Eigenes SSL-Zertifikat bei fixer IP-Adresse

[CZECHer]

Hallo Leute,

ich habe vor mir ein eigenes SSL-Zertifikat für meine DS212 zu basteln, um den nervigen Meldungen zu entgehen.
Dazu habe ich bereits folgende Anleitung gefunden: http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats
Ich besitze durch meinen Internetanbieter eine fixe IP-Adresse und würde diese gerne ohne DynDNS nutzen. Kann ich bei "commonName_default" = dann einfach meine IP-Adresse eintragen? Bsp: https://12.34.56.78

Vielen Dank für eure Hilfe

 

[goetz]

Hallo,
bei einem selbst generierten Zertifikat bekommst Du genauso die "nervigen" Meldungen. Du als ausgebende Instanz bit den Browsern nicht bekannt und deswegen nicht vertrauenswürdig. Kannst Dir aber ein Zert von SartSSL kostenlos generieren lassen, die kennen die meisten Browser.

Gruß Götz

 

[CZECHer]

Wenn ich das richtig verstehe muss man bei StartSSL aber eine domain besitzen - in meinem Fall will ich die feste IP meines Routers benutzen.. Gibt es da auch eine Abhilfe?

 

[rauppe31]

Nein, für ein SSL-Zertifikat brauchst du immer eine domain, die dir gehört.

 

[Benares]

Eine Frage dazu:
Ich habe mir bei StartSSL ein eigenes Zertifikat erstellt - problemlos. Jetzt habe ich eine .pfx.Datei, weiss aber nicht, was ich weiter damit machen soll.

Hat jemand einen Link oder eine Beschreibung?

Gruß Benares

 

[Frogman]

Na, damit hast Du wahrscheinlich erst das SSL-Zertifikat für die verifizierte email-Adresse heruntergeladen, oder? Lies mal hier, dort ist der Prozess gut beschrieben..

 

[Benares]

Na, damit hast Du wahrscheinlich erst das SSL-Zertifikat für die verifizierte email-Adresse heruntergeladen, oder?

Ja, du hast Recht - Hab wohl nicht richtig gelesen.

Lies mal hier, dort ist der Prozess gut beschrieben..

Danke für den Link. Da komm ich aber gleich zu Anfang nicht weiter. Da werden wohl nur "richtige" DNS-Domains akzeptiert und keine DDNS-Domains (Sub-Domains, bei mir xxx.dnsalias.com). Man braucht wohl erst eine "richtige" Domain mit einem CNAME-Eintrag zur DDNS-SubDomain.
Ich hab eine Domain bei 1&1, aber noch nicht gefunden, wie man da CNAMEs, MX usw. verwalten könnte.

Gruß Benares

 

[Frogman]

Ja, Du brauchst eine eigene Domain. Habe mir das selbst auch bei 1und1 eingerichtet, geht ganz einfach:

• für Deine Domain richtest Du eine subdomain1.deinedomain ein
• die Subdomain markieren und unter "DNS" wählst Du dann "Einstellungen bearbeiten", wo Du dann mit "CNAME Eintrag vornehmen" unten als Alias die dyndns-Domain einträgst
• die Subdomain leitest Du dann weiter an http://deine_dyndns_domain/http://deine_dyndns_domain/ (Weiterleitung als Frame), was Du mit "Verwendungsart bearbeiten" unter "Domain-Typ"machst
• für die Subdomain, die Du bei 1und1 eingerichtet hast, beantragst Du dann das SSL-Zertifikat und importierst das alles in die Zertifikatverwaltung der DS
• wenn alles durch ist, erreichst Du Deine DS unter https://subdomain1.deinedomainorthttps://subdomain1.deinedomain:Port (wobei 'Port' derjenige ist, den Du in Deinem Router auf den SSL-Port der DS umleitest)
• wenn du es noch einfacher haben willst, dann beantragst Du Dir noch eine Subdomain (subdomain2.deinedomain) und leitest diese als HTTP-Weiterleitung auf die https://subdomain1.deinedomainort/https://subdomain1.deinedomain:Port/ um
  Somit musst Du dann nur noch den Link subdomain.deinedomain im Browser angeben und landest damit gültig SSL-verschlüsselt auf der DS

 

[Benares]

Danke Frogman, ich hab mal bei 1&1 nachgeschaut. Ich hab eine Inclusiv-Domain, da kann man wohl nur zwischen Verwendungsart "Webspace" und "Weiterleitung" wählen, aber keine Subdomains einrichten. Ich könnte wohl aber auf "Weiterleitung" umstellen und damit weiterarbeiten, oder?
Gilt das obenen beschriebene für zusätzliche Domains bei 1&1? Sind die flexibler einstellbar?

Gruß Benares

 

[Frogman]

Kann sein, dass das mit der standard-Subdomain, die beim Erwerben eines Hostingpakets eingerichtet wird, nicht geht (irgendwas mit sxxxxxxxx.online.de), aber dazu hast Du eigentlich noch eine normale Inklusivdomain, für die Du auch Subdomains einrichten kannst. Welches Webpaket hast Du denn? Selbst im Dual Starter sind ja 2 Domains inklusive, dann müßtest Du Dir einfach noch eine Domain dazu sichern (kostet dann nichts mehr). Für eine normale Domain kannst Du dann Subdomains anlegen wie oben beschrieben.

 

[Benares]

Ich hab einen DSL-Vertrag "1&1 Doppelflat 16000", da ist eine Inklusiv-Domain mit drin, die ich frei wählen konnte (wie z.B. meinedomain.de). Da gibt es aber keine SubDomains. Man kann nur von "Webspace" auf "Weiterleitung" umstellen. Wildcards (irgendwas.meinedomain.de) lösen alle auf die gleiche IP auf.

Gruß Benares

 

[Frogman]

Auch so, Du hast kein Hosting dort... na dann nicht mit Subdomain, für das Erstellen einer Subdomain brauchst Du ein Hosting dort.
Aber da das StartSSL-Zertifikat ja sowohl für meinedomain.de als auch für subdomains.meinedomain.de ausgestellt wird, kannst Du ja mal probieren, das Zertifikat mit einer (beliebigen, aber nicht eingerichteten) Subdomain erstellen zu lassen. Wenn Du dann Deine Domain per Frame-Weiterleitung auf den Dyndns richtest, müßte das Zertifikat dennoch gültig sein.
Hier ist übrigens auch eine gute deutsche Anleitung.

 

[3x3cut0r]

hi meine dyndns.org adresse wird bei einem selbst erstelltem zertifikat im browser (chrome) auch grün angezeigt, also genau so wie ich es will.
beim erstellen habe ich bei alternative namen auch die lokale LAN IP angegeben. diese bleibt jedoch rot (durchgestrichenes https in chrome) und ich muss jedesmal die sicherheitsfrage bestätigen.

habe ich was falsch gemacht oder habe ich bei IP adressen generell keine chance, das diese grün werden?

danke

 

[Synbene]

Verständnisfrage: Das selbst erstellte Zertifikat hast Du doch in den Browser importiert oder? Wenn Du Dich woanders anmeldest, sollte da doch kein grünes Schloss erscheinen!

Edit: Ein Zertifikat dient immer der Identifizierung. Insofern sind selbst erstellten Zertifikaten natürlich in der Wirkung enge Grenzen gesetzt, da diese das Grundprinzip der unabhängigen Verifizierung umgehen. Aus demselben Grund wird Dir keine Zertifikatsstelle eine Zertifikat für eine dyndns.org-Adresse ausstellen, auch hier ist für eine unabhängige Stelle nicht verifizierbar, wer dahinter steckt.

Und schließlich: Warum willst Du denn https im eigenen LAN verwenden??

 

[Benares]

beim erstellen habe ich bei alternative namen auch die lokale LAN IP angegeben. diese bleibt jedoch rot (durchgestrichenes https in chrome) und ich muss jedesmal die sicherheitsfrage bestätigen.

Hast du bei der IP auch "IP:" davor geschrieben?

Bsp. (s. Wiki)

subjectAltName=IP:192.168.0.25,...,DNS:myhost.dydns.org,DNS:myhost.no-ip.com

Gruß Benares

 

[3x3cut0r]

@Synbene:
ich will die http dienste generell ausgeschaltet lassen, also muss ich auch im LAN https verwenden.

@Benares:
nein habe ich nicht :O
wusste nicht das ich das so machen muss ... danke für den tipp

 

[ensing]

Ja, Du brauchst eine eigene Domain. Habe mir das selbst auch bei 1und1 eingerichtet, geht ganz einfach:

Hallo,

ich habe ein ähnliches Problem.
Folgende Ausgangslage:
+ 1st level Domain bei 1&1: xyz.com
+ Subdomain bei 1&1: abc.xyz.com
+ DynDNS bei selfhost registriert: xxx.selfhost.eu
+ Zertifikat auf subdomain bei StartSSL eingerichtet

Ich habe eine Synology 214+. Hier habe ich das eigene Zertifikat eingerichtet. => Funktioniert
Bei 1&1 habe ich die Subdomain angelegt. (Mehr nicht)
Bei selfhost und StartSSL habe ich ebenfalls keine weiteren Einstellungen vogenommen

Fehlermeldung:
+ Komme über einen Internetbrowser nicht auf meine Synology Station drauf.

Was will ich erreichen:
Ohne Fehlermeldung unter https die Station im Internetbrowser aufrufen.

Wer kann mir da weiterhelfen?

Vielen Dank
Olaf

 

[Frogman]

• Für Deine Subdomain abc.xyz.com (für die Du ja das Zertifikat hast) richtest Du bei 1&1 einen CNAME-Eintrag ein:
  dafür die Subdomain markieren, unter "DNS" die DNS-Einstellungen bearbeiten aufrufen, "CNAME-Eintrag vornehmen" wählen und dann unter Alias-Name die DDNS-Domain xxx.selfhost.eu eintragen.
• Danach wieder die Subdomain abc.xyz.com auswählen und unter "Domain-Typ" die Verwendungsart bearbeiten:
  Verwendungsart "Weiterleitung", Weiterleitungsziel "http://xxx.selfhost.eu/", Weiterleitungsart "Frameweiterleitung" und unter Titel "abc.xyz.com" eintragen.

Wenn Du nun in einem Browser die Adresse https://abc.xyz.comort eingibst, wirst Du auf die entsprechende DDNS-Domain weitergeleitet (in der Adressleiste bleibt allerdings die Subdomain abc.xyz.com stehen) und landest bei dem Dienst, der mit dem entsprechenden Port verbunden ist (und der natürlich im Router an die DS weitergeleitet werden muss). Dabei wird nicht gemeckert, weil die Adresse im Browser mit derjenigen des Zertifikats übereinstimmt.

 

[ensing]

"CNAME-Eintrag vornehmen

Hallo, wenn ich den CNAME Eintrag vornehme und den Alias xxx.selfhost.eu eingebe, kommt die Fehlermeldung Der Domainname ist ungültig.
Aber auf Selfhost habe ich genau diesen "aktiviert".

...verstehe es nicht mehr... habe bei selfhost nachgesehen und die "Aliasdomains" Bezeichnung bei selfhost ist dort so, wie ich diese bei q&1 unter Aliasname eingetragen habe und die obige Fehlermeldung erscheint...

...oder muss ich für die selfhost "domain" auch ein Zertifikat erstellen? Die Fehlermeldung im Browser sagt aus, dass zwar meine abc.xyz.com Domain (also die Zertifizierte) ok ist aber die xxx.selfhost.eu nicht bekannt ist.

Viele Grüße
Olaf