Toggle sidebar

Acme.sh läuft nicht mehr automatisch

Also bei Firefox macht man einen normalen Klick (linke Maustaste) auf das Schlosssymbol vor der URL.
Dann erscheint ein kleines Popup-Fenster in dem Verbindung nicht sicher bzw. Verbindung sicher steht.
Diesen Text klickt man an um in ein Untermenü zu gelangen.
Dort wiederum kann auf weitere Informationen klicken und erhält nun eine Übersicht über die Sicherheit der Webseite.
Außerdem findet man dort einen Button, mit dem man schließlich das komplette Zertifikat anzeigen kann.
 
  • Like
Reaktionen: Benares
Moin, @Benares @Hagen2000 Ich habe wieder aktuelle Screenshots aus dem Firefox Browser gemacht.

Wie schon geschrieben, der Freigabe-link läuft nicht, die Webseite hingegen läuft!

Ich vermute hier trotzdem, dass es am Port: 51077 hakt, während in den Einstellungen zum acme.sh als localhost:5000 eingegeben wird.

Kann ich nicht einfach das ändern in den Einstellungen von acme.sh auf localhost :51077?
 

Anhänge

  • 192122_Seitenangaben_Firefox.png
    192122_Seitenangaben_Firefox.png
    61,5 KB · Aufrufe: 15
  • 192319_Firefox.png
    192319_Firefox.png
    42,5 KB · Aufrufe: 15
  • 192439_nicht sicher_Firefox.png
    192439_nicht sicher_Firefox.png
    22,4 KB · Aufrufe: 15
Moin, in einem anderen Browser konnte ich nach details zum Zertifikat schauen. Dort steht drin, dass für Synology das Zertifikat ausgestellt wurde.
 
In der Systemsteuerung vom NAS unter Sicherheit / Zertifikat kannst Du über die Einstellungen festlegen, für welchen Dienst welches der vorhandenen Zertifikate verwendet wird. Das müsstest Du mal kontrollieren und ggf. anpassen.
 
Moin, hier einmal die Dienste für die Zertifikate, die bei mir in Benutzung sind.
 
Moin @Hagen2000 und da bin ich mir nicht sicher, welcher Dienst die Apps macht und welcher Dienst für die sharing-links zuständig ist.
 
Warum klickst du in dem letzten Screenshot aus #82 nicht mal auf weitere Informationen? Ein anderer Browser war nun wirklich nicht nötig.
 
Irgendwie verstehe ich deine Konfiguration nicht. Hast Du einen Reverse Proxy eingerichtet? Wozu dann noch das Arbeiten mit der Portnummer 51077? Und einmal gibt es photo und dann noch photos als Subdomain.

Und der erste Screenshot von Firefox in #82 ist außerdem merkwürdig: In der Adresszeile steht https, aber weiter unten steht, dass die Verbindung nicht verschlüsselt ist!?
 
Moin, @synfor Du fragst nach den "weiteren Informationen" die in #82 im letzten Bild sichtbar sind.
diese weiteren Informationen sind das erste Bild in #82! Dort sieht man auch, das der Button "Sicherheit" unterlegt ist.
 
Moin @Hagen2000 ich habe den Port 5000 auf 51077 gewechselt, weil dazu geraten wurde, den port 5000 nicht öffentlich zu haben, wegen Angriffe von außen.

Ich habe 3 Reverse Proxy laufen. Weshalb, kann ich nicht mehr genau sagen...')
 

Anhänge

  • 094440_proxy.png
    094440_proxy.png
    32,8 KB · Aufrufe: 12
  • 094556_proxy.png
    094556_proxy.png
    32,1 KB · Aufrufe: 12
  • 094714_proxy.png
    094714_proxy.png
    32 KB · Aufrufe: 12
5000 soll nicht offen sein, eine Umleitung auf 51077 extern macht Ihn aber genauso offen. 'Verstecken' bringt nichts an Sicherheit.

Deine Anonymisierung an Screenshots ist mau. Die Hälfte übersehen. 😊

Was ist denn das genaue Ziel?

Synology Photos erreichbar und zusätzlich Dateifreigaben in der File Station, oder nur Photos?

Dann würde ich mal alle Proxies löschen.

Nur Port 80/443 aufmachen. 80 für Zertifikatserneuerung (da muss sonst kein Dienst antworten), 443 für die Dienste.
Wenn du Haken für https Umleitung, oder HSTS Einstellungen siehst.. Aktivieren.

In Systemsteuerung > Anmeldeportal für Photos eine benutzerdefinierte Domain eintragen.
Und für diesen Dienst das passende Zertifikat setzen.
Dann ist Photos und die Freigabe dazu alles via https://photo.domain.tld erreichbar bzw. die Subdomain die du eingetragen hast.

Einzug müsste man noch prüfen wie genau dein Domain / dynDNS Setup aussieht, ob das so wie oben beschrieben funktioniert, oder man da noch was umstellen müsste.

Edit: müsste funktionieren, weil Domain.tld und *.Domain.tld alle auf der Syno landen.
 
Zuletzt bearbeitet:
Hagen2000 schrieb:
Und der erste Screenshot von Firefox in #82 ist außerdem merkwürdig: In der Adresszeile steht https, aber weiter unten steht, dass die Verbindung nicht verschlüsselt ist!?
Zum Vergrößern anklicken....
Ja das ist seltsam. Aber das
Turner15 schrieb:
Moin @Hagen2000 ich habe den Port 5000 auf 51077 gewechselt, weil dazu geraten wurde, den port 5000 nicht öffentlich zu haben, wegen Angriffe von außen.
Zum Vergrößern anklicken....
erklärt das. Das geht am Reverse-Proxy vorbei und ist nicht verschlüsselt weil https dank der Portnummer auf dem unverschlüsselten Port landen.
Turner15 schrieb:
Ich habe 3 Reverse Proxy laufen. Weshalb, kann ich nicht mehr genau sagen...')
Zum Vergrößern anklicken....
Lösch dem Murks.
 
  • Like
Reaktionen: *kw*
Fusion schrieb:
80 für Zertifikatserneuerung (da muss sonst kein Dienst antworten)
Zum Vergrößern anklicken....
Braucht er eigentlich nicht, er nutzt doch die DNS-Challenge (siehe #20) und ein Wildcard-Zertifikat.
synfor schrieb:
Das geht am Reverse-Proxy vorbei und ist nicht verschlüsselt weil https dank der Portnummer auf dem unverschlüsselten Port landen.
Zum Vergrößern anklicken....
Nur merkwürdig, dass das keine Protokollverletzung gibt.

Hier scheint mir bei den Reverse Proxy-Einstellungen (und ggf. weiteren Einstellungen) einiges nicht ganz rund zu laufen und daher wird wohl auch in bestimmten Fällen das Synology-Zertifikat unerwarteterweise ausgeliefert.

Von der eigentlichen Fragestellung haben wir uns inzwischen allerdings sehr weit entfernt, daher werde ich mich jetzt ausklinken.
 
  • Like
Reaktionen: Fusion und *kw*
Moin @Fusion ja, ich habe zum einen Synology Photos für die Familie und zum anderen für den Verein Freigabe links um Daten (Fotos & Videos) herunterzuladen.

@synfor wenn ich die 3 Proxy lösche, kann ich dann weiterhin das nutzen, was ich @Fusion erklärt habe?
 
Der Sinn eines RP ist ja, dass ich von IP: Ports wegkomme. Wenn also dein Zertifikat ordentlich installiert und der RP eingerichtet ist (Zuweisung der Apps/Domains), dann wird ein Schuh draus.
 
Moin, @*kw* ich habe mal die 3 RP gelöscht. Nun komme ich nicht mehr auf meine Webseite & die Freigabelinks laufen auch nicht.
Ich werde nun einen nach den anderen RP wieder einbauen, und schauen, wann es geht.
 
Mit "Einbauen" meinst du (hoffentlich) den Integrierten?
 
Denke auch bitte daran, dass du nicht für jede Anwendung einen expliziten Reverse Proxy brauchst (einen unter Anmeldportal, Erweitert).
Für die Standard-Apps (die unter Anmeldeportal, Anwendungen) genügt es, wenn dort bei Domain was einträgst. Dabei entsteht quasi das Gleiche.
 
Wie @Benares auch nochmal geschrieben hat.
Nur Systemsteuerung > Anmeldeportal > Anwendungen für Synology Photos und für die File Station eine Subdomain eintragen und für die Dienste das Zertifikat setzen.
Ob die bisherigen Freigabelinks allerdings direkt weiter funktionieren oder neu angelegt werden müssen weiß ich nicht.
Aber die sauberere Lösung wäre es allemal.

Und ja, bei Wildcard brauchst nur Port 443 (hab mir nicht den ganzen Thread durchgelesen). @Hagen2000
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten