- Registriert
- 18. Juni 2014
- Beiträge
- 169
- Reaktionspunkte
- 0
- Punkte
- 0
Servus,
ich versuche gerade meine Diskstation nach außen rein über SSL-gesicherte Kommunikation verwendbar zu machen. Dabei kam natürlich auch die Frage nach Verwendung von Zertifikaten auf. Ich hole mal kurz etwas aus:
Ein Zertifikat stellt zum einen die Identität des Servers sicher (Der Client erkennt anhand des Zertifikats, dass der Server der ist, für den er sich ausgibt?) und ermöglicht zum anderen die Verschlüsselung auf Basis des Zertifikats zwischen Client und Server. Letzeteres geht auch ohne Zertifikat. Richtig?
Gerade der erste Punkt macht mir gedanklich Probleme, denn wie komme ich nun an so ein Zertifikat, dass mein Heimnetz und die dabei vorliegende Konfiguration ordentlich zertifiziert?
Ich möchte keine 50€+ für ein "echtes" Zertifikat ausgeben und bin so auf startssl.com gestoßen, welche umsonst Class-1-Zertifikate erstellen. Und da geht das Dilemma los, denn...
... ich habe folgende Konfiguration vorliegen (die Hostnamen sind fiktiv, aber der grundsätzliche Aufbau stimmt!):
1. Ich habe eine Domain bei 1und1: meine-domain.de
2. Ich habe mir bei startssl.com ein Zertifikat für "meine-domain.de" und "mein-server.meine-domain.de" erstellt.
3. Ich habe bei no-ip.com eine dynamische Adresse registriert: "meine-ds.noip.me". Diese ist in der Fritz!Box konfiguriert und funktioniert.
4. Ich habe bei 1und1 konfiguriert, dass meine-domain.de auf einen Webspace zeigt und einen CNAME-Eintrag in der DSN-Konfiguration erzeugt, der auf "meine-ds.noip.me" zeigt.
3. und 4. vertragen sich nun überhaupt nicht mit meinem Zertifikat, da ja der Hostname des Zertifikats (meine-domain.de) nicht mit dem Servernamen (meine-ds.noip.me) übereinstimmt und damit wird der Zweck des Zertifikats ja völlig unterwandert. Ich kann aber bei startssl.com die Domain "meine-ds.noip.me" nicht zertifizieren lassen, da ich die Domain "noip.me" ja natürlich nicht als "meine" Domain verifizieren kann.
Natürlich kann ich eine Ausnahme hinzufügen, aber dann kann ich mir den ganzen Kladerabatsch mit Zertifkatserstellung auch sparen und gleich ein Self-Signed-Zertifikat verwenden, dass ähnlich sinnfrei ist.
Daher meine Fragen:
Welche Vorteile hat ein "echtes" Zertifikat?
Geht das bei der von mir vorgenommenen Konfiguration überhaupt über 1-und-1-Weiterleitung auf dynamischen IP-Service?
Wie macht ihr das?
P. S. Mir geht es rein um die Zertifizierung. Es funktioniert schon alles soweit. Ich erreiche meine DS von außen, VPN funktioniert ebenalls.
ich versuche gerade meine Diskstation nach außen rein über SSL-gesicherte Kommunikation verwendbar zu machen. Dabei kam natürlich auch die Frage nach Verwendung von Zertifikaten auf. Ich hole mal kurz etwas aus:
Ein Zertifikat stellt zum einen die Identität des Servers sicher (Der Client erkennt anhand des Zertifikats, dass der Server der ist, für den er sich ausgibt?) und ermöglicht zum anderen die Verschlüsselung auf Basis des Zertifikats zwischen Client und Server. Letzeteres geht auch ohne Zertifikat. Richtig?
Gerade der erste Punkt macht mir gedanklich Probleme, denn wie komme ich nun an so ein Zertifikat, dass mein Heimnetz und die dabei vorliegende Konfiguration ordentlich zertifiziert?
Ich möchte keine 50€+ für ein "echtes" Zertifikat ausgeben und bin so auf startssl.com gestoßen, welche umsonst Class-1-Zertifikate erstellen. Und da geht das Dilemma los, denn...
... ich habe folgende Konfiguration vorliegen (die Hostnamen sind fiktiv, aber der grundsätzliche Aufbau stimmt!):
1. Ich habe eine Domain bei 1und1: meine-domain.de
2. Ich habe mir bei startssl.com ein Zertifikat für "meine-domain.de" und "mein-server.meine-domain.de" erstellt.
3. Ich habe bei no-ip.com eine dynamische Adresse registriert: "meine-ds.noip.me". Diese ist in der Fritz!Box konfiguriert und funktioniert.
4. Ich habe bei 1und1 konfiguriert, dass meine-domain.de auf einen Webspace zeigt und einen CNAME-Eintrag in der DSN-Konfiguration erzeugt, der auf "meine-ds.noip.me" zeigt.
3. und 4. vertragen sich nun überhaupt nicht mit meinem Zertifikat, da ja der Hostname des Zertifikats (meine-domain.de) nicht mit dem Servernamen (meine-ds.noip.me) übereinstimmt und damit wird der Zweck des Zertifikats ja völlig unterwandert. Ich kann aber bei startssl.com die Domain "meine-ds.noip.me" nicht zertifizieren lassen, da ich die Domain "noip.me" ja natürlich nicht als "meine" Domain verifizieren kann.
Natürlich kann ich eine Ausnahme hinzufügen, aber dann kann ich mir den ganzen Kladerabatsch mit Zertifkatserstellung auch sparen und gleich ein Self-Signed-Zertifikat verwenden, dass ähnlich sinnfrei ist.
Daher meine Fragen:
Welche Vorteile hat ein "echtes" Zertifikat?
Geht das bei der von mir vorgenommenen Konfiguration überhaupt über 1-und-1-Weiterleitung auf dynamischen IP-Service?
Wie macht ihr das?
P. S. Mir geht es rein um die Zertifizierung. Es funktioniert schon alles soweit. Ich erreiche meine DS von außen, VPN funktioniert ebenalls.
