Zwei DS + SSL von extern?

[baeckerman83]

Hallo!

Ich habe heute meine zweite DS bekommen. Ich habe jetzte eine DS218+ und eine DS218j.

Beide hängen an der gleichen Fritzbox.

Auf der ersten DS habe ich ein SSL Zertifikat auf die Domain intern.meinedomain.de eingerichtet. Das klappt auch alles gut.

Wie mache ich das jetzt am besten mit der zweiten DS?
Eine zweite Domain? intern2.meinedomain.de und dort das Zertifikat drauf?
Oder muss ich das Zertifikat von der ersten DS auf der zweiten übernehmen und das ganze per Ports lösen?

 

[Benares]

Zertifikat übernehmen und anderen Port verwenden.

 

[baeckerman83]

Oki dann mache ich mich da mal dran.

 

[Fusion]

Erst mal fragen, ob die beide von außen erreichbar sein müssen.

Wenn ja, gibt es auch noch den Weg über den Reverse Proxy auf der ersten DS. Damit verwaltet die erste DS das Zertifikat auch für die zweite. Die SSL Verbindung endet dann an der ersten und wird vom proxy entweder mit oder ohne SSL dann an die zweite weitergereicht

 

[baeckerman83]

Das Problem ist ja eher, dass ich ein gültiges Zertifikat haben möchte beim Zugriff, damit im Browser ein grüner Haken kommt. Die Domain löse ich per internen DNS auf die interne IP auf, von extern dann kommt man nur auf die erste DS. (zumindest vorerst).

Den Let's encrypt Port kann ich aber ja nur auf eine DS zeigen lassen. Somit müsste ich zur Zeit das Zertifikat ja alle 3 Monaten auf die zweite DS kopieren.

 

[Fusion]

Ja, intern ist wieder eine andere Sache. Das wurde aber vorher auch noch nicht erwähnt. Auch hier wieder, ob man da unbedingt nen grünen Haken braucht....
Aber auch hier, da du per Lets Encrypt beide Zertifikate auf der ersten DS besorgst und verwalten kannst und dann per Reverse Proxy auf die zweite DS gehst, muss eben in diesem Fall nicht nur von extern die 80/443 auf der DS1 landen sondern auch dein interner DNS muss eben auch für ds2.domain.de die interne IP der DS1 als Ziel liefern. Dann gehst auch intern via Reverse Proxy und es stört nicht, dass die Certs nur auf einer DS liegen.

Willst du es hingegen separat halten kommst du von außen ja nur mit der hässliche domain : port auf die verschiedenen Ziele direkt, weil du ja 80/443 (zumindest mit IPv4, mit IPv6 only wäre das ja kein Problem) nur auf ein Ziel leiten kannst.
Also verwaltest du auch da weiterhin die LE Certs auf DS1. Dann musst dir halt ein Script basteln, welches dann regelmäßig die erneuerten Zertifikate auf die DS2 schiebt.

 

[baeckerman83]

Mhm das stimmt Fusion, ich hatte mir das irgendwie anders gedacht. Dann ist mir auch aufgefallen, dass es irgendwie nicht so einfach ist und da einige Infos fehlen.
Vielleicht ist es dann, dass einfachste die 2. DS ohne Zertifikat zu lassen. Der Grüne Haken ist (noch) egal. Die Browser wollen aber ja bald warnen bei allen nicht https Seiten. Dazu kommt ja noch, dass Android bei selbst signierten Zertifikaten spinnt. Aber erst mal ist das so ja ok. Glaube das ist einfach am einfachsten. Mit Reverse Proxy geht es dann ja von außerhalb. Da lese ich mich gerade ein.

 

[Fusion]

Der grüne Haken deutet hier ja leider "in die falsche Richtung". Die einzige Interpretation die nach auße getragen wird ist grün = sicher, alles andere unsicher.
Das ist leider eine vereinfachte Verallgemeinerung die zudem noch falsch ist. Auch eine "nicht sichere" TLS-Verbindung ist technisch sicher und ein grünes Schloß sagt noch lange nicht, dass ich nicht belauscht werde.
Aber dafür muss man sich mit dem Zertifikatssystem beschäftigen, was der Allgemeinheit meist schwer zu vermitteln ist.
Und am Ende fusst alles auf dem Vertrauen, dass die öffentliche CAs keinen Mist bauen oder kompromitiert werden. In meinen Augen ist das System fast schon grundlegend "kaputt". Allerdings gibt es aktuell auch noch nichts signifikant besseres für den breiten Gebrauch.

Den Reverse Proxy kannst du auch intern benutzen, wenn dein DNS eben entpsrechend angepasst ist und nicht mehr direkt auf die endgültige Ziel-IP im lokalen Netz verweißt. Die Verbindung zwischen dem Proxy und dem eigentlichen Ziel kann dann noch SSL/TLS verschlüsselt sein, oder nicht. Der Proxy wirft dir halt keine Warnung raus (wegen Namen, oder selbst-singiert, oder...), sondern akzeptiert einfach das Zertifikat, welches ihm das endgültige Ziel liefert und baut eine SSL/TLS Verbindung auf.