2 Let’s encrypt Zertifikate für 2 DynDNS Domains

[DMHas]

Hallo zusammen,

ich habe eine Frage bezüglich DynDNS und Zertifikaten. Derzeit ich nutze den Synology DynDNS Service mit einem Let’s encrypt Zertifikat. Es läuft auch alles problemlos. Jedoch möchte ich aus verschiedenen Gründen eine zweite DynDNS für mein NAS einrichten (Anbieter all-inkl.com). Für diese Verbindung würde ich gerne ein weiteres Let’s encrypt Zertifikat (ist schon registriert) nutzen. Leider bin ich nicht bewandert auf diesem Gebiet, daher stellt sich mir die Frage, ob das überhaupt möglich ist? Wenn ja kann mir vielleicht jemand ein paar Stichworte nennen, nach was und wo ich suchen muss?

Grüße DMHas

 

[Benares]

Kannst du machen. Allerdings musst du dann auf der DS auch festlegen, welcher Dienst welches Zertifikat verwendet.
Das Schöne am Synology DynDNS Service ist ja gerade, dass damit sowohl Wildcard-DNS-Auflösungen gehen (*.irgendwas.synology.me) und auch das Zertifikat für alle diese Namen gilt. Bei anderen Anbietern hast du ggf. zwar schönere Namen, musst dir aber in dieser Richtung immer selbst was basteln.

 

[DMHas]

Danke für die Antwort! .... Wo kann ich konfigurieren, welches Zertifikat für welche DynDNS-Adresse die DSM das entsprechende Zertifikat nutzt. Unter Systemsteuerung-> Externer Zugriff -> DDNS habe ich nichts gefunden.

 

[Benares]

welches Zertifikat für welche DynDNS-Adresse

Das gibt's nicht. Über DynDNS und Portweiterleitung sprichst du Apps an, und denen werden Zertifikate zugeordnet (s. Systemsteuerung->Sicherheit->Zertifikat->Einstellungen). Natürlich muss dann das verwendete Zertifikat auch für den verwendeten (D)DNS-Namen gelten (Alternate Names)

 

[DMHas]

Schade, unter Systemsteuerung->Sicherheit->Zertifikat->Einstellungen gibt es ja nur 4 Möglichkeiten.
Gibt es eventuell eine andere Möglichkeit?

 

[Benares]

Einstellungen gibt es ja nur 4 Möglichkeiten

Was meinst du mit 4? Links stehen alle aktiven Apps, rechts hast du jeweils die Auswahl aller Zertifikate.
Wenn was fehlt, musst du halt die App oder ein Zertifikat hinzufügen.

 

[DMHas]

Hinzufügen kann ich da leider nichts.

 

[Benares]

Da hast du aber wenig Dienste/Apps aktiv - und alle über das erste synology.me-Zertifikat.
Welche App möchtest du denn von extern erreichen? "Systemstandard" ist quasi der else-Zweig, also für alles, was nicht getrennt aufgeführt wird.

 

[DMHas]

Ich würde gern den Synology Kalender, Kontakte (Synology Contacts) und DSM-Zugriff über einen DynDNS-Domain laufen lassen. Photo + Videostation und Filestation über einen andere DynDNS-Domain. Vielleicht noch wichtig: ich habe eine DS218 Play.

 

[plang.pl]

Das Problem hier ist, dass du den gleichen Dienst nicht über zwei verschiedene DDNS-Adressen ansprechen kannst. Bzw kannst du das schon, aber dann hat eben nur eine ein gültiges Zertifikat. Es sei denn, du hast einen Alternativen Domain-Namen im Zertifikat eingetragen.
Alternativ kannst du auch mit dem Reverse-Proxy arbeiten. Für jeden Eintrag im Reverse-Proxy kann ein separates Zertifikat angegeben werden.
EDIT:
Wenn du unter Systemsteuerung->Anmeldeportal (oder Anwendungsportal bei DSM6) pro Anwendung separate Ports vergibst, kannst du auch die Zertifikate unterschiedlich einstellen)

 

[DMHas]

Das Problem hier ist, dass du den gleichen Dienst nicht über zwei verschiedene DDNS-Adressen ansprechen kannst. Bzw kannst du das schon, aber dann hat eben nur eine ein gültiges Zertifikat. Es sei denn, du hast einen Alternativen Domain-Namen im Zertifikat eingetragen.

Die DSM scheint bei einem Let's encrypt Zertifikat diese Option nicht anzubieten.

Alternativ kannst du auch mit dem Reverse-Proxy arbeiten. Für jeden Eintrag im Reverse-Proxy kann ein separates Zertifikat angegeben werden.

Ich habe kein Wissen über Reverse-Proxy. Da werde ich mal in das Thema einlesen.

Wenn du unter Systemsteuerung->Anmeldeportal (oder Anwendungsportal bei DSM6) pro Anwendung separate Ports vergibst, kannst du auch die Zertifikate unterschiedlich einstellen)

Das scheint eine schnelle Lösung für mein Vorhaben zu sein. Da ich alle Handy's und ein Tablet nur über eine bestimmte DynDNS synchronisieren möchte.

 

[plang.pl]

Hier am Beispiel von AudioStation ganz kurz gezeigt (DSM7, so wie das auf deinem Screenshot aussieht):
1.) Anmeldeportal





2.) Sicherheit -> Zertifikat -> Einstellungen (hier sollte nun die Anwendung mit dem separierten Port auftauchen):

 

[DMHas]

@plang.pl : Vielen Dank für das Beispiel! Das funktioniert prächtig.

Eine Frage zum Reverse-Proxy. Wenn ich das richtig verstanden habe, muss ich für den Kalender und für die Kontakte jeweils eine eigene DynDNS einrichten und über den Reverse-Proxy an den entsprechenden Port weiterleiten?

kalender.XXX.AB -> localhost:20003 (Port 20003 = Port des Synology Kalenders)
kontakte.XXX.AB -> localhost:20004 (Port 20004 = Port der Synology Kontakte)
dsm.XXX.AB -> localhost:5001 (Port für DSM Zugriff)

Für alle drei DynDNS kann ich eine Let's encrypt Zertifikat erstellen und jeweils passend zuweisen. So muss ich im Router nur die Ports 80 & 443 an die Diskstation weiterleiten und nicht noch zusätzlich Port 5001; 20003 & 20004? Habe ich das richtig verstanden?

 

[plang.pl]

Du kannst auch für Kontakte und Calendar einen eigenen Port anlegen und brauchst somit den Reverse Proxy eigentlich für dein Vorhaben nicht.
Port 80&443 würde ich im Router generell nicht weiterleiten, genauso wenig wie den Standard-DSM Port. Es gibt viele Portscanner, die sich automatisiert auf die Suche nach so was machen.
Wie das genau von extern mit dem Zugriff über ein gültiges Zertifikat mittels Reverse Proxy funktioniert, weiß ich leider nicht, da ich das nur intern nutze. Ob das mit mehreren DDNS-Adressen so einfach geht, wage ich aber zu bezweifeln. Du müsstest quasi eine Domain mit allen Subdomains auf deinen Server/deinen Anschluss zeigen lassen. Wo die Anfrage dann letzten Endes rauskommt (welcher Port) bestimmt dann der Reverse Proxy.

 

[Benares]

Hast du richtig verstanden. Allerdings braucht man dafür nicht unbedingt mehrere DDNS, sondern nur einen DNS-Provider, der auch CNAMEs (Aliase) oder Wildcard-Auflösungen unterstützt. Gleiches gilt auch für das Zertifikat, es gibt auch Wildcard-Zertifikate (*.XXX.AB), z.B. bei synology.me.
Wenn es nicht unbedingt ein "schöner" Name sein muss, ist synology.me in der Beziehung gar nicht so schlecht.

 

[DMHas]

Ich habe im oberen Beitrag ein nicht vergessen. Das habe ich ergänzt und den vorletzten Satz angepasst.

CNAME unterstützt all-inkl.com. Aber ehrlich gesagt, traue ich mich an die DNS Einstellung ran. Mal sehen für welche Lösung ich mich entscheide! Da habe ich einiges zum nachlesen und lernen! Danke erstmal.

 

[Benares]

Die Alternative zu Wildcard-DNS und Wildcard-Zertifikat sind halt CNAMEs und ein Zertifikat, dass alle definierten CNAMEs auch als "Alternate Names"/"Alternative Antragsteller" abdeckt. Ist aber immer etwas Gefummel, wenn mal ein weiterer CNAME hinzukommt.

 

[DMHas]

Nochmals Danke an alle! Es klappt soweit sehr gut!
Ein Frage habe ich noch in diesem Zusammenhang. Kann ich auch für den DSM-Zugang (Standard Port 5000) zwei unterschiedliche Ports zuweisen und für diese Ports unterschiedliche Zertifikate zuweisen?

 

[plang.pl]

Nein, auf direktem Wege geht das nicht. Du kannst aber einen Reverse-Proxy Eintrag anlegen, der zusätzlich auf dein DSM weiterleitet und dafür ein anderes Zertifikat wählen