DS214+, STARTSSL Zertifikat ingerichtet und immer noch meckert der Browser

[KostasR]

Hallo liebe Synology Gemeinde.

ich weis nicht einmal wo ich anfangen soll. Zuerst das Problem: Der IE11 und auch Crome akzeptieren das Zertifikat nicht.

Meine DS214+ ist in der Version DSM 5.1.
Ich bin vorgegangen nach dem Video https://www.youtube.com/watch?v=fIJqppzwZC0 von iDomX. Doch leider wird hier DSM 4 beschrieben.
Möglicherweise sind hier unterschiede.

-Ich bin Eigentümer einer Domain gehostet bei HostEurope.
-Die DS214+ steht bei mir Zuhause.
-Innerhalb der Domain habe ich eine Subdomain eingerichtet die auf http://MeineBezeichnung.synology.me:5000/webman/index.cgi zeigt.
-Die eingerichtete Subdomain zeigt auf ein DDNS Eintrag da die DS214+ bei mir Zuhause steht und ich keine feste IP habe.
-Der Firewall im Router ist so konfiguriert das anfrage über Port 5000 und 5001 auf die DS214+ geleitet werden.
-Nach dem Video von iDomX habe ich mich auf STARTSSL registriert und die Zertifikate erzeugt.
-Die Zertifikate sind danach in der DS214+ eingetragen und akzeptiert worden.
-Von außen kann ich über die Subdomain URL meine DS214+ erreichen, allerdings nicht über https sondern nur http
-In der DS214+ ist eingestellt alle anfrage auf 5000 umzuleiten auf 5001

Die Browser zeigen dass sie mit dem Zertifikat nicht einverstanden sind.
Interessant ist, wenn ich oben in der Adresszeile auf Zertifikatfehler klicke kann ich mir das Zertifikat anzeigen lassen.
-Ausgestellt für: steht der richtige URL der Subdomain
-Ausgestellt von: StartCom 1 Primary Intermediate Server CA
-Gültig ab: 22.01.2015 bis 23.01.2015

von meiner Seite scheint alles in Ordnung zu sein.

Wie komme ich jetzt bitte weiter dass ich herausfinde was da nicht funktioniert. Ich habe keinen Hinweis.
Hat jemand eine Idee wie ich die Ursache finden kann?
Einen kleinen Verdacht hätte ich schon. Das Zertifikat ist ausgestellt für die Subdomain URL und nicht auf
MeineBezeichnung.synology.me. Kann es ein dass das die Ursache ist? Kann ein Zertifikat auf eine Subdomain
registriert werden welche wo anders gehostet ist, sprich darf die Subdomain auf ein DDNS Eintrag zeigen?

Gruß Kostas

P.S. ich habe alles genau aufgeschrieben Schritt für Schritt was ich gemacht habe, falls Fragen sind kann ich also
Auskunft geben.

Vielen Dank schon mal für die Hilfe.

 

[goetz]

Hallo,

Die Browser zeigen dass sie mit dem Zertifikat nicht einverstanden sind.

welche Fehlermeldung kommt genau?

Gültig ab: 22.01.2015 bis 23.01.2015

verschrieben?

Gruß Götz

 

[KostasR]

Was schon eine Antwort meine Thread ist ja noch warm...

sorry ich habe mich verschrieben Gültig bis 23.01.2016
Der Fehler ist: "Laden der Webseite nicht empfohlen. Wenn ich dennoch darauf klicke, geht es weiter wobei die Adresszeile
Rot ist. Es kommt keine Fehlermeldung. Wenn ich auf Zertifikatfehler klicke, sehe ich ebenfalls keine Fehlermeldung.
Hast du eine Idee wie ich eine Fehlermeldung bekommen kann?

Gruß Kostas

[Edit]
Crome zeigt doch einen Fehler : NET::ERR_CERT_COMMON_NAME_INVALID

NET::ERR_CERT_COMMON_NAME_INVALID

Subject: MeineSubdomain
Issuer: StartCom Class 1 Primary Intermediate Server CA
Expires on: 23.01.2016
Current date: 08.02.2015
PEM encoded chain: -----BEGIN CERTIFICATE-----
.......

 

[Frogman]

...
-Innerhalb der Domain habe ich eine Subdomain eingerichtet die auf http://MeineBezeichnung.synology.me:5000/webman/index.cgi zeigt.
-Die eingerichtete Subdomain zeigt auf ein DDNS Eintrag da die DS214+ bei mir Zuhause steht und ich keine feste IP habe.
...

Wie jetzt? Worauf "zeigt" denn nun die Sub-Domain? Und was heißt zeigen?
Du musst die DDNS-Adresse - und zwar nur die, nicht den ganzen Link, auf den Du oben die Subdomain "zeigen" läßt - als CNAME-Record in den DNS-Einstellungen der Subdomain eintragen!

 

[KostasR]

Ich versuche zu Beschreiben was ich meine.

Bei HostEurope kann ich zu einer Domain "MeineDomain.de" mehrere Subdomains anlegen. Die Subdomain kann auf dem gleichen Webspace liegen
z.B.: \Support oder an einem beliebigen anderen Ort, z.B.: bei mir Zuhause. Für meine Subdomain "subdomain.MeineDomain.de"
ist als Ziel eingetragen: http://MeineBezeichnung.synology.me:5000/webman/index.cgi oder meinst du ich müsste hier nur MeineBezeichnung.synology.me eintragen ohne den kompletten Pfad?
wenn ich also http://subdomain.MeineDomain.de im Browser eingeben lande ich auf http://MeineBezeichnung.synology.me:5000/webman/index.cgi


Die DS214+ ist bei mir Zuhause und ich habe leider keine feste IP. Deshalb gehe ich über DDNS der mir über synology.me zur Verfügung gestellt wird.

Beim Zertifikat anlegen bei STARTSSL habe ich angegeben das ich der Inhaber der Domain "MeineDomain.de" bin, und als Subdomain habe ich angeben
subdomain.MeineDomain.de. Die Begriffe subdomain.MeineDomain.de sind natürlich Platzhalter für meine Domain.

Danke für deine Hilfe.

 

[iLion]

subdomain.MeineDomain.de muss als CNAME bei HostEurope in den DNS Einstellungen auf MeineBezeichnung.synology.me zeigen. Das Zertifikat muss auf subdomain.MeineDomain.de ausgestellt sein. Dann wird es klappen.

Unabhängig davon solltest Du nicht den Port 5000, sondern höchstens 5001 in Deinem Router weiterleiten. Ist aber von Deinem Zertifikatsproblem unabhängig.

 

[Frogman]

.... Für meine Subdomain "subdomain.MeineDomain.de"
ist als Ziel eingetragen: http://MeineBezeichnung.synology.me:5000/webman/index.cgi oder meinst du ich müsste hier nur MeineBezeichnung.synology.me eintragen ohne den kompletten Pfad?
wenn ich also http://subdomain.MeineDomain.de im Browser eingeben lande ich auf http://MeineBezeichnung.synology.me:5000/webman/index.cgi

Eben das ist das Problem - Du darfst keine http-Weiterleitung für die Subdomain eintragen. Lösch Dir bitte.
Und dann schaust Du mal nach, wo Du dort bei HostEurope die DNS-Einstellungen der Subdomain bearbeiten kannst (hier findet sich etwas). Dort suchst Du nach einer Möglichkeit, einen CNAME-Eintrag vorzunehmen - und dort trägst Du Deine DDNS-Adresse ein, also bspw. xxx.synology.me (wobei ich Dir hier wegen der Verfügbarkeit einen anderen Anbieter empfehlen würde).

 

[KostasR]

Herzlichen Dank für die Info. Ich habe es umgestellt. Es wird sicherlich ein paar Stunden dauern bis der Eintrag wirksam wird.
Den Eintrag im Router auf Port 5000 werde ich entfernen sobald die Umstellung erfolgt ist. Ich hoffe dass damit das Problem beseitigt ist.

Einen schönen Abend noch und besten Dank nochmals.

Gruß Kostas

 

[Frogman]

Es wird sicherlich ein paar Stunden dauern bis der Eintrag wirksam wird.

Morgen sollte es in jedem Fall klappen.

 

[KostasR]

Das wäre wirklich sehr sehr schön. Ich werde berichten...

 

[KostasR]

Schade, es hat nicht funktioniert.

Ich habe mit HostEurope telefoniert und die meinten, das Zertifikat sollte ausgestellt sein auf die Subdomain, was ich auch so gemacht habe. Die Subdomain muss dann auf eine
feste IP zeigen und nicht über DDNS damit das Zertifikat funktioniert. Ich habe jedoch keine feste IP und nutze deshalb DDNS über http://MeineBezeichnung.synology.me
Die Subdomain: Subdomain.MeineDomain.de verweist also auf http://MeineBezeichnung.synology.me und genau das darf nicht sein sondern eine feste IP.

Ihr habt doch sicherlich nicht alle eine feste IP oder?

Gruß Kostas

 

[Frogman]

...Die Subdomain muss dann auf eine
feste IP zeigen und nicht über DDNS damit das Zertifikat funktioniert.

Das ist schlichtweg Unsinn. Der CNAME-Record ist ein Alias für den Subdomain-Namen, der zum Zeitpunkt des Aufrufens eine IP (Deine externe IP) über die Auflösung der DDNS liefert.
Wichtig ist, dass die DDNS als CNAME eingetragen ist, nicht als Weiterleitung!

 

[KostasR]

Lieber Frogman, ich mochte es voreilig sein, aber dein Hinweis war der richtige! Bei HostEurope ist es möglich eine Subdomain einzurichten als Weiterleitung aber auch
ein C-Name Record einzutragen. Das wusste ich nicht. Aber durch deinen Hinweis konnte mit der Support an die richte Stelle verweisen. Das habe ich nun umgestellt und warte
ein paar Stunden bis es aktiv wird.

Ich erwarte dass es danach gehen wird.
Dir noch eine schöne Zeit und tausend Dank für die Hilfe.

Gruß Kostas

 

[Frogman]

Gerne - melde Dich nochmal kurz, wenn's dann läuft, ok?

 

[KostasR]

Ich bin begeistert, es funktioniert einwandfrei.

Eine Zusammenfassung: DS214+ mit dem aktuellen OS DSM5.1 und ein kostenfreies STARTSSL Class 1 Zertifikat, registriert auf eine Subdomain als C-NAME registriert(wichtig für das Zertifikat), wobei die Domain bei HostEurope gehostet ist und die Subdomain bei mir Zuhause, erreichbar über einen DDNS Eintrag über synology.me.

Tausend Dank nochmals,
Gruß Kostas

 

[Frogman]

Sehr schön - dann viel Spaß damit