Frage zu Domains und SSL-Zertifikat

[steje43]

Hallo,

ich habe die DS213+ seit 12/2012 und bin sehr mit der DS zufrieden.
Seit 2013 läuft ein Mailserver und viele weitere Dienste absolut zuverlässig.

Nun wird die DS213+ am Wochenende durch die DS216+ ersetzt.
Bei der DS213+ habe ich für meine dyn. Domain ein Zertifikat installiert.
Also meine Domain ist seit Jahren über https erreichbar.

Nun habe ich mir eine zweite Domain besorgt und diese auch in der DS eingerichtet.
Webseite Domain1 mit SSL ist erreichbar, Webseite2 Domain 2 ohne SSL auch.

Nun dachte ich mir, super läuft ja wie gewohnt alles einwandfrei.
Also SSL-Zertifikat für die Domain2 besorgt und installiert.

Bums, hier kam dann der Fehler. Zertifikat wurde installiert und die Webseite ist nicht mehr erreichbar.

Sehe ich das richtig, dass man zwar mehrere Domains auf der DS einrichten kann, aber nur eine mit SSL erreichbar ist?

Wie kann ich beide Domains über https mit jeweils eigenen Zertifikaten einrichten und erreichen?

Oder ist das nicht möglich.?

Kann ich die Domain 1 mit https einfach löschen und die zweite Domain mit SSL einrichten?

Gruß
Jens

 

[frankyst72]

stecke da nicht so tief drin, aber was ich weiß ist:
Mit DSM 5.2 kann man nur ein Zertifikat hinterlegen
Mit DSM 6 kann man mehrere Zertifikate hinterlegen (im Moment ist DSM 6 noch beta (2))

was noch ggf auf der Shell geht, weiß ich nicht

 

[Frogman]

Unter DSM 5.x hilft da nur ein Multi-Domain-Zertifikat, was beide Domains beinhaltet - gibt es aber nicht mehr zum Nulltarif .

 

[Matthieu]

Prinzipiell kann ein Webserver pro IP und Instanz (und damit auch pro Port) immer nur ein Zertifikat ausliefern, es sei denn beide Seiten (Server und Client) unterstützen SNI. Aktuell sollten da nur alte Android Versionen (vor 3) und XP-Clients Probleme machen. Alle anderen können es.
Ein paar schöne Erklärungen habe ich hier gefunden: https://faq.hosteurope.de/?cpid=18090
Auch die Unterstützung mehrerer Zertifikate ab 6.x bezieht sich auf die Verwendung für unterschiedliche Applikationen (Web Station, DSM, Cloud Station, ...) die jeweils als unterschiedliche Instanzen laufen. Die Web Station ist aber ebenso an die Einschränkungen gebunden die mit SNI einher gehen.

MfG Matthieu

 

[OdinsAuge]

Unter DSM 5.x hilft da nur ein Multi-Domain-Zertifikat, was beide Domains beinhaltet - gibt es aber nicht mehr zum Nulltarif .

Aber wenn ich mir im DSM ein Zertifikat generiere, kann ich doch alternative Domains angeben. Oder ist das was anderes?

 

[geimist]

… Auch die Unterstützung mehrerer Zertifikate ab 6.x bezieht sich auf die Verwendung für unterschiedliche Applikationen (Web Station, DSM, Cloud Station, ...) die jeweils als unterschiedliche Instanzen laufen. Die Web Station ist aber ebenso an die Einschränkungen gebunden die mit SNI einher gehen. …

Gehe ich da richtig in der Annahme, dass man in DSM 6.0 auch für einen virtuellen Host kein abweichendes Zertifikat verwenden kann?

 

[Frogman]

Aber wenn ich mir im DSM ein Zertifikat generiere, kann ich doch alternative Domains angeben. Oder ist das was anderes?

Bei Let's Encrypt kannst Du Dir auch kostenlose Zertifikate für mehr als eine Domain ausstellen lassen, das ist richtig.

 

[OdinsAuge]

Bei Let's Encrypt kannst Du Dir auch kostenlose Zertifikate für mehr als eine Domain ausstellen lassen, das ist richtig.

Let's Encrypt ist doch ein externer Anbieter. Ich meinte, wenn ich auf der DiskStation unter Zertifikate ein neues Zertifikat erstelle und nicht eines importieren.

 

[OdinsAuge]

Ich hab grad folgendes Problem. Als CN hab ich xxx.synology.me angegeben, als Alternative die LAN IP 192.168.x.x.
Wenn ich von außen auf xxx.synology.me zugreife heißts der CN name würde nicht übereinstimmen (Warnmeldung von Chrome), selbiges wenn ich vom LAN aus auf die IP zugreife.
Auch SSLlabs sagt das selbe, erkennt aber die beiden eingetragenen Namen (CN als auch alternative).


Liegts an der DDNS, kann SSL damit nicht umgehen? Und warum bekomm ich den selben fehler auch wenn ichs intern über die IP versuche?