Update vorweg, es klappt nun alles soweit. Eine kleine Frage ist allerdings noch offen (siehe nächster Post).
Hallo zusammen,
das Thema ist nicht neu, ich habe dazu gestern knapp 8 Stunden im Netz in diversen Foren verbracht, aber irgendwo hat sich bei mir wohl ein Denkfehler eingeschlichen.
Das grundsätzliche Anliegen:
Zugriff auf die Diskstation des NAS per https/SSL ohne nervige Zertifikat Fehlermeldung. Das ganze soll über ein Wurzelzertifikat, dass schon in den gängigen Browsern integriert ist, erfolgen.
Die Ausgangslage:
Das NAS ist ein Synology DS210j. Im Internet über DSL mit dynamischer IP. Der Router übermittelt die aktuelle IP an dyndns.org. Außerdem leitet der Router den eingehenden Port 7001 auf den entsprechenden Diskstation-Port des NAS weiter. Des weiteren bin ich eine .de Domain bei einem Hostern, der Weiterleitungen an externe Adressen ermöglich. Dort habe ich eine Subdomain auf die dyndns-Adresse weitergeleitet.
Der Zugriff aus den weiten des Internet auf das Nas sieht also aktuell folgendermaßen aus:
subdomain1.meinedomain.de --> leitet weiter auf: https://subdomain2.dyndns.org:7001 --> leitet dementsprechend weiter auf: https://[AKTUELLE_IP_DES_ROUTERS]:7001 --> und der wiederum leitet weiter auf: [INTERNE_IP_NAS]:[NAS_PORT].
Das funktioniert soweit alles gut, natürlich bekomme ich in nahezu jedem Browser eine Meldung, dass es sich um eine nicht sichere Verbindung, da das Zertifikat (Standardzertifikat des NAS) nicht passt.
Mein Workaround #1 (da ist mir mittlerweile klar, dass das Käse ist):
Ich habe über StartSSL ein Zertifikat für meinedomain.de und subdomain.meinedomain.de erstellt. Damit habe ich das NAS gefüttert. Allerdings kommt nun die Fehlermeldung, dass die Webseite nicht zum Zertifikat passt [AKTUELLE_IP_DES_ROUTERS] soll aufgerufen werden, das Zertifikat ist auf meinedomain.de ausgestellt. Das macht leider Sinn, da es sich nur um eine reine Weiterleitung handelt. Mein Hoster bietet leider auch nur Weiterleitungen an. Das Problem bei der Zertifikaterstellung ist übrigens, das StartSSL (die einzigen mir bekannten kostenlosen Zertifikate, bei denen das Wurzelzertifikat schon in den gängigen Browsern intergriert ist) als Authentifizierung eine Email mit Verifizierungscode an eine Emailadresse der entsprechenden Domain schickt. Daher scheidet dyndns.org als Domain im Zertifikat aus.
Mein Workaround #2 (und hier hänge ich derzeit fest UPDATE: Es klappt!):
Ein wenig Recherche im Internet brachte mich zu dem Begriff CNAME. Also habe ich mich ein wenig umgeschaut, bei welchem Anbieter ich eine Subdomain kostenlos einrichten kann, ein CNAME einrichten kann und außerdem an der Subdomain Emails empfangen kann. Ich habe es ausprobiert mit clouDNS und freeDNS. Ich bin leider nicht so weit gekommen, dass ich ein Zertifikat erstellt habe, denn ich scheitere bereits am CNAME.
Ich habe bei freeDNS beispielsweise eine Subdomain subdomain3.freeDNS-domain.org auf die Domain subdomain2.dyndns.org zeigen lassen. Nach meinem Verständnis sollte ich nun mit https://subdomain3.freeDNS-domain.org:7001 direkt auf meinem NAS herauskommen. Das klappt leider nicht. UPDATE: Es klappt doch. Hier hilft nur Geduld, denn bis der CNAME-Record im DNS eingetragen wird, scheint einige Zeit zu dauern. 12 Stunden später funktioniert alles wie es soll! Ich komme auf's NAS und im Browser erscheint das ganze unter der Domain subdomain3.freeDNS-domain.org. Nun muss ich nur noch das Zertifikat für die Domain erstellen und alles ist in Butter!
Vielleicht hilft es ja dem ein oder anderen, der auch an der Stelle fest hängt. Ich habe mich übrigens stark an diesen beiden Blog-Einträgen orientiert:
http://mikebeach.org/2012/11/13/startssl-ssl-certificate-on-synology-nas-using-subdomain/
und
http://mikebeach.org/2011/05/05/synology-diskstation-on-a-subdomain-with-dynamic-ip-address/
Erst beim dritten Lesen fiel mier dort der Satz: "Keep in mind it may take up to 24+ hours for the DNS record to propagate, so if it doesn’t work right away, try again later." Tja, wer lesen kann ist klar im Vorteil, oder wie heißt es immer so schön?!?
Hallo zusammen,
das Thema ist nicht neu, ich habe dazu gestern knapp 8 Stunden im Netz in diversen Foren verbracht, aber irgendwo hat sich bei mir wohl ein Denkfehler eingeschlichen.
Das grundsätzliche Anliegen:
Zugriff auf die Diskstation des NAS per https/SSL ohne nervige Zertifikat Fehlermeldung. Das ganze soll über ein Wurzelzertifikat, dass schon in den gängigen Browsern integriert ist, erfolgen.
Die Ausgangslage:
Das NAS ist ein Synology DS210j. Im Internet über DSL mit dynamischer IP. Der Router übermittelt die aktuelle IP an dyndns.org. Außerdem leitet der Router den eingehenden Port 7001 auf den entsprechenden Diskstation-Port des NAS weiter. Des weiteren bin ich eine .de Domain bei einem Hostern, der Weiterleitungen an externe Adressen ermöglich. Dort habe ich eine Subdomain auf die dyndns-Adresse weitergeleitet.
Der Zugriff aus den weiten des Internet auf das Nas sieht also aktuell folgendermaßen aus:
subdomain1.meinedomain.de --> leitet weiter auf: https://subdomain2.dyndns.org:7001 --> leitet dementsprechend weiter auf: https://[AKTUELLE_IP_DES_ROUTERS]:7001 --> und der wiederum leitet weiter auf: [INTERNE_IP_NAS]:[NAS_PORT].
Das funktioniert soweit alles gut, natürlich bekomme ich in nahezu jedem Browser eine Meldung, dass es sich um eine nicht sichere Verbindung, da das Zertifikat (Standardzertifikat des NAS) nicht passt.
Mein Workaround #1 (da ist mir mittlerweile klar, dass das Käse ist):
Ich habe über StartSSL ein Zertifikat für meinedomain.de und subdomain.meinedomain.de erstellt. Damit habe ich das NAS gefüttert. Allerdings kommt nun die Fehlermeldung, dass die Webseite nicht zum Zertifikat passt [AKTUELLE_IP_DES_ROUTERS] soll aufgerufen werden, das Zertifikat ist auf meinedomain.de ausgestellt. Das macht leider Sinn, da es sich nur um eine reine Weiterleitung handelt. Mein Hoster bietet leider auch nur Weiterleitungen an. Das Problem bei der Zertifikaterstellung ist übrigens, das StartSSL (die einzigen mir bekannten kostenlosen Zertifikate, bei denen das Wurzelzertifikat schon in den gängigen Browsern intergriert ist) als Authentifizierung eine Email mit Verifizierungscode an eine Emailadresse der entsprechenden Domain schickt. Daher scheidet dyndns.org als Domain im Zertifikat aus.
Mein Workaround #2 (und hier hänge ich derzeit fest UPDATE: Es klappt!):
Ein wenig Recherche im Internet brachte mich zu dem Begriff CNAME. Also habe ich mich ein wenig umgeschaut, bei welchem Anbieter ich eine Subdomain kostenlos einrichten kann, ein CNAME einrichten kann und außerdem an der Subdomain Emails empfangen kann. Ich habe es ausprobiert mit clouDNS und freeDNS. Ich bin leider nicht so weit gekommen, dass ich ein Zertifikat erstellt habe, denn ich scheitere bereits am CNAME.
Ich habe bei freeDNS beispielsweise eine Subdomain subdomain3.freeDNS-domain.org auf die Domain subdomain2.dyndns.org zeigen lassen. Nach meinem Verständnis sollte ich nun mit https://subdomain3.freeDNS-domain.org:7001 direkt auf meinem NAS herauskommen. Das klappt leider nicht. UPDATE: Es klappt doch. Hier hilft nur Geduld, denn bis der CNAME-Record im DNS eingetragen wird, scheint einige Zeit zu dauern. 12 Stunden später funktioniert alles wie es soll! Ich komme auf's NAS und im Browser erscheint das ganze unter der Domain subdomain3.freeDNS-domain.org. Nun muss ich nur noch das Zertifikat für die Domain erstellen und alles ist in Butter!
Vielleicht hilft es ja dem ein oder anderen, der auch an der Stelle fest hängt. Ich habe mich übrigens stark an diesen beiden Blog-Einträgen orientiert:
http://mikebeach.org/2012/11/13/startssl-ssl-certificate-on-synology-nas-using-subdomain/
und
http://mikebeach.org/2011/05/05/synology-diskstation-on-a-subdomain-with-dynamic-ip-address/
Erst beim dritten Lesen fiel mier dort der Satz: "Keep in mind it may take up to 24+ hours for the DNS record to propagate, so if it doesn’t work right away, try again later." Tja, wer lesen kann ist klar im Vorteil, oder wie heißt es immer so schön?!?
Zuletzt bearbeitet: