LE Zertifikat nicht für meine Synology DDNS Domain

Christian72D

Benutzer
Mitglied seit
29. Apr 2010
Beiträge
681
Punkte für Reaktionen
10
Punkte
44
Alter
49
Ich nutze Synology als DDNS Anbieter und wollte eben mal meinen Status wegen dem Bug überprüfen, dort wurde mir dann folgendes angezeigt:

Rich (BBCode):
certificate is valid for fritz.box, www.fritz.box, myfritz.box, www.myfritz.box, fritz.nas not XXXXXX.myds.me

Wie kommt das? Die myds.me Domain habe ich ja ausdrücklich angegeben.
 

Kurt-oe1kyw

Benutzer
Mitglied seit
10. Mai 2015
Beiträge
6.735
Punkte für Reaktionen
481
Punkte
209
ich versuche es dir "schonend" zu erklären, da steht eindeutig:
Dieses Zertifikat ist gültig für die "Adresse(n)" fritz.box sowie www.fritz.box weiters myfritz.box und www.myfritz.box aber nicht für xxxxxx.myds.me
Du musst dir ein Zertifkat für xxxxxxxxxx.myds.me holen, dann klappt das auch mit dem Zertifikat WENN du xxxxxxxx.myds.me aufrufst.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
5.514
Punkte für Reaktionen
263
Punkte
183
kämpfe gerade mit dem gleichen Problem

eine meiner DS ist wieder ans Netz gegangen, diesmal jedoch mit einer neuen Fritzbox. Die FB hat wohl selber einen LE besorgt und ich kann nun keinen Zert in der DS bestellen, oder besser gesagt es Zert ist invalid und funktioniert nicht wenn ich mich von aussen verbinden will.



---------
noch blöder: der Zert den die FB erstellt hat, ist nicht von LE, es ist ein selfsigned und ich komme nun nicht in das Netzwerk weil es ein Zert offenbar auf die öffentliche feste IP des Anschlusses lautet.
 
Zuletzt bearbeitet:

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.465
Punkte für Reaktionen
447
Punkte
163
Das klingt für mich eher danach, dass ihr nicht auf eurer DS sondern auf der Fritte landet.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
5.514
Punkte für Reaktionen
263
Punkte
183
nein, das kennen wir schon länger

das Problem hier ist, die FB produziert eigenes Zert und der ist so blöd, dass man dann die LE von der Syno nicht findet, FB blockiert alles vorher weil es angeblich die Domain nicht in der Liste hat. Das stimmt auch, es sind nur alias fritz.box und so was drin.
Bei einer Verbindung wird versucht SSL damit aufzubauen. Da es ein selfsigned ist, wird eine Ausnahme offeriert vom Browser. Danach kommt jedoch nur eine Meldeung der FB welche kommentiert dass die Domaine etc nicht im Zert vorhanden ist und darum geht es nicht.
Die Website ist dann von der FB, zu der DS kommt man so nicht.
 

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.465
Punkte für Reaktionen
447
Punkte
163
Die Frage ist doch, warum sich die FB da überhaupt einmischt.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
5.514
Punkte für Reaktionen
263
Punkte
183
an dem Anschluss hatten wir vor her unser eigenen Router.
Jetzt wurde der Provider zwangsweise geändert und bringt auch zwangsweise seine FB. Wir können da nichts machen dran, müssen jeden Wunsch dem Provider melden und der macht es dann nach etwa 6 Wochen.

Port 5001 geht an die DS, aber mir scheint alles andere ist ziemlich verwirrend.
Wenn ich die PS aufrufe, also url/photo, geht es auch, ich komme an 443 der DS und dort meldet sich die DS mit ihrem LE.

Nun habe ich auf der DS auch nextcloud zum Bsp.
Nextcloud soll sich melden via nextcloud.[meine domain]
Wenn ich das eingebe, wird eine SSL aufgebaut, jedoch bis zu der FB und die lässt mich nicht weiter, weil die domain nicht in dem Zert drin ist.

Eigentlich war es früher so, bei meiner alten FB musste ich den ssl Port verstellen, weil sonst ein https immer bei dem internen Webserver der FB landete. Habe ich dann auf 450 gestellt und es geht.
Ich dachte jedoch, dies sei bei den neuen FB heute nicht mehr so, der FB interne Webserver für die Konfig hört wo anders.

Nun scheint es so, dass alle Anfragen https auf 443 irgednwie bei der FB landen.
Die FB selber schickt dann zurück eine Fehlermeldung, die url sei nicht in ihrem Zert vorhanden und darum wurde es aus Sicherheitsgründen blockiert.
Ich soll eine Ausnahme im Rebind Schutz erstellen.
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.462
Punkte für Reaktionen
412
Punkte
129
Ist der myfritz- Zugang aktiviert ? Der läuft m.w. auf Port 443.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
5.514
Punkte für Reaktionen
263
Punkte
183
bei der FB bei mir zu hause ist es so, da musste ich damals alles weg von 443 bewegen was in der FB läuft. Huer im Forum wurde ich belehrt, dass dies nicht mehr nötig ist weil angeblich alles irgendwo weit oben laufen soll.

Wir haben nicht direkt Zugang zu der FB, darum weiss ich nicht genau was da eingestellt ist.

Jetzt haben wir gebeten den Provider diesen Rebind Schutz Ausnahme zu machen.
War sehr schnell heute.
Jetzt geht es, und wenn ich dann den nextcloud virtual host anrufe, meldet sich DS mit dem entsprechenden LE welchen ich dafür bezogen habe.

Ehrlich gesagt, habe ich nie ganz genau verstanden was dieses Rebind Schutz genau machen soll.
 

Christian72D

Benutzer
Mitglied seit
29. Apr 2010
Beiträge
681
Punkte für Reaktionen
10
Punkte
44
Alter
49
ich versuche es dir "schonend" zu erklären, da steht eindeutig:
Dieses Zertifikat ist gültig für die "Adresse(n)" fritz.box sowie www.fritz.box weiters myfritz.box und www.myfritz.box aber nicht für xxxxxx.myds.me
Du musst dir ein Zertifkat für xxxxxxxxxx.myds.me holen, dann klappt das auch mit dem Zertifikat WENN du xxxxxxxx.myds.me aufrufst.

Und ich versuche SCHONEND zu antworten: wenn ich das zertifikat über die Synology für EXAKT DIESE DDNS Adresse anfordere, wieso bekomme ich DIESES dann nicht?

Was da steht weiß ich, lesen kann ich, verstehen auch, sofern was logisches bei rum kommt.
 

Christian72D

Benutzer
Mitglied seit
29. Apr 2010
Beiträge
681
Punkte für Reaktionen
10
Punkte
44
Alter
49
Jetzt wird es immer geiler: nachdem ich dann heute morgen von extern überhaupt nicht mehr auf die Synology kam, habe ich mir ein komplett neues Zertifikat ausstellen lassen, dieses wurde jetzt auch für meine DDNS Adresse angenommen.

Aber: jetzt komme ich nicht mehr auf meine Photo Station, weder intern noch extern.

Was ist DAS jetzt???
 

Humunkulus

Benutzer
Mitglied seit
21. Feb 2020
Beiträge
71
Punkte für Reaktionen
0
Punkte
6
Salve,
ich klinke mich mal hier ein . Also ich behaupte das mein Let´s encrypt zertifikat grundsätzlich funktioniert, jedoch muss ich immer den ":xxxport" mit angeben , sonst bekomme ich beim Browser Fehler 502 . Ist das Normal ?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
5.514
Punkte für Reaktionen
263
Punkte
183
mach in deiner Fritz box die Ausnahme in der Rubrike Rebind Schutz.
Das funktioniert dann und du kannst einen LE bestellen auf diese Domain.

Hat heute bei mir funktioniert
 

Humunkulus

Benutzer
Mitglied seit
21. Feb 2020
Beiträge
71
Punkte für Reaktionen
0
Punkte
6
Danke,

habe ich schon gemacht und die fritte neu gestartet, ist leider immer noch so.
Habe soeben entdeckt das der Kaspersky "Web Filter" oder Https "Scanner" auch noch dazwischen funkt, sogar bei https://www.alternate.de wird mir eine Art Ersatzzertifikat angezeigt wenn ich oben neben der Adresszeile auf den Schlüssel klicke.
Habe daraufhin meine domain in die KAspersky Ausnahmen eingegeben, nun sehe ich auch das Let´s encrypt Zertifikat und Mozilla FF nimmt es auch an, jedoch muß ich immer noch den : " Port" angeben . Nur mit https://www.xxxdomain/ gibt´s immer Fehler
502 "Bei der Verarbeitung dieser Anforderung ist ein Fehler aufgetreten"...............

Vielleicht ist das noch wichtig : Ich habe meine Domain bei selfhost , nicht synology falls das noch einen Unterschied machen sollte.......
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
5.514
Punkte für Reaktionen
263
Punkte
183
ja, also ohne Portangabe geht bei mir auch nichts sinnvolles