Eigenes SSL-Zertifikat bei fixer IP-Adresse

Status
Für weitere Antworten geschlossen.

CZECHer

Benutzer
Mitglied seit
25. Jan 2013
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo Leute,

ich habe vor mir ein eigenes SSL-Zertifikat für meine DS212 zu basteln, um den nervigen Meldungen zu entgehen.
Dazu habe ich bereits folgende Anleitung gefunden: http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats
Ich besitze durch meinen Internetanbieter eine fixe IP-Adresse und würde diese gerne ohne DynDNS nutzen. Kann ich bei "commonName_default" = dann einfach meine IP-Adresse eintragen? Bsp: https://12.34.56.78

Vielen Dank für eure Hilfe
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
bei einem selbst generierten Zertifikat bekommst Du genauso die "nervigen" Meldungen. Du als ausgebende Instanz bit den Browsern nicht bekannt und deswegen nicht vertrauenswürdig. Kannst Dir aber ein Zert von SartSSL kostenlos generieren lassen, die kennen die meisten Browser.

Gruß Götz
 

CZECHer

Benutzer
Mitglied seit
25. Jan 2013
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Wenn ich das richtig verstehe muss man bei StartSSL aber eine domain besitzen - in meinem Fall will ich die feste IP meines Routers benutzen.. Gibt es da auch eine Abhilfe?
 

rauppe31

Benutzer
Mitglied seit
06. Jun 2011
Beiträge
2.734
Punkte für Reaktionen
0
Punkte
82
Nein, für ein SSL-Zertifikat brauchst du immer eine domain, die dir gehört.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Eine Frage dazu:
Ich habe mir bei StartSSL ein eigenes Zertifikat erstellt - problemlos. Jetzt habe ich eine .pfx.Datei, weiss aber nicht, was ich weiter damit machen soll.

Hat jemand einen Link oder eine Beschreibung?

Gruß Benares
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Na, damit hast Du wahrscheinlich erst das SSL-Zertifikat für die verifizierte email-Adresse heruntergeladen, oder? Lies mal hier, dort ist der Prozess gut beschrieben..
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Na, damit hast Du wahrscheinlich erst das SSL-Zertifikat für die verifizierte email-Adresse heruntergeladen, oder?
Ja, du hast Recht - Hab wohl nicht richtig gelesen.
Lies mal hier, dort ist der Prozess gut beschrieben..
Danke für den Link. Da komm ich aber gleich zu Anfang nicht weiter. Da werden wohl nur "richtige" DNS-Domains akzeptiert und keine DDNS-Domains (Sub-Domains, bei mir xxx.dnsalias.com). Man braucht wohl erst eine "richtige" Domain mit einem CNAME-Eintrag zur DDNS-SubDomain.
Ich hab eine Domain bei 1&1, aber noch nicht gefunden, wie man da CNAMEs, MX usw. verwalten könnte.

Gruß Benares
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ja, Du brauchst eine eigene Domain. Habe mir das selbst auch bei 1und1 eingerichtet, geht ganz einfach:
  • für Deine Domain richtest Du eine subdomain1.deinedomain ein
  • die Subdomain markieren und unter "DNS" wählst Du dann "Einstellungen bearbeiten", wo Du dann mit "CNAME Eintrag vornehmen" unten als Alias die dyndns-Domain einträgst
  • die Subdomain leitest Du dann weiter an http://deine_dyndns_domain/http://deine_dyndns_domain/ (Weiterleitung als Frame), was Du mit "Verwendungsart bearbeiten" unter "Domain-Typ"machst
  • für die Subdomain, die Du bei 1und1 eingerichtet hast, beantragst Du dann das SSL-Zertifikat und importierst das alles in die Zertifikatverwaltung der DS
  • wenn alles durch ist, erreichst Du Deine DS unter https://subdomain1.deinedomain:porthttps://subdomain1.deinedomain:Port (wobei 'Port' derjenige ist, den Du in Deinem Router auf den SSL-Port der DS umleitest)
  • wenn du es noch einfacher haben willst, dann beantragst Du Dir noch eine Subdomain (subdomain2.deinedomain) und leitest diese als HTTP-Weiterleitung auf die https://subdomain1.deinedomain:port/https://subdomain1.deinedomain:Port/ um
    Somit musst Du dann nur noch den Link subdomain.deinedomain im Browser angeben und landest damit gültig SSL-verschlüsselt auf der DS
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Danke Frogman, ich hab mal bei 1&1 nachgeschaut. Ich hab eine Inclusiv-Domain, da kann man wohl nur zwischen Verwendungsart "Webspace" und "Weiterleitung" wählen, aber keine Subdomains einrichten. Ich könnte wohl aber auf "Weiterleitung" umstellen und damit weiterarbeiten, oder?
Gilt das obenen beschriebene für zusätzliche Domains bei 1&1? Sind die flexibler einstellbar?

Gruß Benares
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Kann sein, dass das mit der standard-Subdomain, die beim Erwerben eines Hostingpakets eingerichtet wird, nicht geht (irgendwas mit sxxxxxxxx.online.de), aber dazu hast Du eigentlich noch eine normale Inklusivdomain, für die Du auch Subdomains einrichten kannst. Welches Webpaket hast Du denn? Selbst im Dual Starter sind ja 2 Domains inklusive, dann müßtest Du Dir einfach noch eine Domain dazu sichern (kostet dann nichts mehr). Für eine normale Domain kannst Du dann Subdomains anlegen wie oben beschrieben.
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Ich hab einen DSL-Vertrag "1&1 Doppelflat 16000", da ist eine Inklusiv-Domain mit drin, die ich frei wählen konnte (wie z.B. meinedomain.de). Da gibt es aber keine SubDomains. Man kann nur von "Webspace" auf "Weiterleitung" umstellen. Wildcards (irgendwas.meinedomain.de) lösen alle auf die gleiche IP auf.

Gruß Benares
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Auch so, Du hast kein Hosting dort... na dann nicht mit Subdomain, für das Erstellen einer Subdomain brauchst Du ein Hosting dort.
Aber da das StartSSL-Zertifikat ja sowohl für meinedomain.de als auch für subdomains.meinedomain.de ausgestellt wird, kannst Du ja mal probieren, das Zertifikat mit einer (beliebigen, aber nicht eingerichteten) Subdomain erstellen zu lassen. Wenn Du dann Deine Domain per Frame-Weiterleitung auf den Dyndns richtest, müßte das Zertifikat dennoch gültig sein.
Hier ist übrigens auch eine gute deutsche Anleitung.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
hi meine dyndns.org adresse wird bei einem selbst erstelltem zertifikat im browser (chrome) auch grün angezeigt, also genau so wie ich es will.
beim erstellen habe ich bei alternative namen auch die lokale LAN IP angegeben. diese bleibt jedoch rot (durchgestrichenes https in chrome) und ich muss jedesmal die sicherheitsfrage bestätigen.

habe ich was falsch gemacht oder habe ich bei IP adressen generell keine chance, das diese grün werden?

danke
 

Synbene

Benutzer
Mitglied seit
06. Mai 2013
Beiträge
168
Punkte für Reaktionen
0
Punkte
0
Verständnisfrage: Das selbst erstellte Zertifikat hast Du doch in den Browser importiert oder? Wenn Du Dich woanders anmeldest, sollte da doch kein grünes Schloss erscheinen!

Edit: Ein Zertifikat dient immer der Identifizierung. Insofern sind selbst erstellten Zertifikaten natürlich in der Wirkung enge Grenzen gesetzt, da diese das Grundprinzip der unabhängigen Verifizierung umgehen. Aus demselben Grund wird Dir keine Zertifikatsstelle eine Zertifikat für eine dyndns.org-Adresse ausstellen, auch hier ist für eine unabhängige Stelle nicht verifizierbar, wer dahinter steckt.

Und schließlich: Warum willst Du denn https im eigenen LAN verwenden??
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
beim erstellen habe ich bei alternative namen auch die lokale LAN IP angegeben. diese bleibt jedoch rot (durchgestrichenes https in chrome) und ich muss jedesmal die sicherheitsfrage bestätigen.

Hast du bei der IP auch "IP:" davor geschrieben?

Bsp. (s. Wiki)
subjectAltName=IP:192.168.0.25,...,DNS:myhost.dydns.org,DNS:myhost.no-ip.com

Gruß Benares
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
@Synbene:
ich will die http dienste generell ausgeschaltet lassen, also muss ich auch im LAN https verwenden.

@Benares:
nein habe ich nicht :O
wusste nicht das ich das so machen muss ... danke für den tipp
 

ensing

Benutzer
Mitglied seit
29. Dez 2013
Beiträge
37
Punkte für Reaktionen
0
Punkte
0
Ja, Du brauchst eine eigene Domain. Habe mir das selbst auch bei 1und1 eingerichtet, geht ganz einfach:

Hallo,

ich habe ein ähnliches Problem.
Folgende Ausgangslage:
+ 1st level Domain bei 1&1: xyz.com
+ Subdomain bei 1&1: abc.xyz.com
+ DynDNS bei selfhost registriert: xxx.selfhost.eu
+ Zertifikat auf subdomain bei StartSSL eingerichtet

Ich habe eine Synology 214+. Hier habe ich das eigene Zertifikat eingerichtet. => Funktioniert
Bei 1&1 habe ich die Subdomain angelegt. (Mehr nicht)
Bei selfhost und StartSSL habe ich ebenfalls keine weiteren Einstellungen vogenommen

Fehlermeldung:
+ Komme über einen Internetbrowser nicht auf meine Synology Station drauf.

Was will ich erreichen:
Ohne Fehlermeldung unter https die Station im Internetbrowser aufrufen.

Wer kann mir da weiterhelfen?

Vielen Dank
Olaf
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
  • Für Deine Subdomain abc.xyz.com (für die Du ja das Zertifikat hast) richtest Du bei 1&1 einen CNAME-Eintrag ein:
    dafür die Subdomain markieren, unter "DNS" die DNS-Einstellungen bearbeiten aufrufen, "CNAME-Eintrag vornehmen" wählen und dann unter Alias-Name die DDNS-Domain xxx.selfhost.eu eintragen.
  • Danach wieder die Subdomain abc.xyz.com auswählen und unter "Domain-Typ" die Verwendungsart bearbeiten:
    Verwendungsart "Weiterleitung", Weiterleitungsziel "http://xxx.selfhost.eu/", Weiterleitungsart "Frameweiterleitung" und unter Titel "abc.xyz.com" eintragen.
Wenn Du nun in einem Browser die Adresse https://abc.xyz.com:port eingibst, wirst Du auf die entsprechende DDNS-Domain weitergeleitet (in der Adressleiste bleibt allerdings die Subdomain abc.xyz.com stehen) und landest bei dem Dienst, der mit dem entsprechenden Port verbunden ist (und der natürlich im Router an die DS weitergeleitet werden muss). Dabei wird nicht gemeckert, weil die Adresse im Browser mit derjenigen des Zertifikats übereinstimmt.
 

ensing

Benutzer
Mitglied seit
29. Dez 2013
Beiträge
37
Punkte für Reaktionen
0
Punkte
0
"CNAME-Eintrag vornehmen

Hallo, wenn ich den CNAME Eintrag vornehme und den Alias xxx.selfhost.eu eingebe, kommt die Fehlermeldung Der Domainname ist ungültig.
Aber auf Selfhost habe ich genau diesen "aktiviert".

...verstehe es nicht mehr... habe bei selfhost nachgesehen und die "Aliasdomains" Bezeichnung bei selfhost ist dort so, wie ich diese bei q&1 unter Aliasname eingetragen habe und die obige Fehlermeldung erscheint...

...oder muss ich für die selfhost "domain" auch ein Zertifikat erstellen? Die Fehlermeldung im Browser sagt aus, dass zwar meine abc.xyz.com Domain (also die Zertifizierte) ok ist aber die xxx.selfhost.eu nicht bekannt ist.

Viele Grüße
Olaf
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat