Toggle sidebar

Synology Zertifikat, Web-Zugriff und DSM-Einstellungen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
M

mezzopiano

Benutzer
Registriert
23. März 2015
Beiträge
74
Reaktionspunkte
0
Punkte
6
Hallo,

vorweg muss ich sagen, dass ich kein wirkliches Problem habe, aber auf der Suche nach einer Erklärug für folgendes Phänomen bin:

Greift ein User erstmals per Web-Browser auf die DS zu, erhält er die Nachricht, dass die Verbindung möglicherweise unsicher sei und ob er ihr dennoch vertrauen will. Das will ich auf jeden Fall verhindern, da sie Viele nur unnötig verunsichert. Also habe ich bei StartSSL ein kostenloses Class 1-Zertifikat erstellt. Es funktioniert auch sowohl bei http- wie https-Zugriff korrekt.

Nun aber meine eigentliche Frage: aktiviere ich in der Systemsteuerung -> Netzwerk -> DSM-Einstellungen "HTTP-Verbindungen automatisch zu HTTPS umleiten", ist die DS nicht mehr per Web-Zugriff erreichbar. Mit dem "unsicheren" Synology-Zertifikat gibt es dieses Problem nicht.

Ist das normal, gibt es dafür eine logische Erklärung?

Viele Grüße und frohe Ostern,

mezzopiano
 
ottosykora schrieb:
wie hast du das denn festgestellt?
Zum Vergrößern anklicken....

Verstehe Deine Frage nicht. Ich habe oben doch exakt beschrieben, dass es funktioniert, und zwar OHNE die Meldung, dass mit dem Zertifikat ggf. etwas nicht in Ordnung ist.

Entweder rufe ich

http://domain.de

oder

https://domain.de

auf. Der Browser-Cache ist natürlich zwischendurch geleert, oder ich nutze einen Client an einem ganz anderen Standort.
 
Zuletzt bearbeitet:
mezzopiano schrieb:
Es funktioniert auch sowohl bei http- wie https-Zugriff korrekt..
Zum Vergrößern anklicken....
Nach meinem Verständnis spielt ein Zertifikat bei unverschlüsseltem Zugriff(http) KEINE Rolle. Ich vermute mal, dass ottosykora das genauso sieht.

mezzopiano schrieb:
Ist das normal, gibt es dafür eine logische Erklärung?
Zum Vergrößern anklicken....
Nein, das ist nicht normal. Ich habe diese Einstellung genauso gesetzt und es funktioniert; allerdings habe ich kein externes Zertifikat. Ich klicke beim ersten Mal die Warnung weg und akzeptiere das (vermeintliche) Risiko. Man muss halt Prioritäten setzen!
Wenn du diesen Weg nicht gehen magst, solltest du weitergehende Informationen rausrücken und wir finden vielleicht eine Lösung?
 
ja genau, ich habe mich einfach gewundert wie man feststellen kann dass der Zertifikat auch bei http korrekt funktioniert ;-)


Leider wissen wir nicht was du meinst es ist nicht erreichbar, also welche Fehler bekommst du und von wo kommen die etc.
 
g202e schrieb:
Nach meinem Verständnis spielt ein Zertifikat bei unverschlüsseltem Zugriff(http) KEINE Rolle. Ich vermute mal, dass ottosykora das genauso sieht.
Zum Vergrößern anklicken....

Ok, da habe ich mich missverständlich ausgedrückt. Ich wollte nur sagen, dass http und https mit dem eigenen Zertifikat problemlos funktionieren, es also weder Fehler noch irgendwelche Meldungen verursacht.


g202e schrieb:
Nein, das ist nicht normal. Ich habe diese Einstellung genauso gesetzt und es funktioniert; allerdings habe ich kein externes Zertifikat.
Zum Vergrößern anklicken....

Bei mir ist mit dem Original-Synology-Zertifikat und aktiviertem "HTTP-Verbindungen automatisch zu HTTPS umleiten" ein http-Aufruf auch problemlos nach https umgeleitet worden. Aber eben mit der bekannten "Fehlermeldung".


g202e schrieb:
Ich klicke beim ersten Mal die Warnung weg und akzeptiere das (vermeintliche) Risiko. Man muss halt Prioritäten setzen!
Zum Vergrößern anklicken....

Die Meldung will ich unbedingt vermeiden, daher mein Aufwand mit dem eigenen Zertifikat. Auf die DS können später über 200 Lehrer, deren Schüler sowie deren Eltern Zugriff haben. Du kannst Dir sicher vorstellen, welche Flut von Anfragen nach der "Fehlermeldung" auf mich zukäme.


g202e schrieb:
Wenn du diesen Weg nicht gehen magst, solltest du weitergehende Informationen rausrücken und wir finden vielleicht eine Lösung?
Zum Vergrößern anklicken....

Meine Lösung bisher ist, dass ich "HTTP-Verbindungen automatisch zu HTTPS umleiten" nicht aktiviere. Denn ich habe ja schon eingangs geschrieben, dass ich kein wirkliches Problem habe.

Ich habe es erneut versucht. Beim Aufruf http://meine.domain.de kommt nach einiger Zeit der "Fehler: Netzwerk-Zeitüberschreitung". In der Adressleiste des Browsers steht dann allerdings die korrekte https-Adresse, nämlich https://meine.domain.de:Port xxxx. Auch mehrfaches "Nochmals versuchen" bringt keinen Erfolg, ich komme nicht auf die DS.

Ich wüsste einfach gerne, warum es mit dem eigenen Zertifikat nicht klappt. Vielleicht hat ja jemand von Euch eine Idee.
 
mezzopiano schrieb:
Ich wollte nur sagen, dass http und https mit dem eigenen Zertifikat problemlos funktionieren, es also weder Fehler noch irgendwelche Meldungen verursacht.
Zum Vergrößern anklicken....
Dann MUSS ich nochmal sagen, dass das Zertifikat bei http KEINE Rolle spielt!


mezzopiano schrieb:
Die Meldung will ich unbedingt vermeiden....Auf die DS können später über 200 Lehrer, deren Schüler sowie deren Eltern Zugriff haben.
Zum Vergrößern anklicken....
Das ist dann wirklich nachvollziehbar.


mezzopiano schrieb:
Meine Lösung bisher ist, dass ich "HTTP-Verbindungen automatisch zu HTTPS umleiten" nicht aktiviere. Denn ich habe ja schon eingangs geschrieben, dass ich kein wirkliches Problem habe.
Zum Vergrößern anklicken....
Könnte aber sein, dass du welche bekommst, wenn du 200 Leute unverschlüsselt zugreifen lässt...


mezzopiano schrieb:
Ich habe es erneut versucht. Beim Aufruf http://meine.domain.de kommt nach einiger Zeit der "Fehler: Netzwerk-Zeitüberschreitung". In der Adressleiste des Browsers steht dann allerdings die korrekte https-Adresse, nämlich https://meine.domain.de:Port xxxx.
Zum Vergrößern anklicken....
Wir sollten nochmal darüber reden, was die Leute denn überhaupt auf der DS machen wollen/sollen. Ohne Portangabe dürftest du nicht viel anstellen können auf der DS, außer evtl. eine Website anschauen...
Das wird kaum der Sinn sein, oder?
 
g202e schrieb:
Könnte aber sein, dass du welche bekommst, wenn du 200 Leute unverschlüsselt zugreifen lässt...
Zum Vergrößern anklicken....

Deswegen würde ich ja gerne http automatisch nach https umleiten lassen. Nur wie? :( Aber von unserem Klientel drohnt glücklcherweise eher wenig Gefahr.


g202e schrieb:
Wir sollten nochmal darüber reden, was die Leute denn überhaupt auf der DS machen wollen/sollen. Ohne Portangabe dürftest du nicht viel anstellen können auf der DS, außer evtl. eine Website anschauen...
Das wird kaum der Sinn sein, oder?
Zum Vergrößern anklicken....

Die Schule hat eine eigene Website. Auf der DS sollen primär Fotos und Videos liegen, die betrachtet und heruntergeladen werden können. Die User bekommen ausschließlich Leserechte.
 
Also Photostation? Dann solltest du direkt in den Einstellungen der PS einen selbstdefinierten Port für die verschlüsselte Verbindung festlegen und auch nur diesen im Router weiterleiten.
Oder doch Filestation? Auch dieser lässt sich ein eigener https-Port zuweisen und wenn du (nur)nur diesen durchlässt, sollte das auch funktionieren.
Dazu sollte diese "HTTP-Verbindungen automatisch zu HTTPS umleiten"- Einstellung nicht erforderlich sein.
 
mezzopiano schrieb:
Deswegen würde ich ja gerne http automatisch nach https umleiten lassen. Nur wie?
Zum Vergrößern anklicken....

also normalerweise geht das prima.

Aber in deinem Fall frage ich mich welchen Dienst versuchst du zu erreichen auf der DS?
Willst du etwa Photo Station erreichen?
Dann hat es folgende Funktion: die Anfragen http werden normalerweise an den Port 80 gerichtet. Es wird nun alles Richtung Port 443 geleitet. Das is der Standard dafür. Nur es gibt in vielen Netzen bereits ein Gerät welches auf dem 443 hört. Oft gar Router mit der Management Zugang etc.
Also vielleicht schauen ob da nicht etwas im Weg ist auf dem Port 443.
Man kann auch einen Portscann machen an die Adresse und schauen ob es da Kollisionen gibt.


Wenn man zum Bsp den DSM Zugang ansprechen will, dann kann man http://DDNS:5000 eingeben und es wird an den https://DDNS:5001 umgeleitet.
Aber auch hier muss sichergestellt werden, dass auf den Ports auch was hört und es keine Kollisionen gibt.


Da du ja eine richtige Domain hast und keinen DDNS, kommt hier natürlich die Domain.

Es ist hier nicht ganz klar welche Dienste und welche Ports etc du verwendest und wie genau du es testest.

Es kommt manchmal auch noch darauf an was genau in dem Schlüssel steht, nur die Domain oder auch noch etwas anderes wie eine IP etc.
Das ist halt bei den selbstgemachten Schlüsseln einfacher, wenn etwas nicht genau passt , macht man schnell einen neuen.
 
Zuletzt bearbeitet:
Sorry, wenn ich mal kurz dazwischen funke, aber mir stellt sich grad auch die Frage ob er den System-Apachen oder den User-Apachen ansprechen möchte.

Die Eintellung "HTTP-Verbindungen automatisch zu HTTPS umleiten" bezieht sich nur auf den System-Apachen, also dem DSM. Unter dem User-Apachen, also quasi der WebStation, funktioniert das automatische Umleiten von http nach https nämlich nicht mit dieser Einstellung. Das muß man dann i.d.R. selber z.B. über eine .htaccess Regel ansteuern. Vielleicht liegt hier der Hase im Pfeffer...

Tommes
 
hmm, ja, grrr, habe ich vergessen!

Hast Recht, bei dem User Apachen geht es nur manuell , steht ja klar in den Settings.

httpsxx.jpg
 
Zur Frage der Umleitung auf https des User-Apachen gab's vor kurzem hier auch einen längeren Thread...

Die Photo Station gestattet die Umleitung auf https aber auch selbst - dazu gibt es in deren Einstellungen eine Option:

ps_https.jpg
 
hmm, funktioniert bei mir leider nicht, scheint der Firefox hat was dagegen und will die SSL Verbindung so nicht aufbauen.

wenn ich es alles setze und auch in der PS das setze, dann erscheint beim Versuch eine Seite (PS) aufzurufen:

SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat. (Fehlercode: ssl_error_rx_record_too_long)

wenn ich jedoch direkt https eingebe dann geht es normal
 
Zuletzt bearbeitet:
Hallo,
Fehlercode: ssl_error_rx_record_too_long
konnte ich immer beheben indem ich alle Zertifikate die die DS betreffen im FF gelöscht habe. Dann neue Ausnahmeregel erstellen.

Gruß Götz
 
goetz schrieb:
Hallo,
Fehlercode: ssl_error_rx_record_too_long
konnte ich immer beheben indem ich alle Zertifikate die die DS betreffen im FF gelöscht habe. Dann neue Ausnahmeregel erstellen.
Zum Vergrößern anklicken....

Hallo Götz,

die Meldung und das Erstellen einer neuen Ausnahmeregelung will ich ja unbedingt vermeiden. Ich habe schon weiter oben g202e geantwortet:

"daher mein Aufwand mit dem eigenen Zertifikat. Auf die DS können später über 200 Lehrer, deren Schüler sowie deren Eltern Zugriff haben. Du kannst Dir sicher vorstellen, welche Flut von Anfragen nach der "Fehlermeldung" auf mich zukäme."


Ein alter Beitrag aus 2012 "Startssl und Firefox. Fehlercode: sec_error_unknown_issuer. Wie geht es doch?" hat mir weitergeholfen. Ich habe meine Versuche in einer virtuellen Maschine, in der es garantiert keine gespeicherten Zertifikats-Ausnahmen gibt, in einer Tabelle zusammengefasst:

StartSSL-Zertifikat - Alles nur eine Frage des Browsers.jpg

Wenn ich den o. g. Beitrag richtig deute, brauche ich ein kostenpflichtiges Class 2-Zertifikat, um die Fehlermeldungen zu umschiffen.

Ich finde es schon witzig, dass gerade der von mir wenig geliebte Chrome die http-Eingabe korrekt nach https umleitet. Oder ist Chrome nur besonders fehlertolerant?

Gruß mezzopiano
 
Zuletzt bearbeitet:
g202e schrieb:
Oder doch Filestation? Auch dieser lässt sich ein eigener https-Port zuweisen und wenn du (nur)nur diesen durchlässt, sollte das auch funktionieren.
Dazu sollte diese "HTTP-Verbindungen automatisch zu HTTPS umleiten"- Einstellung nicht erforderlich sein.
Zum Vergrößern anklicken....

Ich brauche ausschließlich FileStation, da auch mal andere Dateien (odt, pdf, qxd, ai, eps) da liegen werden.

http://meine.domain.de/files wird umgeleitet nach https://meine.domain.de/files, aber der Zugriff mit https://meine.domain.de:7001 funktioniert nicht. Aber damit kann ich leben.

Was mir gar nicht am direkten Zugriff auf FileStation gefällt:

- ich finde kein "Abmelden"

- löscht ein Besucher in der Adressleiste die Zeichen "/files", landet er auf der DSM-Oberfläche, was mit dem FileStation-Zugriff eigentlich vermieden werden sollte.Dafür steht ihm dann aber wenigstens "Abmelden" zur Verfügung. :(
 
Zuletzt bearbeitet:
Tommes schrieb:
Sorry, wenn ich mal kurz dazwischen funke, aber mir stellt sich grad auch die Frage ob er den System-Apachen oder den User-Apachen ansprechen möchte.

Die Eintellung "HTTP-Verbindungen automatisch zu HTTPS umleiten" bezieht sich nur auf den System-Apachen, also dem DSM.
Zum Vergrößern anklicken....

Ja, und nur der interessiert mich. Dieser und die nächsten vier Beiträge gehen daher leider in die falsche Richtung. Danke aber dennoch für Eure Mühe.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten