Zugriff per https / SSL-Zertifikat Fehler

[sektion31]

Moin!

ich nutze eine Dyndns Domain von Strato in meiner Fritzbox. www.xyz.de
Das klappt auch das ich darauf auf ftp, syno drive, dsm usw. auf meine DS716 komme.

Nun würde ich gern das mittels SSL tun. Allerdings wenn ich ein Zertifikat im DSM einrichte bekomme ich keine Verbindung mehr.
Port ist in der Fritzbox freigegeben.

Leider kann ich bei Strato mir kein SSL Zertifikat holen, da es hier bei den Domains nur SSL oder DynDNS gibt.

Jemand einen Tipp wie man vorgehen könnte?

 

[Fusion]

Was heißt denn konkret "bekomme keine Verbindung" mehr?

Timeout im Browser?
Meckert er nur über das Zeritifikat?
Welcher port ist für was freigegeben?
Lautet der Name des Zertifikats exakt so wie du ihn aufrufst?
Testest du das von extern oder intern im LAN/WLAN?

 

[sektion31]

Zertifikat ist ungültig.

5001 ist freigegeben.
Das Zertifikat hab ich das von der DSM genommen, von encrypted?

teste es von extern. ipad mit LTE

 

[NSFH]

Du musst die ein Zertifikat von Lets Encrypt holen und dieses als Standard für alle Funktionen in der Syno installieren. Dann klappt auch https.

 

[sektion31]

habe nun den dyndns eintrag aus der Fritzbox rausgeworfen und alles in DSM eingerichtet. Dazu das Zertifikat von Lets Encrypt und alle Dienste dort aktiviert
Allerdings kommt immer noch der Fehler das das Zertifikat fehlerhaft ist.

 

[NSFH]

Hast du das LE Zertifikat allen Diensten zugeordnet?
In der Fritz Port 5001 (DSM) und/oder 5006 (WebDav) weitergeleitet auf die IP der Syno?

 

[sektion31]

ja LE Zertifikat ist allen Diensten zugeordnet.
Ebenso ist der Port 5001 an die Syno weitergeleitet.

Der Hostname im Sicherheitszertifikat der Website stimmt nicht mit dem Namen der Website überein, die Sie besuchen möchten.
Fehlercode: DLG_FLAGS_SEC_CERT_CN_INVALID

 

[the other]

Moinsen,
hast du denn, wie Fusion schon am Anfang fragt, mal geschaut, mit welcher Angabe du deine Seite aufrufst und ob das mit den Angaben im Zertifikat zu 100 Prozent übereinstimmt...?

 

[NSFH]

du trägst in der Syno den subdomain Namen ein, unter dem sie erreichbar sein soll: sub.meineDomain.de
Auf genau den Namen muss auch das Zertifikat lauten.

 

[sektion31]

ich hab keine subdomain, sondern direkt die www.xyz.de
muss das über eine sub laufen?

und ja zertifkat läuft auf www.xyz.de oder muss das www weg?

 

[Fusion]

Alles vor einem Punkt ist eine Subdomain, auch www.

Wenn das Zertifikat auf "www.example.com" lautet (wir nehmen am besten die offiziellen Beispiel Domains nach RFC) und du https://www.example.com:5001 aufufst, welchen Fehler bekommst du dann?
Und wenn es der oben genannte ist DLG_FLAGS_SEC_CERT_CN_INVALID dann solltest du dringend mal nachschauen, welches Zertifikat der Browser dann da bemängelt und auf welchen Namen dieses ausgestellt ist, weil www.example.com ist es dann mit Sicherheit nicht.

 

[sektion31]

Guten Morgen!

Zertifikat bemängelt tatsächlich www.example.com ?!
Auch schon Cache vom Browser gelöscht etc.

Gebe ich https://www.example.com:5001 - dann kommt die Webseite sei nicht sicher.

 

[Benares]

Schau dir mal die URL und dann parallel dazu die Details des Zertifikats (Rechtsklick aufs Schloss) nach dem Aufruf genau an.
Der Name in der URL muss in der Liste der "Alternate Names" (Alternative Antragstellername) enthalten sein. In deinem Fall sollte example.com als Antragsteller und auch bei "Alternative Antragstellername" drinstehen. Sonst stimmt was mit dem Zertifikat nicht. Natürlich darf es auch nicht abgelaufen sein.
Vergleiche das mal bitte auch mal mit einer beliebigen https-Website, die funktioniert.

 

[sektion31]

ich hab das synology forum mal genommen, dort steht unter DNS: synology-forum.de und www.synology-forum.de
bei mir steht nur example.com

Zertifikat hab ich über die DSM beantragt.

 

[Benares]

D.h. bei dir steht "example.com" als Antragsteller und als einziger Eintrag bei "Alternative Antragsteller"?

Edit:
Ich hab grad mal bei mir geschaut. Da steht auch nur example.com als Antragsteller und als einziger "Alternativer Antragstellername" drin.
Rufe ich die Seite mit https://example.com auf, funktioniert es, mit https://www.example.com aber nicht.
Ich denke, dafür muss bei der Beantragung bereits www.example.com bei "Betreff Alternativer Name" mit hinzu.

 

[sektion31]

ja und "nicht kritisch"

 

[Benares]

So, ich habe mein LE-Zertifikat nun neu erstellt, mit "example.com" als "Domainname" und "example.com;www.example.com" als "Betreff Alternativer Name".
Damit klappt nun der Zugriff sowohl über "example.com" als auch über "www.example.com"

 

[Fusion]

Example.com musst du nicht auch noch bei alternativen Namen eintragen