Fernzugriff über https - Zertifikat und DynDNS?

nullhorn

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
189
Punkte für Reaktionen
3
Punkte
18
Hallo zusammen,

ich habe mich schon öfters und immer mal wieder mit meiner DS, deren Apps und deren Möglichkeit auf Fernzugriff beschäftigt.
Ich erzähl jetzt mal was ich schon alles habe und wo ich glaube einen Denkfehler rein gebracht zu haben und hoffe ihr könnt meine Verwirrung entwirren und die Bausteine zusammen setzen.

Also, fangen wir mal in einer anderen Ecke an.
Ich habe eine Domain für meine Webseite, bei dem Anbieter habe ich für alle Domains ein SSL Zertifikat (Let’s Encrypt) aktiviert.
Dann habe ich bei meinem Anbieter der Domain auch noch ein DynDNS mit Subdomain aktiviert so, dass ich über ds.domain.de auf meine DS komme von überall.
Den Benutzer u das PW habe ich in meine FB eingetragen bei DynDNS, um das Gate zu regeln.
über den Port komme ich aufs DSM, über /note auf note usw.
So, diese Sachen habe ich alle schon vor Jahren eingerichtet, läuft ja scheinbar auch.

Und hier fängt es nun an, wenn ich nun vor ds.name.de ein http setze, geht das, wenn ich ein https setze, wird das nichts.
Als ich nun gestern versucht habe, den CalDav Account von meiner DS auf meinem iphone zu zu fügen, dann geht das nicht weil das iphone nur mit SSL macht.

D.h. also das SSL von meinen Domainanbieter reicht nicht aus, oder umfasst nicht die subdomain für die dynDNS und ich muss mir
noch mal ein Zertifikat von (Let’s Encrypt) holen um es dann auf der DS zu installieren.

Bringt jmd bitte mal noch ein wenig Licht in mein Dunkel?

Grüße
Flo
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
779
Punkte für Reaktionen
303
Punkte
83
Das Zertifikat bei deinem Domain-Anbieter interessiert die DS nicht, du musst es in der Systemsteuerung unter Sicherheit und Zertifikate für die Domain anfordern.
 
  • Like
Reaktionen: Benie

nullhorn

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
189
Punkte für Reaktionen
3
Punkte
18
Da hat dann aber der Systemsteuerung - externer Zugriff - DDNS - auch nichts mit zu tun oder?
Ich sehe gerade, das Systemsteuerung - Zerifikat - hatte ich auch schon mal angelegt, ist aber abgelaufen.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Welche Ports willst du denn erreichen?
 

nullhorn

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
189
Punkte für Reaktionen
3
Punkte
18
welchen port brauch ich denn für den caldav? 5005?
Aber es geht denke ich ehr um das Zertifikat von Let’s Encrypt.
 
Zuletzt bearbeitet:

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Bei Caldav hätte ich jetzt keine Schmerzen den aufzumachen, musst halt ein Zertifikat erstellen und zuweisen.
 

nullhorn

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
189
Punkte für Reaktionen
3
Punkte
18
Dann aktualisiere es oder erstelle ein neues für die Domain, ohne geht's nicht.
Wo bekomm ich neues Zertifikat her?

Bei Caldav hätte ich jetzt keine Schmerzen den aufzumachen, musst halt ein Zertifikat erstellen und zuweisen.
Ich würde Caldav auch ohne SSL betreiben, erst mal um zu sehen ob es läuft, das Problem ist, dass das Iphone keine URL ohne https annimmt.

Ich hab mir auf YT das Video von itechPG "Kostenloses Zertifikat (HTTPS) auf der Synology einrichten" angeschaut und so wie ich das verstehe, brauch ich den ersten Teil (mit selfhost) gar nicht, weil ich ja all-inkl habe. Wenn ich es kapiert habe,
brauch ich auch bei all-inkl nicht auf die subdomain ein SSL einzurichten, sondern brauch nur wieder n gültiges SSL Zertifikat und hinterlege das in der DS.

Hab grad mit meinem Anbieter (allinkl) gesprochen und die sagen, bei Ihnen kann man Zertifikate die von Ihnen nach außen gehen (also zu meiner DS) nicht über Let’s Encrypt machen lassen. Wenn ich mir ein Zertifikat von Ihnen machen lasse, kostet es 100€/Jahr. Wenn ich einen anderen Anbieter finde der mir ein Zertifikat generiert, kann ich auf die subdomain CSR, KEY, CRT und Brückenzertifikat eintragen und dann wäre die Subdomain auch https.

 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344
Ich nutze sogar nur die kostenlose DynDNS von Selfhost seit vielen Jahren, allerdings nur ohne Subdomain (Wildcard ist auch nicht möglich) aber hierfür ein Zertifikiat von LE und ich bekomme regelmäßig mein Update über LetsEncrypt. Allerdings nicht automatisch, wie es zum Beispiel mit Synology DynDNS geht oder evtl halt mit acme.sh.

EDIT: brauch ich den ersten Teil (mit selfhost) gar nicht

Ich glaube ich hab da mit selfhost etwas falch verstanden, ich dachte das ist Dein DynDNS Anbieter, da das bisher nicht so klar rauskam.;)
 
Zuletzt bearbeitet:

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Nimm doch ienfach Synology Domain mit Zertifikat.
 
  • Like
Reaktionen: Benie

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
779
Punkte für Reaktionen
303
Punkte
83
Wo bekomm ich neues Zertifikat her?
Wie ich bereits sagte: in die Systemsteuerung auf der DS, Sicherheit, Zertifikate. Und dann halt "hinzufügen". ggf. Beim vorhandenen Zertifikat (für die genutzte Domain!) Rechtsklick und erneuern. Falls das zu lange her ist, geht das aber ggf. nicht mehr.
 
  • Like
Reaktionen: Benie

nullhorn

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
189
Punkte für Reaktionen
3
Punkte
18
Das habe ich gemacht, DS, Sicherheit, Zertifikat, ganz unten Zertifikat erneuern.
Dann wurden 2 Dateien angelegt, die ich runterladen konnte u.a. eine CSR Datei.
Mit dieser soll ich jetzt zu einer Zertifikatsstelle gehen u mir ein Zertifikat neu ausstellen lassen.
Und was mach ich nun?

UND ... Ist das Einfügen des Zertifikats auf der DS auch genug, damit meine subdomain dann auch SSL bekommt?
Ich denke nicht, ich muss doch in meinem Kundenmenü der Domain das Zertifikat einbinden oder nicht? Das was hier immer über selfhost beschrieben wird.
 
Zuletzt bearbeitet von einem Moderator:

nullhorn

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
189
Punkte für Reaktionen
3
Punkte
18
Hier mal der Screenie vom Reiter Zertifikat713_ssl1.png

und wenn ich auf den Button CSR klicke, kommt dann das hier. Ist das der richtige Weg?
713_ssl2.png
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
779
Punkte für Reaktionen
303
Punkte
83
Das ist kein letsencrypt Zertifikat, sondern startcom.
Geh auf hinzufügen und lass eines für letsencrypt erstellen
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344
Löschen.
 
  • Like
Reaktionen: Ronny1978

nullhorn

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
189
Punkte für Reaktionen
3
Punkte
18
Löschen beim alten Zertifikat ist ausgegraut, kann ich nicht löschen, nur erneuern.

Und hier das neue Zertifikat anlegen, geht auch nicht, die wollen im letzten Fenster Mail und Domain, die nicht passen?
Ey sorry, wenn ich mir da so blöd grad anstelle, ich hab das ja schon mal hin bekommen, sonst wäre das alte Zertifikat nicht noch drin.

2024-09-12 12_18_33-flo's 713+.png2024-09-12 12_18_48-flo's 713+.png2024-09-12 12_19_56-flo's 713+.png
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
Löschen beim alten Zertifikat ist ausgegraut, kann ich nicht löschen, nur erneuern.
Sind Dienste auf das Zertifikat hinterlegt (mit DynDNS)? Dann geht es wahrscheinlich erst, wenn du ein neues Zertifikat hinterlegt hast und die Zugehörigkeit auf die Dienste abgeändert hast.
Und hier das neue Zertifikat anlegen, geht auch nicht, die wollen im letzten Fenster Mail und Domain, die nicht passen?
Probiere mal erst den SYNOLOGY DynDNS Dienst einzuschalten und DANN das LE Zertifikat zu beantragen. Wenn das auch nicht geht, bitte mitteilen, was du für einen Router/Firewall hast?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat