DSM 6.x und darunter 2 SSL-Zertifikate: https-Zugriff über LAN und Internet (StartSSL)

[voter]

Hallo liebe Synology-Community!

Vorweg muss ich in meinem aller ersten Beitrag mal ein Lob aussprechen: Echt eine tolle Community hier mit sehr interessanten Beiträgen, die mir schon mächtig weitergeholfen haben... Danke!

Dennoch will ich euch nicht lang aufhalten und komm gleich zu meinem Anliegen zum Thema SSL und hoffe jemand kann mir weiterhelfen:

Ich habe mir bei StartSSL ein Zertifikat angelegt und erfolgreich importieren können. Es ist ausgestellt auf meine Domain [nachname.org] und auf die Subdomain [secure.nachname.org], zweitere löst per CNAME auf meine DDNS Adresse [nachname.no-ip.org] auf, welche wiederum per DDNS meine derzeitige IP von der DS bekommt. Fazit: Klappt eigentlich einwandfrei.

Allerdings möchte ich auch im LAN auf meine DS zugreifen und zwar ausschließlich per [https://192.168.1.10] bzw. [https://name-meiner-DS]. Und hier beginnt dann der Ärger. Ich bekomme ständig einen Hinweis (zb. im Firefox), dass dieses SSL Zertifikat "gefährlich" bzw. "gefälscht" ist, da es ja ausschließlich für [nachname.org] & [secure.nachname.org] zertifiziert/ausgestellt ist (--> gefälschte Identität). Auch ein hinzufügen bei den Ausnahmen ist nicht möglich, denn Firefox bombadiert mich im 2 Sekunden-Abstand mit einem POP-UP mit dem Fehler "ssl_error_bad_cert_domain". Dieses Verhalten lässt sich nur abstellen, wenn ich HTTPS-Verbindungen im DSM unter "DSM-Einstellungen" bzw. "Webdienste" deaktiviere! Erst eine komplette De- und anschließende Neuinstallation des Firefox konnte das Problem bzgl. des Pop-Ups beseitigen.

Daraus ergibt sich meine Frage:

Da ich ja bei startssl.com kein Zertifikat für [192.168.1.10] ausstellen kann, ist es möglich sowohl ein StartSSL-, als auch ein eigenes SSL-Zertifikat gleichzeitig zu importieren? D.h. der DS folgendes Verhalten beibringen: Wenn jemand per LAN [https://192.168.1.10] auf die DS zugreift verwende eigenes, erstelltes Zertifikat (muss dann natürlich händisch im Browser unter Ausnahmen hinzugefügt werden) und für Besucher übers Internet [secure.nachname.org] verwende das StartSSl-Zertifikat (welches ja nicht händisch im Browser unter Ausnahmen hinzugefügt werden muss)?
-----------------------------------------------------------------------------------------------------------------------
ZUSAMMENFASSUNG:
Zugriff per LAN [https://192.168.10] -------------------> Eigenes SSL-Zertifikat
Zugriff per Internet [https://secure.nachname.org] -----> StartSSL-Zertifikat
-----------------------------------------------------------------------------------------------------------------------

Oder ist es ganz einfach: Die Inhalte beider Zertifikate in SSL.key und SSL.crt einfügen?

Ich bedanke mich im Voraus fürs Lesen und die Hilfe.

LG Thomas
[Synology DS-212+ / 2 x 2TB Samsung HD204UI]

 

[jahlives]

Stell einen DNS Server in dein LAN und löse deine beiden externen Domains mit der LAN-IP auf. Dann solltest du dein startssl Cert in beiden Fällen weiternutzen können

 

[voter]

@jahlives: Danke für deine Antwort, aber eigentlich hab ich mir eine DS gekauft, damit ich eben keine weiteren gr. Stromfresser in Betrieb habe. Das einzige was ich sonst noch bieten kann, was immer online ist, ist meine Fritz!Box 7270 bzw. 7390.

Es muss doch möglich sein, der "DaiSy" zwei SSL Zertifikate, je nachdem ob sie aus dem Lan oder Internet angesprochen wird, unterzujubeln. Ich bild mir ein in diesem Forum hab ich auch einmal so einen Beitrag gelesen, allerdings ohne Angabe, wie es gemacht wurde.

 

[laserdesign]

DNS-Server kannst du auch auf deinem NAS installieren

 

[voter]

Aso! Da sieht man, dass ich diesbezüglich null Plan habe. Aber ich nehme an es läuft auf IPKG hinaus, oder?

 

[laserdesign]

genau, und dann mal im wiki nach bind suchen. Ich habe den Link gerade nicht zur Hand.

Edit:
Ich sehe gerade du benutzt DD-Wrt, ist es nicht auch da möglich??
Wo läuft denn DD-Wrt??
Oder auf der Fritte mit Freetz.

 

[jahlives]

Danke für deine Antwort, aber eigentlich hab ich mir eine DS gekauft, damit ich eben keine weiteren gr. Stromfresser in Betrieb habe.

ipkg install dnsmasq oder ipkg install bind
Wobei dnsmasq einfacher zu warten ist.
Und nein zwei Zertifikate pro IP gehen im Apache nicht wirklich. Denn der SSL Host kennt in dem Sinn keine Domainnamen d.h. es kann nicht anhand des Domainnamens entschieden werden welches Zert zu verwenden ist. Denn der Domainname ist ein HTTP-Request Feld und damit Inhalt des Pakets. Das Paket an sich ist aber bereits verschlüsselt, also könnte der Server den Domainnamen gar nicht ermitteln, weil er dazu bereits wissen muss welches Zert verwendet werden muss. Drum kann man sinvoll nur ein Zert pro Socket (IP/Port) einsetzen.

 

[voter]

Ok da muss ich mich ein wenig einlesen, denn ehrlich gesagt, ich hab grad mal die Hälfte deines Textes verstanden

Evtl. ein anderer Ansatz: Wenn ich bei StartSSL auf Class 2 hochstufe kann ich ja die erweiterten Dienste (UCC/SAN/SNI) nutzen... Ist es möglich dort einen weiteren Host in Form von 192.168.1.10 bzw. (https://)name-meiner-DS einzutragen?

 

[jahlives]

CN (Common Name) bei Cert lauten immer auf Hostnamen und nicht auf IPs.
Und zu meinem Text oben: Das priinzipielle Problem von mehreren Certs pro Socket wird hier (http://wiki.apache.org/httpd/NameBasedSSLVHosts) erläutert

 

[Trolli]

Wenn der Router NAT-Loopback unterstützt, kann man den Domainnamen auch ohne DNS-Server im lokalen Netz verwenden.

Andere Sache: ist es überhaupt sinnvoll im lokalen Netz https zu verwenden?

 

[voter]

Andere Sache: ist es überhaupt sinnvoll im lokalen Netz https zu verwenden?

Das ist für mich auch nicht sonderlich relevant, ausser, dass evtl. Leute im eigenen LAN nicht mithorchen können (was bei mir sicher nicht der Fall wäre). Allerdings möchte ich den Punkt "HTTP-Verbindungen automatisch zu HTTPS umleiten..." im Menüpunkt DSM-Einstellungen deshalb aktivieren, weil ich dann übers Internet einfach nur "secure.nachname.org" eingeben muss und automatisch umgeleitet werde und nicht immer "https://secure.nachname:5001"... Ich hab zwar probiert eine Portweiterleitung zu machen [Port 5000 --> zur IP der DS auf Port 5001], was natürlich absoluter Schwachsinn ist, da die DS ja auf Port 80 reagiert und wenn nach der Adresse kein "/name-des-web-verzeichnisses" steht zum DSM weitergeleitet wird!? (wenn ich das richtig verstanden habe)

Den Beitrag den ich vorher erwähnt, aber nicht gefunden habe, habe ich jetzt entdeckt http://www.synology-forum.de/showthread.html?9722-Zertifikat-mit-Startssl&p=199648&viewfull=1#post199648. Kann mir vielleicht jemand erklären, wie das gemeint ist (denn genauso wollte ich es machen)?

siehe:

Zitat von cpalm

Meine Zertifikatskette (bestehend aus 3 Zertifikaten - mein eigenes und die 2 von Startssl) habe ich in EINER Datei server.crt hintereinander reingepastet.

und

Wie gesagt, ich habe um das hinzubekommen gar keine ssl Konfigurationsdatei angefasst. Das war mir zu unsicher, da ich nicht weiß was Synology bei einem Firmware update damit macht.

Also habe ich ihm einfach den neuen Key und das bzw. eher die Zertifikate "untergejubelt" und schon ging alles. Das mit dem Web-Interface ging bei mir übrigens auch nicht. Nach Druck von "Ok" tat sich einfach gar nichts. Nicht einmal ein Fehler. Da hab ich es halt via üblichem Weg (PuTTY und Kommandozeile) selbst gemacht.

Gruß
cpalm

bzw

Folgende Dateien:

/usr/syno/etc/ssl/ssl.crt/server.cert

und

/usr/syno/etc/ssl/ssl.key/server.key

wie gesagt: in server.cert alle Zertifikate hintereinander weg.
Ich habe sie noch mit "chmod 0400 server.key" usw. entsprechend geflaggt (das war aber von Synology per default auch schon so).

Gruß
cpalm

 

[voter]

Kann mir keiner bzgl meines letzten Posts helfen? Schade, aber danke an alle.

 

[jahlives]

@voter
Es kann schon sein, dass man 10 PrivateKeys in ein File packen kann, ändert aber nichts daran, dass der Apache zwangsläufig nur eine davon kennen kann. Du darfst gerne mal probieren einen vhost mit eigenem Cert für den Apache zu erstellen. Berichte mir einfach ob du wirklich den Inhalt des vhosts siehst und nicht doch eher den Inhalt des Haupthosts Es kann vom Konzept von SSL her nicht gehen! die Regel ist ganz einfach: Pro Socket kannst du ein Zertifikat haben. Das liegt daran, dass der apache wissen muss welchen Schlüssel er verwenden muss um überhaupt rauszubekommen welcher welcher Host angefragt wurde. Das ist das Dilemma: Um zu wissen welcher Host angefragt wurde muss der Apache bereits den Schlüssel kennen und um den richtigen Schlüssel zu ermitteln muss er vorher wissen welcher Host angefragt wurde.
Wenn du dieses Problem lösen kannst, dann würde ich das schnell patentieren lassen und dann mit den Serverherstellern die grosse Kasse machen. Die würden dir die Tür einrennen, wenn das so einfach ginge ;-)

 

[blackfir3]

Möchte mir auch ein SSL Zertifimat für meine DS410 holen. Habe eine Domain VORNAME-NACHNAME.de und habe dort .home als Subdomain für meine DS angelegt und per CNAME auf meinen DYNDNS.org Host (dynamische DSL IP).
Über die home... Adresse komme ich aus dem LAN auf meinen Router (Linksys WRT610N mit DD-WRT https auf 8080), aber auf meine DS komme ich nicht (weder per HTTP noch per HTTPS). Ports sind aber frei denn von draußen kommen ich rauf.
Wollt nämlich aus dem LAN gern die home.VORNAME-NACHNAME.de Adresse nutzen, wenn ich mir dafür schon ein Zertifikat hole. Und HTTP wird sowieso auf HTTPS umgeleitet (Einstellung in DSM).
Aber wieso komm ich auf den Router, aber nicht auf die DS?