Allgemeine Zertifikaten Frage

[wolewo]

Hallo zusammen,
möchte mal fragen, ob mein Vorhaben so umzusetzen ist.

Ich habe bei meinem Webhoster eine Subdomain installiert und lasse diese auf meine DS1010+ umleiten (Filestation).
Nun habe ich für diese Subdomain ein Zertifikat bestellt.
Kann ich dieses Zertifikat dann auch auf meine DS installieren lassen, damit ich den Zertifikatenfehler nicht mehr bekomme?
Bei der DS kann man ja ein Zertifikat installieren lassen.
Oder mache ich da einen Überlegungsfehler?
Gruss
Daniel

 

[grueni_fa]

Grundsätzlich ja - du kannst das Zertifikat auf die DS hochladen / installieren.

Je nach dem sind jedoch noch ein paar zusätzliche Arbeiten nötig.
Es gibt da eine Anleitung im Wiki/Forum:

• Synology-Wiki
• Synology-Forum

Ich hatte selbst ein Problem nach dem installieren auf der DS, es hatte noch was gefehlt.
Hier meine Lösung: klick

 

[wolewo]

Scheint schwieriger zu sein als ich dachte

Aber sobald ich vom Hoster das Zertifikat bekommen habe, versuche ich es einmal mit Deiner Lösung.
Merci für den Tipp.
Gruss
Daniel

 

[grueni_fa]

Ist nicht wirklich schwierig, nur vielleicht nicht verständlich, wenn man den Apache und die SSl-Geschichte nicht kennt.
Wenn du meine Anleitung nimmst, benötigtet du nur die infos zu 1. Schritt – Synology DiskStation für SSL fit machen.

Ich glaub, das Problem war, dass das CA-Zertifikat auf der DS gefehlt hatte. Drum ist der manuelle Eingriff nötig.

 

[wolewo]

Hallo,
Das mit dem Zertifikat vom Hoster geht nicht, das scheint etwas spezielles zu sein.

Darum habe ich mich jetzt für diese Variante entschieden. http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

Aber leider kommt der Zertifikatenfehler immer noch. Was mache ich da falsch?
Gruss
Daniel

 

[Trolli]

Welchen Browser benutzt Du?

Wahrscheinlich meckert der Browser jetzt noch, dass das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle kommt. Woher soll er das auch wissen...? In jedem Browser gibt es die Möglichkeit, die selbsterstellte ca.crt zu importieren und als vertrauenswürdige Stammzertifizierungsstelle zuzulassen.

 

[rauppe31]

Du musst bei jedem Browser eine ausnahme für dieses Zertifikat eintragen.

Wenn du willst, kannst du auch ein kostenloses Zertifikat von StartSSL generieren.
Damit funktioniert es bei mir auch ohne Fehlermeldung.
Kannst es ja mal testen: https://naefmarco.ch:8080

 

[wolewo]

Hallo zusammen,
merci für eure Tipps.
Ich habe das Zertifikat im IE9 importiert bei den Vertrauenswürdigen Zertifikaten. Aber ich glaube ich mache irgendwo einen Überlegungsfehler. Das Zertifikat habe ich auf mein Subdomain gemacht. Von diesem Subdomain leite ich das ganze weiter auf die IP meiner DS. Ist ja auch etwas ähnliches wie ein DynDns Diesnst, nur muss ich halt die IP selber erneuern. Oder sehe ich das jetzt schon falsch?

Die Meldung sieht jetzt so aus.

 

[Trolli]

Bei dieser Fehlermeldung stimmt die Adresse im Zertifikat nicht mit der Adresse der Webseite überein. Möglicherweise funktioniert das mit der Subdomain nicht so wie Du möchtest...

 

[rauppe31]

Steht denn in der Adresszeile immernoch deine Subdomain oder die externe IP deiner DS?

 

[wolewo]

@Trolli
ich glaube Du hast recht mit deiner Vermutung. Bei Google Chrom sieht es so aus.

 

[rauppe31]

Beantworte bitte noch meine Frage:

Steht denn in der Adresszeile immernoch deine Subdomain oder die externe IP deiner DS?

 

[wolewo]

@rauppe31

Da steht jetzt die IP meiner DS.
Vielleicht müsste ich das Zertifikat auf die IP Adresse von der DS ausstellen.

 

[rauppe31]

Nein, denn die IP von deiner DS ist sicher Dynamisch.
Ich weiss nicht, ob du zugriff auf die DNS Datenbank hast (wahrscheinlich nicht).
Dort müsste für deine Subdomain die IP deiner DS stehen.
Kontaktiere doch mal deinen Anbieter von deinem Server.

 

[wolewo]

Diesen Zugriff habe ich nicht. Ich habe ein VDSL Abo bei der Swisscom und da ändert die IP alle Jahre einmal. Momentan habe ich schon über ein Jahr die gleiche IP.
Gruss
Daniel

 

[Trolli]

Man kann aber keine Zertifikate auf IPs ausstellen. Zertifikate werden immer nur auf Domainnamen ausgestellt.

 

[rauppe31]

Dann würde ich mal deinen Betreiber des Servers fragen oder du machst deinen eigenen DNS-Server. Kannst du bei Metanet gratis einrichten.

 

[ubuntulinux]

Bei Metanet hat man nicht seinen eigenen DNS Server.

 

[rauppe31]

OK. Nicht einen eigenen, aber man hat alles, was man braucht

BTW: Was ist der Unterschied zwischen dem Metanet DNS Server und einem eigenen?

 

[wolewo]

Habe trotzdem mal versucht das Zertifikat auf die IP auzustellen. Kommt die genau gleiche Meldung wie beim ersten.
Gruss
Daniel