Zertifikat webdav

[akoerber]

Hallo,
ich habe eine DS420+
Ich habe heute die Fritz!Box ausgetauscht. Dabei hat sich beine MyFritz-Adresse geändert.
Fast alles läuft wieder. Allerdings kann ich nicht - wie vorher - mit net use unter Angabe der neuen Myfritz-Adresse auf die Synology zugreifen.

Wenn ich net use a: https://<myfritz-Adresse>:5006 /persistent:yes laufen lassen, öffnet sich jeweils ein Fenster, in dem mir zwei Zertifikate angeboten - aber das sind alte!

Ich habe meien Zertifikate in der Synology erneuert, auch eines mit der fritz-box-Adresse erstellt und importiert. Das Verhalten bleibt dasselbe.


Warum sehe ich nur diese beiden Zertifikate und nicht alle die anderen, die ich installiert haben (in den automatisch ausgewählten und den "eigene Zertifikate"-Speicher)?

Oder liegt der Fehler ganz woanders?

Dank im Voraus
A

 

[NSFH]

LOL
versuche es mal mit
net use x: \\Fritz-IP:5006 /persistent:yes

 

[akoerber]

Du meinst: ohne https:// aber mit der myfritz-adresse? Das ergibt genauso "Systemfehler 67"
Auch wenn ich die IP hier im Hausnetz 192.168.xxx.1:5006 angebe, ist es das gleiche.

 

[Benares]

Was soll denn das sein mit "net use x: \\Fritz-IP:5006 ..." oder "net use x: https://<myfritz-Adresse>:5006"?
"net use x: https://<myfritz-Adresse>:5006/<Freigabe> ..." sollte aber m.E. gehen, wenn 5006 weitergeleitet wird und das Zertifikat passt.

Edit: Sorry, ich muss mich korrigieren. Bei mir kommt da auch eine Auswahl von Zertifikaten, die alle nicht passen

Edit2: Dafür müsste wohl das MyFritz-Zertifikat aus der Fritzbox exportiert, in die DS importiert und WebDAV zugeordnet werden.
Mit "net use x: https://<example.com>:5006/<Freigabe> ...", also einem für "example.com" gültigen und WebDAV zugeordneten Zertifikat, klappt es.

Edit3: "net use x: https://<example.com>:5006" geht auch. Damit sieht man dann alle Shares unter x:. War mir auch neu, dass man mit WebDAV auch außerhalb der Shares, also auf Top-Level mounten kann. Mit dem herkömmlichen "net use x: \\server" geht das nicht.

 

[akoerber]

Danke. Also andersherum: Fritz Zertifikat in die Synology, nicht Synology Zertifikat in die Fritz oder den Computer.
Ich versuche das gerade. Die FritzBox exportiert nur ein "boxcert.crt", das die Synology aber nicht importier "ungültiger privater Schlüssel".
Was mache ich falsch?

 

[Benares]

Gute Frage, weiß ich grad nicht. Hast du nicht noch eine andere Domain neben MyFritz mit gültigem Zertifikat auf der DS?

 

[akoerber]

Ja, ich habe mit do.de eine domain eingetragen, die auf meine IP verweist.
Das scheint aber alles zu funktionieren.

Anderes Erscheinungsbild:

Wenn ich INTERN mich auf der Synology anmelde mit

https://<192.168.220.xx>

kommt die Meldung, "Mögliches Sicherheitsrisko erkannt".

Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut dieser Website nicht, weil das von der Website verwendete Zertifikat nicht für 192.168.220.XX gilt. Das Zertifikat gilt nur für folgende Namen: <von do.de bereitgestellte domain>, <ALTE MYFRITZ-Adresse>

Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

Zertifikat anzeigen

Wenn ich mir dann das Zertifikat anzeigen lasse, wird mir eines gezeigt, das Gestern ausgestellt wurde, also NACH der Umstellung der Myfritz-ADresse, aber mit der NEUEN Myfritz-Adresse als "DNS-Name".

In der Synology ist aber ein Letsencrypt-Zertifikat mit der NEUEN Myfritz-Adresse als "DNS-Name" enthalten.

Daher:
1. Ist das Zertifikat in der Synology wirklich sauber erneuert worden?
2. Wie kann ich überhaupt by Letsencyrpt von der Synology aus Zertifikate wirklich ERSETZEN lassen? Die haben ja eine Begrenzung, wie mir auch jeweils angegeben wird. (Wie) kann ich also bei Letsencrypt ein Zertifikat wirklich ersetzen oder die darin eingetragenen dns ändern, nicht nur das Zertifikat erneuern?

 

[Benares]

Ein Zertifikat gilt immer für einen oder mehrere Namen, nicht für eine IP. Die Liste der Namen findest du unter "Alternativer Antragstellername" in den Eigenschaften des Zertifikats.

Hier z.B. das Zertifikat vom Forum hier:


Auch auf der DS selbst findest du diese Liste als "Betreff Alternativer Name" bei jedem dort installierten Zertifikat.

Wenn du auf der DS ein Zertifikate hinzufügst, wirst du ja gefragt, ob das neue Zertifikat ein altes ersetzen soll.

 

[akoerber]

Danke ja.
Inzwischen funktioniert es. Das Problem war/ist, dass die zusätzliche Adresse IM Zertifikat nicht angezeigt wurde und nicht editierbar ist. Erst als ich das Zertifikat ERSETZEN wollte, konnte ich sehen, welche weitere Adresse /Namen dort noch eingetragen waren.