Das richtige SSL-Zertifikat und diverse Fragen dazu

[fraubi]

Hallo zusammen,

ich möchte meine DS716+ gerne auf https-Verbindungen umstellen. Dazu brauche ich ein ja SSL-Zertifikat, damit der Browser
nicht immer Fehlermeldungen beim externen Zugriff ausgibt. Zu dem SSL-Zertifkat ist mir so einiges nicht ganz klar, obwohl ich die Anleitung von Synology dazu gelesen habe. Daher hoffe ich, dass ich hier einige Infos von Euch erhalten kann.

Folgende Ausgangssituation ist vorhanden :

- FritzBox 6490 Cable ist vorhanden
- es existiert ein Dyndns-Account "mein.dyndnsacount.org"
- es exisitiert eine Domain "www.meinedomain.de"
- ich verwende für den externen Zugriff auf das NAS diverse Subdomains (z.B. www.musik.meinedomain.de, www.fotos.meinedomain.de, www.download.meinedomain.de). Diese können sich auch mal ändern bzw. es können weitere dazukommen.
- die vorhandenen Subdomains (z.B. "www.musik.meinedomain.de") leite ich aktuell mittels "mein.dyndnsaccount.org/audio" an die DS716+ weiter
- ich habe von Kabeldeutschland eine feste IP-Adresse

Da das Zertifikat von Lets Encrypt alle 3 Monate abläuft würde ich mir gerne auch ein kostenpflichtiges Zertifikat besorgen, was länger gültig ist. Dieses muss nach meinen Informationen die Verwendung der diversen Subdomains berücksichtigen können. Nennt sich wohl "Wildcard-Zertifikat".

Soweit zu den Gegebenheiten. Doch so ganz ist mir das alles nicht klar, daher habe ich folgende Fragen :

- woher bekomme ich ein entsprechende Zertifikat, das die Verwendung von wechselnden Subdomains berücksichtigt ?
- kann man das Zertifikat auch in die Fritzbox importieren oder muss das in das NAS importiert werden
- in welchem Zusammenhang stehen für die Verwendung und Beantragung des Zertifikates der bestehende Dyndns-Account, die vorhandene DE-Domain und die feste IP-Adresse ? Könnte ich trotz Zertifikat die vorhanden Subdomain auch direkt auf die feste IP-Adresse umleiten (z.B. 90.xxx.x.xx/audio) ? Oder geht das nur mit dem Dyndsn-Account ?
- wird der Dyndns-Account überhaupt benötigt ?

Und zum Schluss noch,.....was wäre aus Eurer Erfahrung noch zu berücksichtigen ?

Sicher habe ich noch diverse Fragen, die sich mir zur Zeit noch nicht stellen. Daher würde ich mich sehr über Eure Infos freuen.

Besten Dank und viele Grüße
Fraubi

 

[blinddark]

Dyndns benötigst du auf jeden Fall nicht mehr unbedingt, wenn du eine Feste IP hast. Du kannst nun bei deinem Anbieter der Domain als A-Record deine feste IP hinterlegen. nun hast du volgende domains.
www.domain.de
sub1.domain.de
sub2.domain.de
sub3.domain.de
unter DSM 6 kannst du unter Systemsteuerung, Anwendungsportal für diverse Apps eine eigene Sub-Domain hinterlegen. Dazu markierst du einfach die Audiostation und gehst auf bearbeiten. Hake den letzten Punkt an und gebe hier z. B. sub1.domain.de an. Den Rest erledigt die Ds.
Ein gekauftes Zertifikat kannst du in die FB importieren. Dazu kannst du dir den nachstehenden Beitrag mal durchlesen:
https://www.larslippek.de/news/31-zertifikat-für-den-externen-zugriff-importieren.html
Wo du ein wildcard-Zertifikat her bekommst, welches auch einen angenehmen Preis hat, kann ich dir aber nicht sagen.
Den Zugriff auf deine Fritz!Box kannst du theoretisch sogar über die DS abdecken. Dazu kannst du im Anwendungsportal unter Reverse-Proxy eine Weiterleitung von sub2.domain.de:443 oder 8443 auf fritz.box:80 oder auch über https 443 im Standard einrichten.

 

[fraubi]

@blinddark

Danke für den Tipp mit dem A-Record. Das habe ich bei meiner Domain so hinterlegt.



In der Fritzbox sind die Portfreigaben korrekt gesetzt und im DSM habe ich eingestellt, dass Anfragen über HTTP direkt an HTTPS weitergeleitet werden. Zudem habe ich mir ein Let's Encrypt-Zertifikat für meine Domain auf dem NAS eingerichtet.

Irgendwo habe ich aber noch einen Denkfehler, vielleicht kannst Du mir einen Tipp geben....

- die Domain heisst z.B. www.gehtnicht.de und liegt bei 1&1
- bei der Domain ist als A-Record meine feste IP-Adresse eingetragen (siehe Screenshot oben)
- das Let's Encrypt-Zertifikat läuft auf www.gehtnicht.de
- meine feste IP-Adresse lautet 90.xxx.x.xx

Was muss ich bei 1&1 als Weiterleitungsziel für die Domain www.gehtnicht.de eingeben. Dort ist die Auswahl entweder "Webspace" oder eine HTTP-Weiterleitung möglich. Versucht habe ich bislang folgende Varianten:

Weiterleitungsziel = Webspace
Weiterleitungsziel = http://90.xxx.x.xx
Weiterleitungsziel = http://www.gehtnicht.de
Weiterleitungsziel = https://www.gehtnicht.de

Egal welches Weiterleitungsziel ich eingetragen habe, ich erhalte beim Aufruf der Domain von extern immer nur Fehlermeldungen.

Bei Aufruf über

http://www.gehtnicht.de kommt die Fehlermeldung "403 - Bei der Verarbeitung dieser Anforderung ist ein Fehler aufgetreten."
https://www.gehtnicht.de kommt die Meldung, dass die Verbindung nicht sicher ist, weil das Zertifikat nur für "gehtnicht.de" ausgestellt ist.

Momentan habe ich aus meiner Sicht wohl schon so alle Einstellungemöglichkeiten durch, und weiss nun absolut nicht, wo ich noch ansetzen könnte.

Würde mich über Tipps die zur Problemlösung führen sehr freuen.

Besten Dank
Fraubi

 

[blinddark]

Hallo,

da ich blind bin kann ich mit deinen Bildern zwar momentan nicht so viel anfangen, aber ich bringe mal etwas Licht ins dunkel.
domain.de hat als a-Record deine feste ip.
die domains www.domain.de sub1.domain.de, sub2.domain.de usw. kannst du alle an domain.de weiter leiten. den Rest übernimmt die ds. Dafür setzt du bei www.domain.de in den DNS-Einstellungen den CNAME-Record domain.de. bitte mit dem . am Ende. Das Gleiche machst du für alle Anderen Subdomains auch.
Nun geht es an das Generieren für das Zertifikat:
Im Assistenten trägst du bei domain domain.de ein. bei alternative namen www.domain.de,sub1.domain.de,sub2.domain.de usw. Wichtig ist, dass das www.domain.de mit bei den alternativen drin steht. Anders herum gab es bei mir früher immer Probleme.
Nun sollte es schon funktionieren.

 

[fraubi]

Obwohl Du meine Bilder bedauerlicher Weise nicht sehen kannst, danke ich Dir recht herzlich für Deine Kurzanleitung.

Ich glaube ich habe schon ein grundlegenden Verständnisproblem. Du schreibst einmal www.domain.de (mit www) und einmal domain.de (ohne www). Wo ist der Unterschied ?

Bei 1&1 steht als Domainname nur domain.de (ohne www). Diesem ist in den DNS-Einstellungen als A-Record auch meine feste IP-Adresse zugewiesen. Also Teil 1 Deiner Anleitung passt dann soweit.

Eine Domain www.domain.de (also mit www) gibt es in der Übersicht bei 1&1 nicht. Somit kann ich diese nicht auf domain.de (also mit www) weiterleiten. Die Subdomains habe ich alle an domain.de (ohne www) umgeleitet. Teil 2 Deiner Anleitung habe ich somit teilweise umgesetzt.

Du schreibst, ich solle bei www.domain.de (also mit www) in den DNS-Einstellungen den CNAME-Record auf domain.de (also ohne www) setzen.
Den Eintrag www.domain.de (mit www) gibt es wie gesagt nicht. Und bei domain.de (ohne www) kann man den Eintrag nicht setzen, weil dort schon als A-Record meine feste IP drinsteht. Daher weiss ich leider nicht, wo genau ich diesen Eintrag machen soll.

Sorry für meine komischen Fragen, ich dachte eigentlich, dass ich was Netzwerktechnik angeht recht fit bin, aber hier bin ich am Ende meines Wissens angekommen.

Kannst Du mir irgendwie weiterhelfen ?

Danke für Deine Mühe
Fraubi

 

[blinddark]

ja, die unterschiedlichen Schreibweisen sind schon richtig. www.domain.de ist auch nur eine sub-Domain von domain.de Dazu ist es bei Strato z. B. etwas besser erklärt als bei 1&1:
https://www.strato.de/faq/article/1525/Was-sind-Subdomains.html

Wenn du diesen Grundsatz beherzigst sollte es voran gehen. ;-) Sonst einfach fragen.