Subdomain (https) nur über Zuweisung von Systemeinstellungen erreichbar

Status
Für weitere Antworten geschlossen.

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich wende mich etwas verzweifelt an Euch, denn ich weiss beim besten Willen nicht mehr was ich falsch mache.

Ich möchte gerne eine Nextcloud Installation über ein Let's Encrypt Zertifikat und eigene Subdomain von außen erreichbar machen. Dazu habe ich...


Ausgangslage & Installation
- eine Subdomain für die Nextcloud Installation erstellt (Sub #1)
- ein CNAME beim Provider hinterlegt
- Nextcloud v16.0.3 über Apache 2.4 und PHP 7.2 installtiert. Ist im LAN erreichbar.
- einen vHost für die Installation (Port 80/443) in der Webstation erstellt
- Zertifikat von Let's Encrypt für die Subdomain (Sub #1) ausgestellt und in den DSM-Einstellungen dieser zugeteilt

- Synology DS618+ per Subdomain inkl. Zerti erreichbar (Sub #2)
- DSM aktuell
- Aktuelle Nextcloud Installation v16.0.3 - Subdomain erstellt und Zertifikat zugewiesen (Sub #1)
- Apache 2.4 & PHP 7.2

Problem:
Per LAN ist die Nextcloud-Subdomain (Sub #1) erreichbar. Wenn ich jedoch über https von außen verbinden möchte, erhält die Subdomain (Sub #1) das Zertifikat der DSM (Sub #2), zugewiesen. Damit ist selbstverständlich keine sichere Verbindung möglich.

Wenn ich der Nextcloud-Subdomain (Sub #1) in den Zertifikatseinstellungen jedoch zusätzlich die "Systemeinstellungen" zuweise, wird dieser erst das korrekte Zertifikat (für Sub #1) zugewiesen und ich erhalte eine https-Verbindung zur Nextcloud. Damit zerschieße ich mir selbstverständlich meinen Zugang (Sub #2) zum DSM der Synology. Diese ist über eine eigene Subdomain (Sub #2) inkl. Zertifikat erreichbar.

Was mache ich hier falsch? Hat jemand einen Rat?

Beste Grüße,

Jens
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Bei den Zertifikaten sollte in der Dienste Liste linker Hand auch der Name des vHost auftauchen den du für Nextcloud angelegt hast. Diesem weißt du das Sub#1 Zertifikat zu.
Die DS unterscheidet nicht nach intern und extern in dem Fall. Das liegt dann eher am Browser (Session, Cookies, und Konsorten) wenn nach einer korrigierten Zuweisung noch das flasche Zertifikat angezeigt/benutzt wird.
 

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo Fusion,

danke für Deine schnelle Antwort!

So habe ich das auch gemacht und die Seite in Safari und Firefox (privater Modus) erneut geladen bzw. Cache geleert dann erneut aufgerufen. Komischerweise kommt dennoch die Fehlermeldung aufgrund des falschen Zertifikates.

Das passiert nicht, wenn ich zusätzlich das Zertifikat den Systemeinstellungen zuweise. Dann wird dem Browser/der Sub #1 das korrekte Zertifikat zugewiesen. Jedoch verliere ich natürlich damit den Zugang zum DSM unter der Sub#2.

Irgendetwas muss dort noch nicht stimmen... :confused:
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Heißt ja, dass die Verknüpfung zwischen Zertifikat und vhost nicht greift. Ohne deine Einstellungen zu sehen schwierig.

Der vhost lautet auf sub1.domain.de, das Zertifikat auf sub1.domain.de und in der Konfiguration der Zertifikate ist sub1.domain.de auch dem Zertifikat sub1.domain.de zugeordnet?
Manchmal übernimmt er die Auswahl rechts nicht richtig. Nach einer Änderung immer noch mal kontrollieren.
Aber da der Wechsel zur Systemvoreinstellung funktioniert hätte ich vermutet, dass dies nicht der Fehler ist.
 

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Guten Morgen Fusion,

korrekt. Da ich gerade nicht auf die Syno Oberfläche zugreifen kann (hatte mich gestern, wie oben beschrieben, ausgeschlossen und die Syno steht im Büro), poste ich die Screenshots gegen 11 Uhr hier.

Aber ja. Der vHost ist auf die Subdomain ausgestellt auf der auch das Zertifikat ausgestellt ist. Und das die Übernahme der Einstellungen bei der Zuordnung der Zertifikate den einzelnen Diensten klappt, habe ich auch noch einmal kontrolliert. Man muss noch einmal mit dem Curser in einem anderen Feld "bestätigen" erst dann greift die Einstellung... ;-)

Ich denke ebenfalls, dass es mit der Übergabe der Zertifikate an den Browser zu tun hat. Jedoch habe ich 2 Browser ausprobiert / Caches gelöscht / Zuordnung der Zertifikate kontrolliert. Und dennoch bleibt das Problem.

Wie Du schon bemerkt hast. Die Subdomain mit dem Zertifikat greift, wenn das Zertifikat neben der Subdomain für Nextcloud auch den Systemeinstellungen zugewiesen wird. Anders leider nicht... Sehr merkwürdig.

Ich melde mich nachher wieder mit Screenshots meiner Konfiguration.

Aber schon mal herzlichen Dank für Deine Mühe! :)

#### EDIT ####

Durch eine Änderung in der config.sys, welche ich wieder Rückgängig gemacht habe, kann wieder keine Verbindung zum Server aufgebaut werden.
Da das Ganze nun immer komplizierter wird spiele das Nextcloud noch einmal neu auf. Vielleicht klappt es dann mit der Nextcloud. Ansonsten bleibe ich beim stabilen System von Synology selbst. ;-)

Ich danke Euch für die Unterstützung!

Beste Grüße,

Jens
 
Zuletzt bearbeitet:

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Okay. Ich versuche es noch einmal, denn es ist nicht zu erklären.

Nachdem ich die Nextcloud-Installation, Apache 2.4, PHP 7.2, PHP 5.2, phpMyAdmin, vHost, Zertifikat für Subdomain und die Webstation deinstalliert/gelöscht hatte und noch einmal von vorne anfing, klappte es auf einmal mit dem korrekten Zertifikat für die Nextcloud-Subdomain!

Jedoch, als ich einen neuen User im Backend von Nextcloud einrichten wollte, stockte die Verbindung und es kam zu einem Fehler. Ein Neuladen der Verbindung brachte Erkenntnis: Das Zertifikat änderte sich wieder - ohne mein Zutun auf die Subdomain auf das Synology NAS! Wie ist das denn zu erklären? In den Dateien config und php habe ich nichts mehr umgestellt.

Ich habe daraufhin wieder einmal den vHost gelöscht, das Zertifikat gelöscht, den Server und Dienste neu gestartet. Aber es bleibt beim selben Ergebnis. = > Die Subdomain der Nextcloud-Installation (Sub #1) erhält das Zertifikat der Syno (Sub#2).
Und selbstverständlich habe ich die Zuordnung unter > Sicherheit > Netzwerk > Konfiguration eingestellt.

Vielleicht hat noch einer von Euch eine Idee dazu? Ich bin am verzweifeln!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Sehr vertrackt. Hab grad keine zündende Idee mehr.
Benutzerverwaltung in Nextcloud ist ja php und sqlite oder mysql (je nach Datenbankwahl), denke das hatte nichts mit zu tun, eher der Page-Reload, nur warum ... Im Browser bleibt dabei immer schon die sub1.domain.de erhalten stehen nehme ich an?
 

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo Fusion,

ganz richtig. Die Sub #1 bleibt im Browser bestehen. Wenn man dann auf die Info zum angewendeten Zertifikat sieht, weiß man, dass er wieder das Sub #2 Zertifikat verwedet hat - obwohl dies explizit nicht so eingestellt ist.
Das geschieht auch mit mehreren Browsern und im privaten- normalen Modus.

Ich bin mit meinem Latein auch am Ende... ;-) Hat noch jemand eine Idee dazu?
 

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

um das Ganze einmal etwas zu visualisieren, habe ich Screenshots angehängt. Vielleicht weiß noch jemand einen Hinweis?

Korrekte Konfiguration des Zertifikats im Backend

Konfiguration ohne Systemeinstellungen im Menu?.jpg

Ergibt: Keine SSL Verschlüsselung. Das Zertifikat wird nicht angenommen.

Kein SSL.jpg

Zertifikatswarnung.jpg

Wenn ich jedoch die "Systemvoreinstellungen" mit einbeziehe erhält der Browser das gültige SSL-Zertifikat der Nextcloud Subdomain

Konfiguration mit Systemeinstellungen im Menu?.jpg

Wie das dann korrekt aussieht kann ich hier nicht zeigen, da ich ansonsten nicht mehr auf die DS zugreifen kann.

Vielleicht hat noch jemand einen Hinweis?

Beste Grüße

Jens
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Du hast einmal vergessen die Domain zu anonymisierten. :)

Wie sieht der vhost aus?
Wieso steht da nur NC links in der Zertifikats-Konfigurationsliste? Bei mir steht da der volle nc.domain.de hostname.
 

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Danke Fusion,

den Fehler mit der Domain sollte nun korrekt sein. Hab das irgendwie übersehen... :eek:. Danke für den Hinweis!!

Der vHost sieht folgender Maßen aus:

vHost.jpg

Sollte doch so korrekt sein. Oder?

EDIT:

Okay... Wenn ich den vollen Hostnamen im vHost angebe, findet er leider die Installation nicht mehr? Aber der Weg scheint richtig zu sein...

mit vollem Hostnamen.jpg
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Der hostname muss komplett sein, sonst bezieht er sich auf eine andere dns zone, eventuell nc.local etc.
Dann 'greift' auch der vhost erst richtig. Und damit ist dann vermutlich jetzt der Pfad falsch, weil er unter nc.domain.de/NC also /web/nc/nc natürlich nix finden kann.
 

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hey Fusion,

danke für den Hinweis! Ich hab es so umgesetzt, stoße jedoch auf ein anderes "Hindernis".

Wenn ich den vHost korrekt konfiguriere (mit voller Domain) greift dieser richtig. Perfekt! Das Installationsverzeichnis gebe ich hier korrekt an:

vHost - Korrektes Installationsverzeichnis.jpg

Erhalte dann die o. g. Fehlermeldung. Wenn er auf das Unterverzeinchnis /web/nc/nc zugreift - wie komme ich dann eine Ebene höher, wenn ich den vHost nicht ändern kann?
Wenn ich diesen dann nur in das Verzeichnis /web zeigen lasse, findet er die Installation auch nicht mehr.

Könnte dann noch etwas in der config.php falsch sein?

Vielen Dank schon einmal für Deine Hilfe! :)

Es kommt dann die Fehlermeldung: "No input file specified. "
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Der vhost ist ja korrekt so.
Die Doppelung kommt erst durch die vorherige Installation und Konfiguration zu stande.

Entweder du installierst NC neu oder du gehst mal in die (von der Konsole gesehen, vom DSM aus fehlt volume1) /volume1/web/nc/config/config.php und schaust dir mal die trusted Domains (voller Hostname) und overwrite.cli.url (https://voller-Hostname) und data directory (/volume1/web/nc, falls du es nicht woanders hingepackt hast) an, ob das passt.
 

silberserver

Benutzer
Mitglied seit
22. Jul 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Danke Dir Fusion!

Ich hab in der config.php schon geschaut und alle Daten soweit angepasst und den Webserver neu gestartet. Leider bekomme ich dennoch eine "File not found" Meldung.
Aber ich installiere NC einfach noch einmal neu. Mittlerweile habe ich ja Ahnung davon. ;-)

Ich danke Dir schon mal ganz herzlich für Deine Mühe. Dabei habe ich einiges dazugelernt und kann es beim nächsten mal gleich besser machen.

Beste Grüße!

Jens
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat