2 Let’s encrypt Zertifikate für 2 DynDNS Domains

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Hallo zusammen,

ich habe eine Frage bezüglich DynDNS und Zertifikaten. Derzeit ich nutze den Synology DynDNS Service mit einem Let’s encrypt Zertifikat. Es läuft auch alles problemlos. Jedoch möchte ich aus verschiedenen Gründen eine zweite DynDNS für mein NAS einrichten (Anbieter all-inkl.com). Für diese Verbindung würde ich gerne ein weiteres Let’s encrypt Zertifikat (ist schon registriert) nutzen. Leider bin ich nicht bewandert auf diesem Gebiet, daher stellt sich mir die Frage, ob das überhaupt möglich ist? Wenn ja kann mir vielleicht jemand ein paar Stichworte nennen, nach was und wo ich suchen muss?

Grüße DMHas
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
Kannst du machen. Allerdings musst du dann auf der DS auch festlegen, welcher Dienst welches Zertifikat verwendet.
Das Schöne am Synology DynDNS Service ist ja gerade, dass damit sowohl Wildcard-DNS-Auflösungen gehen (*.irgendwas.synology.me) und auch das Zertifikat für alle diese Namen gilt. Bei anderen Anbietern hast du ggf. zwar schönere Namen, musst dir aber in dieser Richtung immer selbst was basteln.
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Danke für die Antwort! .... Wo kann ich konfigurieren, welches Zertifikat für welche DynDNS-Adresse die DSM das entsprechende Zertifikat nutzt. Unter Systemsteuerung-> Externer Zugriff -> DDNS habe ich nichts gefunden.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
welches Zertifikat für welche DynDNS-Adresse
Das gibt's nicht. Über DynDNS und Portweiterleitung sprichst du Apps an, und denen werden Zertifikate zugeordnet (s. Systemsteuerung->Sicherheit->Zertifikat->Einstellungen). Natürlich muss dann das verwendete Zertifikat auch für den verwendeten (D)DNS-Namen gelten (Alternate Names)
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Schade, unter Systemsteuerung->Sicherheit->Zertifikat->Einstellungen gibt es ja nur 4 Möglichkeiten.
Gibt es eventuell eine andere Möglichkeit?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
Einstellungen gibt es ja nur 4 Möglichkeiten
Was meinst du mit 4? Links stehen alle aktiven Apps, rechts hast du jeweils die Auswahl aller Zertifikate.
Wenn was fehlt, musst du halt die App oder ein Zertifikat hinzufügen.
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Hinzufügen kann ich da leider nichts.

Screenshot.jpg
 
Zuletzt bearbeitet von einem Moderator:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
Da hast du aber wenig Dienste/Apps aktiv - und alle über das erste synology.me-Zertifikat.
Welche App möchtest du denn von extern erreichen? "Systemstandard" ist quasi der else-Zweig, also für alles, was nicht getrennt aufgeführt wird.
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Ich würde gern den Synology Kalender, Kontakte (Synology Contacts) und DSM-Zugriff über einen DynDNS-Domain laufen lassen. Photo + Videostation und Filestation über einen andere DynDNS-Domain. Vielleicht noch wichtig: ich habe eine DS218 Play.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das Problem hier ist, dass du den gleichen Dienst nicht über zwei verschiedene DDNS-Adressen ansprechen kannst. Bzw kannst du das schon, aber dann hat eben nur eine ein gültiges Zertifikat. Es sei denn, du hast einen Alternativen Domain-Namen im Zertifikat eingetragen.
Alternativ kannst du auch mit dem Reverse-Proxy arbeiten. Für jeden Eintrag im Reverse-Proxy kann ein separates Zertifikat angegeben werden.
EDIT:
Wenn du unter Systemsteuerung->Anmeldeportal (oder Anwendungsportal bei DSM6) pro Anwendung separate Ports vergibst, kannst du auch die Zertifikate unterschiedlich einstellen)
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Das Problem hier ist, dass du den gleichen Dienst nicht über zwei verschiedene DDNS-Adressen ansprechen kannst. Bzw kannst du das schon, aber dann hat eben nur eine ein gültiges Zertifikat. Es sei denn, du hast einen Alternativen Domain-Namen im Zertifikat eingetragen.
Die DSM scheint bei einem Let's encrypt Zertifikat diese Option nicht anzubieten.

Alternativ kannst du auch mit dem Reverse-Proxy arbeiten. Für jeden Eintrag im Reverse-Proxy kann ein separates Zertifikat angegeben werden.
Ich habe kein Wissen über Reverse-Proxy. Da werde ich mal in das Thema einlesen.

Wenn du unter Systemsteuerung->Anmeldeportal (oder Anwendungsportal bei DSM6) pro Anwendung separate Ports vergibst, kannst du auch die Zertifikate unterschiedlich einstellen)
Das scheint eine schnelle Lösung für mein Vorhaben zu sein. Da ich alle Handy's und ein Tablet nur über eine bestimmte DynDNS synchronisieren möchte.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Hier am Beispiel von AudioStation ganz kurz gezeigt (DSM7, so wie das auf deinem Screenshot aussieht):
1.) Anmeldeportal
1.png


2.png

2.) Sicherheit -> Zertifikat -> Einstellungen (hier sollte nun die Anwendung mit dem separierten Port auftauchen):
3.png
 
  • Like
Reaktionen: DMHas

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
@plang.pl : Vielen Dank für das Beispiel! Das funktioniert prächtig.

Eine Frage zum Reverse-Proxy. Wenn ich das richtig verstanden habe, muss ich für den Kalender und für die Kontakte jeweils eine eigene DynDNS einrichten und über den Reverse-Proxy an den entsprechenden Port weiterleiten?

kalender.XXX.AB -> localhost:20003 (Port 20003 = Port des Synology Kalenders)
kontakte.XXX.AB -> localhost:20004 (Port 20004 = Port der Synology Kontakte)
dsm.XXX.AB -> localhost:5001 (Port für DSM Zugriff)

Für alle drei DynDNS kann ich eine Let's encrypt Zertifikat erstellen und jeweils passend zuweisen. So muss ich im Router nur die Ports 80 & 443 an die Diskstation weiterleiten und nicht noch zusätzlich Port 5001; 20003 & 20004? Habe ich das richtig verstanden?
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Du kannst auch für Kontakte und Calendar einen eigenen Port anlegen und brauchst somit den Reverse Proxy eigentlich für dein Vorhaben nicht.
Port 80&443 würde ich im Router generell nicht weiterleiten, genauso wenig wie den Standard-DSM Port. Es gibt viele Portscanner, die sich automatisiert auf die Suche nach so was machen.
Wie das genau von extern mit dem Zugriff über ein gültiges Zertifikat mittels Reverse Proxy funktioniert, weiß ich leider nicht, da ich das nur intern nutze. Ob das mit mehreren DDNS-Adressen so einfach geht, wage ich aber zu bezweifeln. Du müsstest quasi eine Domain mit allen Subdomains auf deinen Server/deinen Anschluss zeigen lassen. Wo die Anfrage dann letzten Endes rauskommt (welcher Port) bestimmt dann der Reverse Proxy.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
Hast du richtig verstanden. Allerdings braucht man dafür nicht unbedingt mehrere DDNS, sondern nur einen DNS-Provider, der auch CNAMEs (Aliase) oder Wildcard-Auflösungen unterstützt. Gleiches gilt auch für das Zertifikat, es gibt auch Wildcard-Zertifikate (*.XXX.AB), z.B. bei synology.me.
Wenn es nicht unbedingt ein "schöner" Name sein muss, ist synology.me in der Beziehung gar nicht so schlecht.
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Ich habe im oberen Beitrag ein nicht vergessen. Das habe ich ergänzt und den vorletzten Satz angepasst.

CNAME unterstützt all-inkl.com. Aber ehrlich gesagt, traue ich mich an die DNS Einstellung ran. Mal sehen für welche Lösung ich mich entscheide! Da habe ich einiges zum nachlesen und lernen! Danke erstmal.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
Die Alternative zu Wildcard-DNS und Wildcard-Zertifikat sind halt CNAMEs und ein Zertifikat, dass alle definierten CNAMEs auch als "Alternate Names"/"Alternative Antragsteller" abdeckt. Ist aber immer etwas Gefummel, wenn mal ein weiterer CNAME hinzukommt.
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Nochmals Danke an alle! Es klappt soweit sehr gut!
Ein Frage habe ich noch in diesem Zusammenhang. Kann ich auch für den DSM-Zugang (Standard Port 5000) zwei unterschiedliche Ports zuweisen und für diese Ports unterschiedliche Zertifikate zuweisen?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nein, auf direktem Wege geht das nicht. Du kannst aber einen Reverse-Proxy Eintrag anlegen, der zusätzlich auf dein DSM weiterleitet und dafür ein anderes Zertifikat wählen
 
  • Like
Reaktionen: DMHas


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat