Toggle sidebar

Mehrere SSL Server-Zertifikate gleichzeitg verwenden

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
D

Darkwing9

Benutzer
Registriert
09. Juni 2013
Beiträge
188
Reaktionspunkte
0
Punkte
16
Hallo zusammen,

ich habe zwei verschiedene Domänen und beide werden auf die DS geleitet. Für beide Domänen habe ich mir über StartSSL ein Zertifikat erstellt.
Beide Zertifikate lassen sich importieren und sie funktionieren auch eiwandfrei. Nur leider möchte die DS immer nur ein Zertifikat und nicht beide gleichzeitig verwalten.
Somit wird eine Domäne als unsicher angezeigt.

Gibt es einen Weg beide Zertifikate einzubinden?

Viele Grüße Darkwing
 
Meines Wissens nur über eine weitere IP bzw. Port.
Das Problem ist M.E. darin begründet, dass der Webserver bereits sein Zertifikat vorzeigen muss, bevor er überhaupt weiss, was (welche Domain) der Client anfragt.
Ist aber damit auch ein Sicherheitsfeature.
Ob die Syno das unterstützt, kann ich nicht sagen.


https://wiki.apache.org/httpd/NameBasedSSLVHosts
 
Ich weiß nicht, ob das auch bei den StartSSL-Zertifikaten geht, aber bei den selbstsignierten Zertifikaten kann man neben der Haupt-Domäne noch weitere, alternative Hosts hinterlegen.
Diese tauchen dann im Zertifikat unter "Alternative Antragstellernamen" auf und funktionieren genauso, wie der Haupthost.
Ich nutze das, um meine DSen neben https://meinedomain intern auch über https://ds212 bzw. https://ds415 ansprechen zu können.
 
@joku: Ich habe eine Domäne bei Strato und auf der DS läuft der DDNS Dienst mit dem Serviceanbieter Strato.
Parallel hierzu habe ich eine weitere Domäne bei DomainFactory und über die Fritz-Box habe ich den DynDNS Anbieter Selfhost verknüpft.
Somit kann ich über Strato und die DS aber auch über DomainFactory und Selfhost auf meine DS zugreifen.

@Benares: Ich glaube bei StartSSL kannst du nur weitere Subdomänen unter deiner Hauptdomäne zertifizieren. Da die Domänen validiert werden muss diese Domänen auch besitzen, sonst bekommt man die notwendige Mail zur Validierung nicht.

Ich kenne mich leider überhaupt nicht mit vHosts aus. Was muss ich tun, damit ich beide Zertifikate einbinden kann?
 
Darkwing9 schrieb:
Somit kann ich über Strato und die DS aber auch über DomainFactory und Selfhost auf meine DS zugreifen.
Zum Vergrößern anklicken....
Das bedeutet, das beide Domän, die selben Webseiten anzeigen ?
Darkwing9 schrieb:
Ich kenne mich leider überhaupt nicht mit vHosts aus. Was muss ich tun, damit ich beide Zertifikate einbinden kann?
Zum Vergrößern anklicken....
Naja, das anlegen der vHost ist ganz einfach, das geht mit dem DSM :)
Das mit den Zertifikaten macht etwas arbeit.
In dem Link vom Ameisentaetowierer steht es.

Was Du versuchen könntest, die vHost anlegen
und in das Verzeichniss das passende Zertifikate legen.

Gruß Jo
 
Also der link ist interresant, da ich auch mehrere Seiten betreibe und kein Wildcard zertifikat habe. Werde ich mich mal damit beschäftigen.
 
Der "einfachste" Weg ist wie von Benares beschrieben mit alternativen Hostnamen im Zertifikat. Das sollte mit jedem Browser (Client) gehen.
Dann der Weg wie in den Links beschrieben. Geht allerdings nur wenn man für die vhosts unterschiedliche IPs und/oder Ports hat. Da wird dann aber das Portforwarding ziemlich schwierig, wenn man die DS hinter einem Router betreibt. Denn der Router hat ja keine Möglichkeit den angefragten Hostnamen zu sehen und damit kann er auch nicht auf unterschiedliche Server weiterleiten.
Dann gäbe es noch den Weg via SNI, was aber sowohl der Server als auch der Browser unterstützen müssen
 
Du kannst einen weiteren Virtualhost erstellen und dann im config-file das neue Zertifikat mitgeben
Rich (BBCode): 
<VirtualHost *:443>
ServerName www.neuedomain.com
DocumentRoot "/var/services/web/neuedomain"
SSLCertificateFile /volume1/homes/beispiel/domain.crt
SSLCertificateKeyFile /volume1/homes/beispiel/private.key
SSLCertificateChainFile /volume1/homes/beispiel/domain.chain.pem
SSLEngine on
</VirtualHost>
so funktioniert es zumindest unter DSM 5.2.
 
@Benoga
das klappt aber nicht mit mehreren Zertifikaten. Auf derselben IP/Port Kombination geht als Grundregel nur ein Zertifikat/Schlüssel. Ausser man setzt SNI ein oder ein Zertifikat mit mehreren alternativen Hostnamen
 
hmm okey
so klappte es bei mir und gab auch keine Fehlermeldungen im apachelog.
Er kanns ja mal versuchen und Rückmeldung geben obs bei Ihm auch funktioniert...
 
benoga schrieb:
so klappte es bei mir und gab auch keine Fehlermeldungen im apachelog.
Zum Vergrößern anklicken....
haben denn wirklich beide vhosts mit dem korrekten Zertifikat geantwortet? In den Apache Logs wird das keinen Fehler geben, nur die Clients melden dabei einen Fehler (weil der Hostname nicht zum CN passt)
Ich vermute schwer, dass du deinen vhost als sogn default Host hast und damit jeder HTTPS Request von dieser Konfig beantwortet wird. Oder Synology hat per default den SNI aktiviert
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten