- Registriert
- 01. Sep. 2012
- Beiträge
- 17.485
- Reaktionspunkte
- 9
- Punkte
- 414
Daran wird sich auch nichts ändern... Als Anmerkung: es reicht auch nur Port 443, bei entsprechender Konfiguration kann die Challenge auch darüber laufen.
Let's Encrypt: kostenlose SSL-Zertifikate
- Ersteller Frogman
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
Hallo Frogman,
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt: kostenlose SSL-Zertifikate
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt: kostenlose SSL-Zertifikate
Habe das Zertifikat für meine Domain problemlos ans Laufen gekriegt.
Wenn ich über VPN verbunden bin nutze ich die interne IP Adresse meiner DS (192.168.2.3) und bekomme weiterhin einen Zertifikatsfehler. Das macht für mich auch Sinn, da das Zertifikat ja für meine Domain ausgestellt ist.
Mich würde trotzdem interessieren, wie man diesen internen Zertifikatsfehler vermeiden kann? Kann ich dafür ein zweites Zertifikat ausstellen oder muss ich intern auf "https" verzichten? Wenn ja, bedeutet der Zugriff über "http" intern überhaupt ein Sicherheitsrisiko?
Danke!
Wenn ich über VPN verbunden bin nutze ich die interne IP Adresse meiner DS (192.168.2.3) und bekomme weiterhin einen Zertifikatsfehler. Das macht für mich auch Sinn, da das Zertifikat ja für meine Domain ausgestellt ist.
Mich würde trotzdem interessieren, wie man diesen internen Zertifikatsfehler vermeiden kann? Kann ich dafür ein zweites Zertifikat ausstellen oder muss ich intern auf "https" verzichten? Wenn ja, bedeutet der Zugriff über "http" intern überhaupt ein Sicherheitsrisiko?
Danke!
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
Der http Prozess mit der PID 9562
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
dann greif doch über einen Hostnamen zu, der zum Cert passt und auf die interne IP deiner DS zeigt. Das kannst du z.B. dadurch erreichen, dass du die hosts Datei deines Clients anpasst oder indem du einen DNS Server dafür aufsetzt
Der interne Zugriff via http ist solange kein Sicherheitsproblem wie du deinem Netz trauen kannst. Deinem eigenen LAN solltest du trauen können, anders schaut es bei einem öffentlichen WLAN aus.
Ich würd mir auch wünschen, dass man gewissen Dinge abhängig davon konfigurieren kann, von wo man kommt. Wenn ich bei der DS überall https erzwinge kriege ich local halt immer Fehler und in meinem internen Netz ist https auch nicht notwendig.
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
dann setz doch local einen DNS Server auf und erstell eine Zone mit dem Hostrecord so wie er imt Certifikat lautet, einfach mit der LAN IP deiner DS als Ziel. Dann klappt es auch im LAN ohne Warnung.
Wenn du nur von aussen der https Zugriff willst und im LAN nicht, dann leite doch nur die https Ports am Router weiter auf die DS. Somit ist von aussen nur https Zugriff möglich.
3. Möglichkeit: Sofern dein Router Loop-Back kann, kannst Du auch intern die externe Adresse (Domain-Adresse) anstelle der internen IP-Adresse verwenden.
Also, erstens ist https auch lokal (WLAN) sinnvoll, zweitens sollte man sich daran gewöhnen mit Domainnamen zu arbeiten (mit ipv6 eh notwendig) und drittens gehört der eigene DNS-Server aktiviert. Dieser löst dann zum Einen die Domainnamen intern korrekt auf und kann gleichzeitig noch unerwünschte Ziele (M$ Spyware, Werbung, u.a.) ins Nirvana schicken.
Aktuell muss man sich halt ein gewisses Mindestmaß an Nerzwerkkenntnissen aneignen, um halbwegs sicher durchs Web zu kommen.
Aktuell muss man sich halt ein gewisses Mindestmaß an Nerzwerkkenntnissen aneignen, um halbwegs sicher durchs Web zu kommen.
wenn es nur das aktivieren wäre, würde es ggf. jeder machen. Aber dass das funktioniert musst Du am Router rumschrauben und den DNS konfigurieren. Und die Konfiguration ist wirklich nicht selbst erklärend. Ich habe es einfach mal anhand von ein paar Screenshots hier im Forum gemacht und es funktioniert tatsächlich. Ich habe aber nicht verstanden, was ich da gemacht habe. Nebulös schon. Und ich habe jetzt schon mein ganzes Leben mit IT zu tun, ist mein Beruf, bin aber kein Techniker/Admin/Programmierer. Das wird in der breiten Masse nichts, Das geht weit über das Mindestmaß hinaus.
Da gebe ich Dir Recht: Die Konfiguration des DNS-Servers im DSM ist nicht selbsterklärend.
Damit wir jetzt nicht oT geraten: Es gibt generell zwei Szenarien, um mit Domainnamen und dem eigenen DNS zu arbeiten. Im einfachsten Fall habe ich hinter meinem DSL-Router nur 1 Netz; dann muss im DSL-Router der DHCP-Server deaktiviert und auf der NAS aktiviert werden; dort wird dann auch der DNS der NAS eingetragen. Auf dem DNS muss dann nur eine Domain ausgewählt und konfiguriert und das Forwarding aktiviert werden. Anleitung dazu über die Suche.
Das andere Szenario geht von einer Netztrennung aus. Hier übernimmt ein zweiter dedizierter Router hinter dem DSL-Router die Funktion des DHCP-Servers; der DNS kann dann wahlweise auf der NAS oder dem Router laufen. Elementar ist es hier einen 'echten' Router einzusetzen. Und ja auch hier ist es nötig sich schlau zu machen. Ich empfehle dazu die Tutorials bei administrator.de. Die Kosten sind kein Argument: ab 24€ gibt es einen vollwertigen Router.
Damit wir jetzt nicht oT geraten: Es gibt generell zwei Szenarien, um mit Domainnamen und dem eigenen DNS zu arbeiten. Im einfachsten Fall habe ich hinter meinem DSL-Router nur 1 Netz; dann muss im DSL-Router der DHCP-Server deaktiviert und auf der NAS aktiviert werden; dort wird dann auch der DNS der NAS eingetragen. Auf dem DNS muss dann nur eine Domain ausgewählt und konfiguriert und das Forwarding aktiviert werden. Anleitung dazu über die Suche.
Das andere Szenario geht von einer Netztrennung aus. Hier übernimmt ein zweiter dedizierter Router hinter dem DSL-Router die Funktion des DHCP-Servers; der DNS kann dann wahlweise auf der NAS oder dem Router laufen. Elementar ist es hier einen 'echten' Router einzusetzen. Und ja auch hier ist es nötig sich schlau zu machen. Ich empfehle dazu die Tutorials bei administrator.de. Die Kosten sind kein Argument: ab 24€ gibt es einen vollwertigen Router.
Die häufig eingesetzten FRITZ!Box(en) können auch (FRITZ!OS, Version 6.5x) per DHCP einen individuellen DNS Server vergeben.
MMD*
Gesperrt
- Registriert
- 26. Okt. 2014
- Beiträge
- 403
- Reaktionspunkte
- 2
- Punkte
- 24
Hallo,
Beim nachbaren hat jemand was ausprobiert.
Ich wird versuchen für Dolmetscher zu spielen
Was hat er getan:
FQDN gesucht bei www.whatsmyip.org (Hostname und Domainname)
Certificaat generiert mit diese FQDN
Keinerlei Warnung bekommen
Er ist nicht Eigentümer sondern der ISP
Wen sein FQDN ändert hat er ein illegales certificaat
Was denkt ihr dazu? Sollte nicht möglich sein müssen, oder?
Beim nachbaren hat jemand was ausprobiert.
Ich wird versuchen für Dolmetscher zu spielen
Was hat er getan:
FQDN gesucht bei www.whatsmyip.org (Hostname und Domainname)
Certificaat generiert mit diese FQDN
Keinerlei Warnung bekommen
Er ist nicht Eigentümer sondern der ISP
Wen sein FQDN ändert hat er ein illegales certificaat
Was denkt ihr dazu? Sollte nicht möglich sein müssen, oder?
- Registriert
- 06. Apr. 2013
- Beiträge
- 14.227
- Reaktionspunkte
- 959
- Punkte
- 424
@MMD - andere Sprache gewünscht?
Ich nehme an mit FQDN meinst du etwas wie hsi-kbw-......kabel-badenwuerttemberg.de, oder eben entsprechend anders lautend, je nach dem jeweiligen Provider.
Dieser FQDN enthält normal auf einen String mit der aktuellen IP.
Sobald die IP des Internet-Anschluß wechselt, ändert sich auch dieser FQDN.
Bei Lets Encrypt geht es zur Verifikation für ein Zertifikat um die Kontrolle des Webservers (nicht den Besitz) auf dem das Zertifikat laufen soll.
Zum Zeitpunkt der Prüfung stimmen also der FQDN und der dort laufende Webserver überein und es wird ein LE-Zertifikat ausgestellt.
Sobald die IP/FQDN sich ändert wird das Zertifkat ungültig, weil der Common Name im Zertifkat nicht mehr mit dem FQDN des Internetanschlusses übereinstimmt.
Das ist alles genau so wie es vorgesehen ist (und es ist gut so).
Hier unterscheidet sich Let's Encrypt von den gewohnten Diensten wie StartCom und anderen, bei denen man die Kontrolle über die Domain (bzw. der dort gängigen email-Adressen, nicht den Besitz) haben muss.
Also alles in Ordnung und sicher ist es auch. Zudem sorgt dies dafür, dass man deutlich mehr webserver absichern kann als vorher.
P.S. die Sinnhaftigkeit sich auf ein FQDN eines dynamischen Internetanschlusses ein Zertifikat auszustellen sei hier mal nicht weiter betrachtet.
Ich nehme an mit FQDN meinst du etwas wie hsi-kbw-......kabel-badenwuerttemberg.de, oder eben entsprechend anders lautend, je nach dem jeweiligen Provider.
Dieser FQDN enthält normal auf einen String mit der aktuellen IP.
Sobald die IP des Internet-Anschluß wechselt, ändert sich auch dieser FQDN.
Bei Lets Encrypt geht es zur Verifikation für ein Zertifikat um die Kontrolle des Webservers (nicht den Besitz) auf dem das Zertifikat laufen soll.
Zum Zeitpunkt der Prüfung stimmen also der FQDN und der dort laufende Webserver überein und es wird ein LE-Zertifikat ausgestellt.
Sobald die IP/FQDN sich ändert wird das Zertifkat ungültig, weil der Common Name im Zertifkat nicht mehr mit dem FQDN des Internetanschlusses übereinstimmt.
Das ist alles genau so wie es vorgesehen ist (und es ist gut so).
Hier unterscheidet sich Let's Encrypt von den gewohnten Diensten wie StartCom und anderen, bei denen man die Kontrolle über die Domain (bzw. der dort gängigen email-Adressen, nicht den Besitz) haben muss.
Also alles in Ordnung und sicher ist es auch. Zudem sorgt dies dafür, dass man deutlich mehr webserver absichern kann als vorher.
P.S. die Sinnhaftigkeit sich auf ein FQDN eines dynamischen Internetanschlusses ein Zertifikat auszustellen sei hier mal nicht weiter betrachtet.
Hallo in die Runde. Bei mir klappt die Einrichtung über die beta 2 von DSM 6.0 absolut nicht.
"Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist."
Domain: www.domain.de (nur domain.de geht auch nicht)
Mail: webmaster@domain.de (Andere hatte ich auch schon versucht.)
Subdomains: admin.domain.de;plex.domain.de;mail.domain.de (Auch ohne ging nichts.)
Port 80 und 443 sind freigegeben.
meine Einstellungen für dyndns auf der Fritz Box sind:
Dynamic DNS-Anbieter
Benutzerdefiniert*
Update-URL:
https://dyndns.strato.com/nic/updat...=publicip&mx=domain.de&wildcard=ON&backmx=YES
Domainname:
www.domain.de
Benutzername:
domain.de
Auf der Fritz Box steht
Dynamic DNS
aktiviert, www.domain.de, IPv4-Status: erfolgreich angemeldet
Hat jemand einen Rat?
Grüße blinddark
"Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist."
Domain: www.domain.de (nur domain.de geht auch nicht)
Mail: webmaster@domain.de (Andere hatte ich auch schon versucht.)
Subdomains: admin.domain.de;plex.domain.de;mail.domain.de (Auch ohne ging nichts.)
Port 80 und 443 sind freigegeben.
meine Einstellungen für dyndns auf der Fritz Box sind:
Dynamic DNS-Anbieter
Benutzerdefiniert*
Update-URL:
https://dyndns.strato.com/nic/updat...=publicip&mx=domain.de&wildcard=ON&backmx=YES
Domainname:
www.domain.de
Benutzername:
domain.de
Auf der Fritz Box steht
Dynamic DNS
aktiviert, www.domain.de, IPv4-Status: erfolgreich angemeldet
Hat jemand einen Rat?
Grüße blinddark
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
