Toggle sidebar

Ein Zertifikat für mehrere Anwendungen

Status
Für weitere Antworten geschlossen.
E

eyk107

Benutzer
Mitglied seit
08. Feb 2019
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe schon im Forum gesucht, konnte allerdings nichts finden :-/
Folgendes Problem: Ich würde gerne nach folgender Anleitung meine NAS konfigurieren:
https://blog.golimb.com/2017/07/14/synology-reverse-proxy/

Ich habe hierfür Apache 2.4 installiert und alle Schritte der Anleitung abgearbeitet. Das Zertifikat wurde mit Lets-Encrypt erstellt.
Ziel ist, nur noch die Ports 80 und 443 am Router zu öffnen und intern zu den einzelnen Anwendungen weiterzuleiten und ein Zertfikat für mehrere Anwendungen zu verwenden. Aktuell liege ich vor dem Problem, das ich beispielsweise bei dem Aufruf meiner Emby-Anwendung "https://emby.test123.synology.me/", folgende
Fehlermeldung: NET::ERR_CERT_COMMON_NAME_INVALID erhalte.

Allerdings kann ich damit nicht viel anfangen, in den Logs kann ich auch nichts finden. Ich vermute, dass das Problem in der Subdomain (nur ein Beispiel) test123 liegt. Gucke ich mir das Zertifikat im Browser an, steht dort: Ausgestellt für " test1234.synology.me". Würde das bedeuten, ich muss ein Zertifikat für jede Sub-Subdomain (hier emby.test123.synology.me/) erstellen? Hat jemand von euch hiermit Erfahrungen?

Danke im Voraus.

Mfg
Eyk
 
M

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.118
Punkte für Reaktionen
234
Punkte
83
Hi, du musst für jede sub ein cert ausstellen . diese können beim Erstellen auch zusammengefasst werden , Feld „auch gültig für“ o.ä.
habe es bei mir genauso laufen , alles über subdomain erreichbar und nur 80 und 443 offen.
 
B

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.102
Punkte für Reaktionen
3.919
Punkte
488
So wirklich kenne ich mich mit Zertifikaten nicht aus. Ich weiß nur, dass jedes Zertifikat einen "Common Name" (CN, Antragsteller) und keinen oder mehreren "Alternate Names" (Alternative Antragstellernamen) haben kann. Zudem muss jedes Zertifikat von einer "Vertrauenswürdigen" Zertifizierungsstelle zertifiziert sein, die entweder in den gängigen Browsern bereits hinterlegt ist (z.B. Lets-Encrypt) oder man muss sie selbst als vertrauenswürdig einstufen (z.B. bei einem selbstsignierten Zertifikat).

So ein Zertifikat ist immer dann gültig, wenn die Website entweder mit dem CN oder einem der "Alternate Names" angesprochen wird. Google Chrome ist da ganz kritisch und schaut nur auf die "Alternate Names", also muss zumindest der CN auch als "Alternate Name" eingetragen sein.

Soweit ich weiß, ist beim kostenlosen Lets-Encrypt-Zertifikat nur ein "Alternate Name" (der CN) möglich. Ich weiß jetzt nicht, wie das ist, wenn die Web-Site auf "test123.synology.me" zertifiziert ist, aber der Zugriff über "emby.test123.synology.me", dann "emby.test123.synology.me" auch bei den "Alternate Names" hinterlegt sein muss. Aber m.E. müsste das auch ohne gehen.

Ich hab mir damit mal ein (leider nur selbstsigniertes) Zertifikat für alle meine Hosts daheim mit dem Assistenten auf der DS gebastelt. Man braucht also nicht für jeden Host ein eigenes.
 
Zuletzt bearbeitet:
E

eyk107

Benutzer
Mitglied seit
08. Feb 2019
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Mahoessen schrieb:
Hi, du musst für jede sub ein cert ausstellen . diese können beim Erstellen auch zusammengefasst werden , Feld „auch gültig für“ o.ä.
habe es bei mir genauso laufen , alles über subdomain erreichbar und nur 80 und 443 offen.
Zum Vergrößern anklicken....

Vielen Dank für die fixe Antwort. Hast du dein certifikat mit separat erstellt, oder mit dem synology-OS?
 
M

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.118
Punkte für Reaktionen
234
Punkte
83
ich weis nicht wie viele subs man zusammenfassen kann aber ich habe Zertifikate mit 4 oder 5 Subnamen. Über den reverse proxy gehe ich dann von den subs auf die ports und Anwendungen weiter.
Das Ganze geht mit dem Syno assistenten zum Anlegen recht schnell.
 
E

eyk107

Benutzer
Mitglied seit
08. Feb 2019
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Vielen Dank an alle. Die Sub-Domains müssen beim Punkt "Betreff alternativer Name" eingetragen werden. Konnte mir unter dem Punkt nichts vorstellen und habe es leer gelassen.
 
B

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.102
Punkte für Reaktionen
3.919
Punkte
488
Denk dran, du musst nicht immer den vollen Namen bei den "Alternate Names" aufnehmen, wenn du die intern nur mit Kurznamen ansprichst.
Es reicht z.B.
Code: 
test123.synology.me;DS415;DS212;fritz.box;fritz.nas;fritz.repeater;FB7590-1;FB7580-1;FR1750E-1;FR3000-1;FB7490-1
Sogar IP-Adressen sollten gehen, bin mir aber nicht sicher. Leider ist das Feld auf der DS von der Länge her etwas begrenzt.
Anschließend rufst du einen der Namen mit https://.. auf und nimmst deine Zertifizierungstelle als "vertrauenswürdig" mit auf (siehe auch certmgr.msc)
Viel Glück.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten
Zurück