Domain für Zertifikat

[IngoF]

Hallo,

ich würde gerne meine Diskstation mit einem Zertifikat versehen.
Mein Ziel ist dass ich im Browser über https meine Diskstation erreichen kann ohne die Ausnahme genehmigen zu müssen.

Aber wie bekommnt man relativ günstig so eine Domain (inkl. DynDNS).
Habe z.B. bei 1u1 und Strato mal angefragt. Aber irgendwie habe ich es nicht geschafft eine vernünftige Aussage zu bekommen.

Das Wiki von Synology sagt dazu nur folgendes:

Für die Beschaffung eines Drittanbieter-Zertifikats für Ihren Synology NAS benötigen Sie einen registrierten Domainnamen. Zudem müssen Sie die von der Zertifizierungsstelle geforderten Kosten begleichen.

Es gibt wohl kein Wiki zu diesem Satz, oder?

Oder ist es tatsächlich nicht möglich ein Zertifikat, für meine Diskstation, ohne feste IP-Adresse zu bekommen?
Da es ja nur ein "Hobby" ist sollte es nicht allzuviel kosten.

Gruß
IngoF

 

[Frogman]

Oder ist es tatsächlich nicht möglich ein Zertifikat, für meine Diskstation, ohne feste IP-Adresse zu bekommen?

Klar geht das - das Zertifikat wird ja nicht auf eine fest IP-Adresse ausgestellt, sondern für eine Domain. Diese musst Du kaufen, egal nun bei welchem Anbieter.

 

[heavygale]

Du kannst ganz einfach beispielsweise eine .de-Domain mit CNAME auf eine DDNS-Adresse verweißen lassen. So habe ich eine Subdomain meiner .de-Domain auf die example.diskstation.me-Adresse meiner Diskstation aufgeschalten. Da mir die .de-Domain gehört kann ich mir hierfür z.B. von startssl.com ein kostenloses SSL-Zertifikat erstellen, in die DS einspielen und somit mittels https über meine Domain ohne SSL-Warnmeldung auf die Diskstation zugreifen. Allerdings erhalte ich demnach natürlich diese Warnmeldung, wenn ich über die lokale IP-Adresse oder die DDNS-Adresse zugreifen möchte. (.de Domains gibt es mittlerweile schon für 2€ und weniger im Jahr)

Alternativ könntest du natürlich auch eine eigene Domain nehmen und diese als DDNS-Adresse betreiben, ich fand obige Möglichkeit aber schlicht einfacher.

 

[Ken Ishi]

@IngoF

Ganz einfach!

ich bin beispielsweise bei Selfhost.de.
Dort habe ich meine Domain und einen DynDNS Account. Für beides zahle ich im Jahr 18€.
Es geht natürlich auch viiiieeeel günstiger! Aber ich bin schon lange dort und der Support ist schnell und freundlich.

Also ich beschreibe man kurz die Schritte grob wie es bei Selfhost funktioniert (ist auf andere Anbieter übertragbar)

DeinName.de Domain bestellen.
DynDNS für DeinName.de buchen.
Warten bis die Domain registriert und verfügbar ist. (max 24 Stunden)
An deinem Gerät zu Hause (Fritzbox, Synology, Router oder was auch immer den Dyndns Account eintragen (Somit kommst du immer über DeinName.de auf deine aktuelle öffentliche IP))
Webmailer bei Selfhost einrichten und Adresse Administrator@DeinName.de einrichten (Das SSL Zertifikat wird nur an bestimmte Adressen geschickt. Postmaster@, Admin@ Administrator@ usw...)
Zertifikatsanforderung im Synology erstellen
Domainzertifikat mit der Zertifikatsanforderung für DeinName.de bestellen.
Registrierung im Webmailer akzeptieren.
Zertifkat im Synology einspielen.
fertig.

Zu den einzelnen Punkten gibt es bestimmt noch Fragen aber das ist der grobe Ablauf.

Viel Spaß!

 

[heavy]

Auch wenn sich die 18€ viel anhören im gegensatz zu anderen Anbietern die eine .de Domain für unter 5 Euro anbieten, so muss man immer vergleichen was bekommt man dafür. Bei selfhost hast du neben allen Freiheiten (bzw recht vielen) auch noch einen Mailrelayserver damit du von deiner Diskstation über deine Domain Mailsverschicken kannst. Bei den anderen fehlt dann der Realyserver, man kann keine Umleitungen setzen (bei einem Anbieter kostet das schon wieder 0,5 Euro extra im Monat) und oder kann nur 5 Subdomains anlegen. Dann hat man bei selfhost noch die Möglichkeit durch die drei Dyndns accounts auch noch andere Anschlüsse mit einzubinden. Z.B. Familiename.de läuft bei den Eltern auf aber die Kinder (kind1/2.familienname.de) dann jeweils bei sich. Oder www.Firmaxy.de wird mit dem Firmen Anschluss synchronisert incl. Mail aber über privat.firmaxy.de landet man dann auf seiner DS daheim. Ich habe mehrere Domains bei selfhost und auch noch eine bei 1und1 (ging damals nur dort) aber bei 1und 1 habe ich kein dyndns, kein Mailrelay, keinen vollen dns zugriff und zahle trotzdem mehr. Deshalb gehe nicht nur nach dem Preis sonder schaue was du machen kannst. Ich habe auch bei startcom ein ssl zertifikat erstellt und dort als subdomain www genommen so mit ist meine webseite www.meinname.de so wie die links http://meinName.de/photo oder /mail auch per ssl gesichert.

 

[PsychoHH]

Lets Encrypt soll ja in 3 Wochen öffentlich starten.

Geht das dann nicht damit komplett kostenlos?
Mich nervt die Meldung ohne Zertifikat nämlich auch.

 

[Frogman]

Nicht kostenloser als jetzt bereits mit StartSSL... eine Domain brauchst Du immer!

 

[PsychoHH]

Alles klar.

Wenn ich mir jetzt eine Domain registriere z.B. abc123abc.de dann kann ich zwar darauf das Zertifikat einstellen muss aber auch immer über abc123abc.de mich einloggen damit ich keine Meldung bekomme? Dann läuft ja aber immer alles übers Internet oder kann man das mit QuickConnect verbinden?

Über die lokale IP im LAN würde ich trotzdem die Meldung bekommen richtig?

 

[heavy]

alles übers Internet

Jein normal erkennt der Router das die Anfrage der Domain nach innen Zeigt und leitet das dann nicht ins Internet. Solltest du aber hinter deinem Router einen switch haben so gehen die daten nicht nur über den Switch sondern eben dann auch über den Router. Nein mit quickconnect kann man das nicht verbinden, abgesehen davon dass dir die Domain nicht gehört, so steht auch schon die verwendetet technik gegen das normale ssl verfahren. Ja über die lokale Ip bekommst du wieder die Meldung. Soweit ich lets encrypt verstanden habe wäre der einzige vorteil gegenüber startssl dass du nicht nur eine subdomain registrieren kannst.

 

[PsychoHH]

Nur damit ich es richtig verstehe.

Wenn ich jetzt meine registrierte Domain im Browser oder Apps eintragen sieht die Verbindung so aus.

DS hängt am Switch und der an Fritzbox = Verbindung über Internet - somit geht alles verschlüsselt zur Domain und dann direkt zur DS
DS hängt direkt an Fritzbox = Verbindung bleibt im eigenen LAN - alles bleibt verschlüsselt im LAN

Wie sieht es aus, wenn ich mich mit dem VPN meiner Fritzbox verbinde?

Wenn das so ist, kann ich ja meine DS einfach an die Fritzbox hängen, da sind noch Gigabit Ports frei.

 

[Frogman]

Soweit ich lets encrypt verstanden habe wäre der einzige vorteil gegenüber startssl dass du nicht nur eine subdomain registrieren kannst.

Der wesentliche Vorteil bei Let's Encrypt ist ein weitgehend automatisierter Ablauf bis hin zum Einspielen des Zertifikats im Server.

Über die lokale IP im LAN würde ich trotzdem die Meldung bekommen richtig?

Über die lokale IP ja. Für den lokalen Zugriff bieten sich dann zwei Möglichkeiten an:
- Das Eintragen der Domain mit der lokalen IP der DS in die hosts-Datei Deiner Computer - damit kannst Du auf ihnen auch die Domain vewenden.
- Das Betreiben eines DNS-Servers bspw. auf der DS, der Dir lokale die Domain auf die IP der DS auflöst.

 

[heavy]

Wenn du deine DS an einem switch hast und rufst sie mit der Ip auf dann ist der weg DS->switch->Pc wenn du sie per URL aufrufst ist der weg DS->switch->Router->switch->PC womit sich die Datenrate halbiert. Oder eben bei mir aus gigabit fast-ethernet macht, da mein router kein gigabit hat (deshalb ja der switch). Verschlüsselt ist es immer und auch (sollten) deine Daten bleiben im Lan (nur was überträgst du, oder was hast du für ein Netz, dass du dir nicht selber vertraust?). Nur bekommst du halt die warnung dass das zertifikat nicht zur domain passt bzw ein eigenes von der DS ist. Bei VPN ist ssl kein thema (ich habe wenigstens noch nie versucht ein zertifikat in meine VPN verbindung einzubinden). Wenn du aber dann deine DS über die ip aufrufst wenn du per vpn verbunden bist bekommst du natürlich wieder die Warnung. Wo deine DS hängt macht für ssl keinen Unterschied.

 

[IngoF]

Danke für die ganzen Antworten...

Wie läuft dass denn dann mit dem Dyndns? Wie bekomme ich denn heraus was in der Diskstation eingetragen werden muss?

Dann gibt es aber jetzt ein neues Problem. Das Problem des Domainnamens. Alles was einigermaßen sinvoll klingt ist schon vergeben. Irgendwleche Sinnlose Buchstabenkombination macht kein Sinn. Bei den neuen Domainendungen sind noch viele "sinnvolle" Domainnamen verfügbar, die kosten dann aber schon dementsprechend mehr.

Wenn ich es richtig verstanden habe geht das Zertifikat nur für eine Subdomain und nicht für die Domain, oder?

Kann dann z.B. nur für die Subdomain "www" ein Zertifikat erstellen und Die Subdomain "wiki" funktioniert das Zertifikat dann nicht mehr?

 

[heavy]

Beim dyndns ist die Frage wie es bei deinem Anbieter aussieht. Meine domain ist bei selfhost mit meinem dyndns zugang verbunden. Ansonsten musst du es über cname einträge machen siehe die andern Threads zu dem Thema. Du kannst selbstverständlich dir auch ein sogenanntes Wildcard zertifikat besorgen, dann sind alle subdomains mit drin. Das ist aber je nach Anbieter richtig teuer (von 30 bis 3000€ pro jahr ist alles dabei). Wie viele subdomains sich im Zertifikat befinden hängt von der Stelle ab die es ausstellt und welches du haben willst. Das von uns hier beschriebene kostenlose ist halt auf eine Subdomain beschränkt. Alle anderen kosten eben dann Geld oder man schaut sich "lets crypt" an wie sich das entwickelt (noch ist es ja nicht verfügbar). Was du als sinnvolle Domain erachtest liegt bei dir, und das die schon vergeben sind liegt an der Natur der Sache, mein reiner Familienname ist auch schon lange weg (als .de Domain)

 

[Frogman]

Wenn du deine DS an einem switch hast und rufst sie mit der Ip auf dann ist der weg DS->switch->Pc wenn du sie per URL aufrufst ist der weg DS->switch->Router->switch->PC womit sich die Datenrate halbiert. Oder eben bei mir aus gigabit fast-ethernet macht, da mein router kein gigabit hat (deshalb ja der switch). ....

?? Der Zugriff auf den Router erfolgt nur zur Auflösung für eine IP - der Datenverkehr läuft dann nur über den Switch, wenn daran Server und Client hängen!

 

[heavy]

Frogman das war doch das Problem warum ich nur 4 Mbit habe obwohl ich ein Gigabit netzwerk habe wenn ich die website per domain aufrufe und nicht per ip. Das haben wir doch in einem anderen Thread ausführlich besprochen.

 

[frankyst72]

UPPPSS, ich hab beim durchlesen nur die erste Seite des Threads gesehen und darauf geantwortet :-(

Deswegen habe ich meine Antworten wieder gelöscht, Sie wurden von heavy und Frogman schon beantwortet...

 

[geimist]

Nicht kostenloser als jetzt bereits mit StartSSL... eine Domain brauchst Du immer!

iDomix hat mich heute eines Besseren belehrt. Ich wusste nicht, dass man sich auch für DynDNS ein gültiges Zertifikat erstellen lassen kann. Die gezeigte Möglichkeit ist zwar nicht kostenlos, aber der Fragesteller erspart sich die Domaineinrichtung.

​

 

[Frogman]

Klar kann Dir jeder Domaininhaber auch ein Zertifikat für eine seiner Subdomains geben - und wird dafür dann wohl auch Geld verlangen. Gerade DyDNS muss sich ja auch Gedanken um seine Gefolgschaft machen - nachdem das kostenlose DDNS-Angebot gekürzt wurde, sind solche Maßnahmen nachvollziehbar. Allerdings würde ich doch eher ein Zertifikat für eine Domain nutzen, die auch nachhaltig unter meiner Kontrolle steht.

 

[PsychoHH]

Im LAN muss ich meine Daten ja nicht per https übertragen und da ich von unterwegs direkt per vpn ipsec auf meine ds zugreifen, muss ich ja auch dann kein https nutzen, da eh alles verschlüsselt läuft richtig?

Https sollte ja nur extern über den Browser ohne vpn nützlich sein stimmts?