Anbieter nutzt, dass man sub.domain.tld per CNAME Eintrag in den DNS Einstellungen zu dieser Sub-Domain auf die Adresse meine.synology.me setzt. Auch dann bleibt sub.domain.tld im Browser stehen und nur dafür braucht man ein Zertifikat auf der DS.
Von Strato braucht man in diesem Zusammenhang, den Zertifikate, überhaupt nichts, weder zum runterladen noch zum installieren.

Wenn wir da weiter kommen wollen, brauchen wir entweder Screens von deinem Strato oder eine Teamviewer Sitzung.
Screens kannst du mir auch privat schicken wenn du willst, email gibt es dann per PM.
Hast du ein Domain-Paket, oder irgendein größeres Paket dort?
Unter Domains > Domainverwaltung wird sowohl die Domain selbst domain.tld wie auch alle Sub-Domains (Aufklappmenü) dargestellt. Sowohl für die Domain wie für die Subdomain gibt es den Punkt "Verwalten" auf der rechten Seite.
Dort findet sich dann jeweils die DNS Verwaltung wo man unter anderen entweder einen CNAME Eintrag setzen kann oder den dyn Dienst für diese Domain aktivieren kann.
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Ich weiß nicht, was passiert ist, aber ich konnte heute ganz normal ein SSL-Zertifikat bei Let's Encrpyt erstellen und einbinden (über Synology).Und siehe da...funzt..Ich habe jetzt Zugriff https://webseite.name und wird als gesicherte Verbindung angezeigt, wenn man auf das Schlüsselsymbol klickt.
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
und jetzt noch eine .htaccess-Datei ins Verzeichnis /web auf der Synology-NAS, und fertig! Dann ist eure Seite von überall per https zu erreichen. Ich stelle ein Muster der .htaccess-Datei heute abend rein.
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Die .htaccess im Stammverzeichnis /web sieht wie folgt aus:

RewriteEngine On
RewriteCond %{SERVER_PORT} !=443
RewriteRule ^(.*)$ https://www.name.website/$1 [R=301,L]

statt name.website den Namen der eigenen Domain eintragen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat