Photo Station Zertifikat Lets Encrypt für die Photostation

[appel2000]

Hallo und guten Abend alle zusammen,

ich hab schon einiges versucht und quer gelesen, aber ich komme bei meinem Problem leider nicht weiter:

- Diskstation via DynDNS erreichbar
- eine "Hauptdomain" angelegt, nennen wir Sie name.de
- diverse weitere Subdomains angelegt, audio.name.de, video.name.de, fotos.name.de, etc etc etc
- die fotos.name.de via umleitung auf die Hauptdomain umgeleitet, weil ja die Photostation nur so erreichbar ist
- also, alles klappt soweit

Problem:

- Zertifikat angelegt bei Lets Encrypt, natürlich für die "Hauptdomain" name.de und auch direkt für alle möglichen Alternativen (siehe Subdomains)
- für die Photostation direkt kann ich ja kein Zertifikat beantragen, hier sollte nach meinem Verständnis das Zertifikat für name.de greifen
- tut es aber nicht.....also, ist bei den aufgetzählten Adressen mit eingetragen (siehe Anlage), aber der greift sich jedes Mal das Zertifikat von Synology
- und dieses Zertifikat wiederum wird dann von Browser und von den Apps als "nicht sicher" eingestuft.

Jemand eine Idee, woran das liegen könnte?
Also, wie schaffe ich es, dass auch beim Aufrug der Photostation das LE Zertifikat gewählt wird?
Browser gewechselt und Cache geleert hab ich schon getestet, leider ohne Erfolg.

Danke Euch!

 

[Fusion]

Da photo.example.com nicht im Zertifikat steht gibt es einen Fehler.
Aufruf mit example.com/photo sollte gehen.
Der Aufruf via photo.example.com ist unter DSM 6 sauber nur mit einer benutzerdefinierten nginx config auf der Konsole zu machen.

Bsp.

Spoiler: photostation.conf

server {
    listen 80;
    listen [::]:80;
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name photo.example.com;

    location = / {
        rewrite /  https://$host/photo/ redirect;
    }

    location /photo/ {
        proxy_pass https://localhost/photo/;
    }
}

Wenn man sich mit acme.sh oder für synology.me Wildcard Zertifikate (gültig für *.example.com) geholt hat reicht dies aus und man ist hier fertig.
Für die normalen Letsyencrypt nicht....

server {
    listen 80;
    listen [::]:80;
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name photo.example.com;

    location = / {
        rewrite / https://$host/photo/ redirect;
    }

    location /photo/ {
        proxy_pass https://localhost/photo/;
    }
 
    location ^~ /.well-known/acme-challenge {
        root /var/lib/letsencrypt;
        default_type text/plain;
    }
}

Allerdings muss man dieses Zertifikat dann unter DSM 6 denke ich für den Dienst "Systemvoreinstellung" setzen, damit es hier greift beim Aufruf der Photo Station.

example.com ist eine offizielle Beispieldomain.
Deine gewählte Domain gehört dir nicht sondern einer dritten Person / Firma.

 

[appel2000]

Sorry, hatte ich vergessen zu schreiben.

Ich habe natürlich versucht, die fotos.name.de/photo.example.de ebenfalls bei LE mit ins Zertifikat zu bekommen,
allerdings kommt dann immer die Fehlermeldung (sinngemäß), ich solle meinen Reverse Proxy prüfen....
Auf der DS habe ich aber keinen Reverse Proxy, sondern beim Domainanbieter (strato) eine Weiterleitung der fotos.name.de auf die fotos.de erstellt, der ja genau seinen Zweck erfüllt, leider mit Zertifikatswarnung.

Aber losgelöst von LE:
1.) Wieso wird bei der Domain name.de das Zertifikat von Synology genutzt, obwohl ich das von LE "eingestellt" habe
2.) Wieso ist das Zertifikat von Synsology unsicher?

 

[Fusion]

Was für eine Weiterleitung? Http? Machen normal nur Ärger in dem Zusammenhang.
Mit A/AAAA records oder CNAME und dynDNS gibt es weniger Probleme. Deshalb auch die Umsetzung von photos.example.com auf das eigentliche Ziel erst auf der Syno.

Das Konzept von example.com ist, dass man keine fremden existierenden Domains für seine Beispiele benutzt.
https://de.m.wikipedia.org/wiki/Beispieldomains

1) welche URL rufst du auf? Wie sieht die Liste der Dienstezuweisungen für die Zertifikate aus?
2) das Syno Zertifikat ist nicht unsicher, es ist nur ein selbst-signiertes Zertifikat und nicht von einer öffentlichen CA bestätigt.

 

[appel2000]

Also die Umleitung ist eine permanente, externe, https
von
fotos.name.de auf name.de/photos

Wie würde das ganze denn über A/AAAA bzw CNAME aussehen?
Bin bei den Themen wirklich so gar nicht drin und "hangel" mich so durch.....das mit der Umleitung funktioinert zumindest....


1) die eigentliche Domain, name.de, die bringt mich dann zum DSM mittels HTTPS.....muss eigentlich auch nicht sein, muss ich mir noch anschauen warum. Zuweisungen siehe Anhang.

2) unsicher ist dann der falsche Ausdruck, auf jeden Fall würde es einen "Dritten" irritieren und verunsichern wenn diese Fehlermeldung / Warnung kommt.

 

[Fusion]

Photo Station wird mit dem Zertifikat für "Systemvoreinstellung" aufgerufen... umstellen.

 

[appel2000]

Klasse, das hat funktioniert.
Leider aber erst, nachdem ich das vorinstallierte Zertifikat von Synology gelöscht hatte.
Vorher konnte ich die Umstellung nicht vornehmen.
Ich hoffe, das hat mir jetzt nicht was wichtiges zerschossen......

Aktuell sieht es aber so aus, als würde es funktionieren!

Danke!

 

[Fusion]

Denke nicht, dass du es hättest löschen müssen und es eher ein Caching Problem oder ähnliches war.
Aber gut, wenn es jetzt geht. ...

 

[appel2000]

Ich muss das leider noch einmal hochholen...
Also die SubDomains und das Zertifikat funktioniert jetzt wie es soll. Sehr gut!

ABER

Jetzt folgendes Problem:
Hat sicherlich nicht mit dem eigentlichen Thema zu tun, aber ich denke, Ihr habt hier schon ein wenig den Plan und auch eine entsprechende Idee:

DynDNS über Strato,
Strato Zugangsdaten bei der FritzBox eingetragen (ich nutze nur IPv4), FritzBox meldet sich auch bei Strato brav an und meldet "erfolgreich angemeldet". Das funktioniert auch anfangs klasse, bis Strato irgendwann eine falsche IP "benutzt"
Fritzbox nennt mir eine aktuelle IP, Abfrage der IP Adresse (gibts ja ein paar Adressen) bestätigt diese Adresse, aber bei Strato erscheint eine komplett andere...also komplett anders.....Wie ist denn das möglich? Wo könnte denn der Fehler sein?
Ich kann auch nicht nachvollziehen, woher und wann Strato diese IP nimmt?

Jemand eine Idee?

Danke und Grüße