SSL Zertifikate für mehrere Domains

pmcl77

Benutzer
Mitglied seit
12. Okt 2015
Beiträge
61
Punkte für Reaktionen
2
Punkte
8
Hi,

ich greife normalerweise über eine domain syno.myname.com auf meine DS918+ zu (z.B. photo station), dazu habe ich ein Let's encrypt Zertifikat für diese Domain erstellt.

Nun würde ich gerne auch ein Zertifikat für die dynamische Domain myname.synology.me erstellen, damit ich Photoalben über diese dynamische domain teilen kann, ohne dass im Browser die Zertifikats-Fehlermeldung kommt.

Lässt sich das einrichten? Ich konnte zwar unter Zertifikate ein neues let's encrypt Zertifikat für myname.synology.com hinzufügen, aber leider funktioniert, das nicht, da man die Dienste immer nur einer Domain zuweisen kann.

DSM 6.2.4-25556 Update 2

Danke und Gruss
Phil
 

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
6.101
Punkte für Reaktionen
561
Punkte
228
Du kannst für myname.com ein neues Zertifikat erstellen und als Alternate Names eine ganze Liste von weiteren Namen eingeben, für die das Zertifikat auch gelten soll (www.myname.com, name1.myname.com, name2.myname.com, ...). Die anderen Namen müssen aber auch DNS-auflösbar sein, also brauchst du zusätzlich im DNS entweder CNAMEs dafür oder du hast eine Wildcard-Domain für myname.com (d.h. beliebige Namen *.myname.com lösen alle auf die gleiche IP auf).
Alternate Names aus anderen Domains (myname.synology.me) gehen allerdings nicht, die müssen schon alle zur Haupt-Domain passen.

Edit:
So wie im DNS gibt es zwar auch Wildcard-Zertifikate, aber das funktioniert über die DS-Oberfläche m.W. momentan nur für synology-Domains.
 
Zuletzt bearbeitet:

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.340
Punkte für Reaktionen
26
Punkte
114
Alternate Names aus anderen Domains (myname.synology.me) gehen allerdings nicht, die müssen schon alle zur Haupt-Domain passen.
Ähh Nein du kannst als Alternate eintragen was du willst ich habe da mehrere verschiedene Domains drin.
 
  • Like
Reaktionen: pmcl77

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
6.101
Punkte für Reaktionen
561
Punkte
228
Echt? Das wusste ich nicht bzw. hatte es nie probiert. Wieder was gelernt.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.340
Punkte für Reaktionen
26
Punkte
114
Schön dass es bei dir geklappt hat. Sei dir aber noch bewusst wenn jemand dein Zertifikat aufruft und näher anschaut bekommt er so halt auch die anderen Domains zu sehen.
 
  • Like
Reaktionen: pmcl77

pmcl77

Benutzer
Mitglied seit
12. Okt 2015
Beiträge
61
Punkte für Reaktionen
2
Punkte
8
Danke für den Hinweis, hätte ich gar nicht dran gedacht. Ist aber für den aktuellen Use Case kein Problem.

Gäbe es eine andere Variante, um getrennte Zertifikate für verschiedene Domain Namen für den gleichen Server zu implementieren?
 
Zuletzt bearbeitet von einem Moderator:

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.340
Punkte für Reaktionen
26
Punkte
114
1. Bitte keine Vollzitate wenn du direkt Antwortest.
2. ich habe eine "Lösung" gefunden wie man die Photo station über zwei getrennte Domains aufrufen kann. Es gibt nur ein paar kleine Haken daran.

a. Du brauchts eine Domain bei der du eine weitere Subdomain einrichten kannst. (www)
b. sollte jemand versuchen direkt die Photostation aufzurufen dann bekommt er den Zertifikatsfehler.

Die Domain und die Subdomain müssen auf die DS zeigen. Dann für die Subdomain und Domain ein Zertifikat anlegen. In der DS für die Subdomain (www) einen Vhost Eintrag anlegen und in ein Verzeichnis zu dieser Domain eine kleine html Datei mit einem redirect darin legen. Somit wird bei dem Aufruf der Seite über https://www.Domain.test das Zertifikat geladen und dann funktioniert der Aufruf mit domain.test/photo ohne Fehlermeldung. Nur wenn eben jemand direkt domain.test/photo versucht die Photostation aufzurufen oder man keine Umleitung auf https drin hat und die erste Seite per http aufruft dann bekommt er das Hauptzertifikat angezeigt was sonst mit den Systemdiensten verknüpft ist.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: pmcl77

pmcl77

Benutzer
Mitglied seit
12. Okt 2015
Beiträge
61
Punkte für Reaktionen
2
Punkte
8
1. Alles klar!

2. Ok, ich denke für den Moment bin ich mit der ersten Lösung ganz zufrieden :)

Bin etwas erstaunt, dass das Zertifikat bei einem redirect immer noch funktioniert...
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.340
Punkte für Reaktionen
26
Punkte
114
Nur zur Info noch man muss die erste Seite (also die Seite die das Zertifikat lädt) offenlassen und per redirect alle 2 Sekunden neu Laden sonst fällt der Browser wieder auf das Hauptzertifikat zurück (früher oder später) und es kommt zur Fehlermeldung.
 
NAS-Central - Ihr Partner für NAS Lösungen