Nginx Proxy Manager Zertifikat zu Synology Importieren

[crammaster]

Und danke @crammaster ich werde das mal versuchen was du meintest mit dem Revers Proxy und warte mal auf nächsten Erneuerung von Zertifikaten ab.

Keine Ursache, wenn du Hilfe brauchst, stehe ich dir gern zu Verfügung.

Zu dem zweiten Teil, kann ich keinen Zusammenhang herstellen. Habe die Beiträge nochmal durch gesehen, konnte diesen Punkt einfach nicht finden, vlt bin ich auch einfach blind. Konntest du den entsprechenden Teil nochmal zitieren?

 

[SvensenDE]

@crammaster

Sorry das ich erst jetzt Antworte bin erst jetzt dazu gekommen es zu testen.

ja das hätte ich auch schon versucht und Weiterleitung klappen auch aber irgendwie nimmt er nicht die Zertifikate aus NPM an leider

 

[Janüscht]

Gib doch einmal das Ziel an, ohne HTTPS! Im Localhost ist eine Verschlüsselung nicht unbedingt notwendig. Der Reverse Proxy soll ja das Zertifikat auf die Domain bringen. Somit kannst du u.U. auf ein "ungültiges" Zertifikat verweisen. Auf deinem Ziel greift das Zertifikat, was in der DS hinterlegt und zugewiesen ist.

Wenn du kein bestimmtes Feature nutzt, lässt sich das einfacher über den Synology RP einrichten!!!

Ich hoffe auch das du für den NPM den Port 80/443 auf der DS freigemacht hast. Spätestens mit IPv6 wirst du ansonsten Probleme bekommen.

 

[crammaster]

@SvensenDE Beschreib mal den Weg, den deiner Meinung nach das "Paket" nehmen soll ->
"bitwarden.meinedomain.de" -> Router -> NPM -> NAS 2

Im ersten Bild muss die Domain rein die aufgerufen wird und nicht die IP von dem NPM.

Hast du ein Wildcard Zertifikat beim NPM?

 

[SvensenDE]

@crammaster


Hättest du sonst mal Interesse per Discord Skype oder Teams mal zu Telen könnte ich dir das auch mal direkt zeigen wenn es dir passen würde

Ja hab Wildcard Zertifikat bei NPM

 

[crammaster]

Ja können wir machen, Discord wäre gut, wann würde es dir denn passen?

Bin heute mit Kind im Kino, könnte so ab 23 Uhr oder morgen gegen 16/17 Uhr.

 

[SvensenDE]

Ich richte mich da ganz nach dir beides passt bei mir
Hab dir mein Neckname per direkt Nachricht geschickt

 

[linuxdep]

Hi, hänge mich hier mal rein, weil ja Kundige schon dabei sind und das Thema bei mir gleich. na fast gleich.

Habe einen NGINX laufen auf extra Gerät. Die Syno-Box hat ja die Funktion Zertifikate anzufordern, was ich bis jetzt auch genutzt habe im Zusammenspiel von sslh (auf der Syno). Da ich jetzt aber den NGINX laufen habe, sind natürlich 80/443 dafür belegt. Wie kann ich jetzt ohne Zertifikate zu kopieren die Syno an den NGINX anbinden? Könnte zwar über http dann intern gehen, aber ich würde gern bei https bleiben wenn möglich. Dazu muss ja die Syno das Zertifikat vom NGINX anfordern können?

 

[crammaster]

Moin, was ist dein Ziel, interne Auflösung mit SSL Zertifikat?

Oder willst du den Reverse Proxy der Syno durch den NGINX ersetzen?

 

[linuxdep]

RP der Box habe ich nie genutzt. Hatte vorher ein paar Sachen per sslh umgebogen wie ich das brauchte, da ber jetzt schon zum zweiten mal die sslh nicht mehr richtig nach dem Update funktioniert, habe ich, weil ich langfristig weg will von der syno, einen Proxmox laufen, dort läuft auch der NGINX.
Wie oben geschrieben, möchte ich die wer wo hin gehen soll über NGINX regeln, der verwaltet auch die Zertifikate dazu. Jetzt funktioniert aber das Zertifikatsgeraffel auf der syno nicht mehr.

Habe gerade gesehen, die Zertifikate waren eh abgelaufen, habe ich also einfach mal gelöscht und ein lokales erstellt und teste mal, ob das so reicht um die einzelnen Dienste über die Namen zu erreichen mit https, das wäre mir schon wichtig.

 

[crammaster]

Von außen erreichbar?

Wenn ja, dann einfach Weiterleitung des Routers auf NGINX und von dort auf den Dienst. Zertifikate einfach über NGINX neu anfordern.

Wenn nein, dann über DNS Challenge Wildcard anfordern.

 

[linuxdep]

Von außen erreichbar?

Wenn ja, dann einfach Weiterleitung des Routers auf NGINX und von dort auf den Dienst. Zertifikate einfach über NGINX neu anfordern.

Na ja, weiterleiten, wird ja schon alles zu NGINX. Mit dem nur intern zu nutzenden Teil muss ich mal schauen wie ich das auch noch löse, jetzt erst mal generell Funktion umsetzen. Wie meinst das mit Zertifikate neu anfordern? Von der Box??? Im NGINX habe ich ja die Zertifikate die ich brauche. Wenn ich jetzt auf die Box gehe, meckert er natürlich das selbst erstellte Zertifikat an... den Port 5001 nutzt er auch nicht, sondern landet auf dem webserver.

Wenn nein, dann über DNS Challenge Wildcard anfordern.

meinst bei Let's Encrypt? Wie gesagt, die Zertifikate, die ich haben will, liegen ja im NGINX bereit.

 

[crammaster]

Wenn der NGINX von außen erreichbar ist, kannst du einfach ein Wildcard Zertifikat anfordern, einfach bei SSL ein Zertifikat mit der Adresse "*.mydomain.com" angeben.

Und klar das die Syno selbst erstelltes Zertifikat nimmt, weil du ja nicht mehr auf ihren Webserver verweist und damit funktioniert auch Lets Encrypt nicht mehr.

 

[*kw*]

(Wildcard)Zertifikate mit automatischer Aktualisierung geht bei Nginx nur über DNS-Challenge

 

[linuxdep]

Irgend wie reden wir aneinander vorbei, es geht mir nicht um die Zertifikate die der NGINX hat sondern darum der syno Box eins davon zu verpassen ohne Handeingriff.

 

[stulpinger]

"sondern darum der syno Box eins davon zu verpassen ohne Handeingriff"

DSM - Sicherheit - Zertifikat - Hinzufügen - Neues Zertifikat hinzufügen
Zertifikat importieren - als Standardzertifikat festlegen

Privater Schlüssel: privkey.pem
Zertifikat: cert.pem
Zwischenzertifikat: chain.pem

 

[linuxdep]

"sondern darum der syno Box eins davon zu verpassen ohne Handeingriff"

DSM - Sicherheit - Zertifikat - Hinzufügen - Neues Zertifikat hinzufügen
Zertifikat importieren - als Standardzertifikat festlegen

Privater Schlüssel: privkey.pem
Zertifikat: cert.pem
Zwischenzertifikat: chain.pem

Danke für deine Ausführungen, aber wo bleibt dabei "ohne Handeingriff" ?

Alle 30 oder 90 tage dies zu tun wollte ich nicht.... aber scheinbar geht es nicht ohne... Also doch schneller weg von der syno als gedacht/plant.

 

[bonnma]

@linuxdep Wenn Du uns endlich mal erklären würdest was Du damit erreichen willst könnten wir vielleicht doch noch helfen.

Mal kurz meine Situation: Ein Reverse Proxy hat alle Zertifikate und nur der. Alle Geräte die über den RP angesprochen werden haben keine Zertifikate. Trotzdem kann ich alle Geräte über https://meingerät.meinedomain.meintld erreichen ohne das irgendwelche Fehlermeldungen in Apps, Programmen oder Webseiten angezeigt werden. Nur wenn ich mal ausnahmsweise über die IP verbinden muss kommen Fehlermeldungen, da bei IP kein SSL. Wie schaffe ich das: interner DNS verweist mit allen Einträgen auf den RP....Noch Fragen?

 

[w00dcu11er]

Alle 30 oder 90 tage dies zu tun wollte ich nicht.... aber scheinbar geht es nicht ohne

Doch, das ginge schon, nur musst du die Port 80/443 eben offen lassen. Aus Sicherheitsgründen besser acme.sh oder Port 80 paar Tage davor öffnen u danach schließen.

 

[*kw*]

Wenn der Hoster DNS-01 challenge anbietet, sind gar keine offenen Ports notwendig. Weder bei acme.sh noch bei NPM.