Fernzugriff über https - Zertifikat und DynDNS?

[nullhorn]

Hallo zusammen,

ich habe mich schon öfters und immer mal wieder mit meiner DS, deren Apps und deren Möglichkeit auf Fernzugriff beschäftigt.
Ich erzähl jetzt mal was ich schon alles habe und wo ich glaube einen Denkfehler rein gebracht zu haben und hoffe ihr könnt meine Verwirrung entwirren und die Bausteine zusammen setzen.

Also, fangen wir mal in einer anderen Ecke an.
Ich habe eine Domain für meine Webseite, bei dem Anbieter habe ich für alle Domains ein SSL Zertifikat (Let’s Encrypt) aktiviert.
Dann habe ich bei meinem Anbieter der Domain auch noch ein DynDNS mit Subdomain aktiviert so, dass ich über ds.domain.de auf meine DS komme von überall.
Den Benutzer u das PW habe ich in meine FB eingetragen bei DynDNS, um das Gate zu regeln.
über den Port komme ich aufs DSM, über /note auf note usw.
So, diese Sachen habe ich alle schon vor Jahren eingerichtet, läuft ja scheinbar auch.

Und hier fängt es nun an, wenn ich nun vor ds.name.de ein http setze, geht das, wenn ich ein https setze, wird das nichts.
Als ich nun gestern versucht habe, den CalDav Account von meiner DS auf meinem iphone zu zu fügen, dann geht das nicht weil das iphone nur mit SSL macht.

D.h. also das SSL von meinen Domainanbieter reicht nicht aus, oder umfasst nicht die subdomain für die dynDNS und ich muss mir
noch mal ein Zertifikat von (Let’s Encrypt) holen um es dann auf der DS zu installieren.

Bringt jmd bitte mal noch ein wenig Licht in mein Dunkel?

Grüße
Flo

 

[patrickn]

Das Zertifikat bei deinem Domain-Anbieter interessiert die DS nicht, du musst es in der Systemsteuerung unter Sicherheit und Zertifikate für die Domain anfordern.

 

[nullhorn]

Da hat dann aber der Systemsteuerung - externer Zugriff - DDNS - auch nichts mit zu tun oder?
Ich sehe gerade, das Systemsteuerung - Zerifikat - hatte ich auch schon mal angelegt, ist aber abgelaufen.

 

[ctrlaltdelete]

Welche Ports willst du denn erreichen?

 

[nullhorn]

welchen port brauch ich denn für den caldav? 5005?
Aber es geht denke ich ehr um das Zertifikat von Let’s Encrypt.

 

[patrickn]

Ich sehe gerade, das Systemsteuerung - Zerifikat - hatte ich auch schon mal angelegt, ist aber abgelaufen

Dann aktualisiere es oder erstelle ein neues für die Domain, ohne geht's nicht.

 

[ctrlaltdelete]

Bei Caldav hätte ich jetzt keine Schmerzen den aufzumachen, musst halt ein Zertifikat erstellen und zuweisen.

 

[nullhorn]

Dann aktualisiere es oder erstelle ein neues für die Domain, ohne geht's nicht.

Wo bekomm ich neues Zertifikat her?

Bei Caldav hätte ich jetzt keine Schmerzen den aufzumachen, musst halt ein Zertifikat erstellen und zuweisen.

Ich würde Caldav auch ohne SSL betreiben, erst mal um zu sehen ob es läuft, das Problem ist, dass das Iphone keine URL ohne https annimmt.

Ich hab mir auf YT das Video von itechPG "Kostenloses Zertifikat (HTTPS) auf der Synology einrichten" angeschaut und so wie ich das verstehe, brauch ich den ersten Teil (mit selfhost) gar nicht, weil ich ja all-inkl habe. Wenn ich es kapiert habe,
brauch ich auch bei all-inkl nicht auf die subdomain ein SSL einzurichten, sondern brauch nur wieder n gültiges SSL Zertifikat und hinterlege das in der DS.

Hab grad mit meinem Anbieter (allinkl) gesprochen und die sagen, bei Ihnen kann man Zertifikate die von Ihnen nach außen gehen (also zu meiner DS) nicht über Let’s Encrypt machen lassen. Wenn ich mir ein Zertifikat von Ihnen machen lasse, kostet es 100€/Jahr. Wenn ich einen anderen Anbieter finde der mir ein Zertifikat generiert, kann ich auf die subdomain CSR, KEY, CRT und Brückenzertifikat eintragen und dann wäre die Subdomain auch https.

​

 

[Benie]

Ich nutze sogar nur die kostenlose DynDNS von Selfhost seit vielen Jahren, allerdings nur ohne Subdomain (Wildcard ist auch nicht möglich) aber hierfür ein Zertifikiat von LE und ich bekomme regelmäßig mein Update über LetsEncrypt. Allerdings nicht automatisch, wie es zum Beispiel mit Synology DynDNS geht oder evtl halt mit acme.sh.

EDIT: brauch ich den ersten Teil (mit selfhost) gar nicht

Ich glaube ich hab da mit selfhost etwas falch verstanden, ich dachte das ist Dein DynDNS Anbieter, da das bisher nicht so klar rauskam.

 

[ctrlaltdelete]

Nimm doch ienfach Synology Domain mit Zertifikat.

 

[patrickn]

Wo bekomm ich neues Zertifikat her?

Wie ich bereits sagte: in die Systemsteuerung auf der DS, Sicherheit, Zertifikate. Und dann halt "hinzufügen". ggf. Beim vorhandenen Zertifikat (für die genutzte Domain!) Rechtsklick und erneuern. Falls das zu lange her ist, geht das aber ggf. nicht mehr.

 

[nullhorn]

Das habe ich gemacht, DS, Sicherheit, Zertifikat, ganz unten Zertifikat erneuern.
Dann wurden 2 Dateien angelegt, die ich runterladen konnte u.a. eine CSR Datei.
Mit dieser soll ich jetzt zu einer Zertifikatsstelle gehen u mir ein Zertifikat neu ausstellen lassen.
Und was mach ich nun?

UND ... Ist das Einfügen des Zertifikats auf der DS auch genug, damit meine subdomain dann auch SSL bekommt?
Ich denke nicht, ich muss doch in meinem Kundenmenü der Domain das Zertifikat einbinden oder nicht? Das was hier immer über selfhost beschrieben wird.

 

[patrickn]

Bei einem letsencrypt Zertifikat gibt es eigentlich nichts zum runterladen, das geht alles automatisch
https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS

Bitte mal ein Screenshot von den Zertifikaten

 

[nullhorn]

Hier mal der Screenie vom Reiter Zertifikat

und wenn ich auf den Button CSR klicke, kommt dann das hier. Ist das der richtige Weg?

 

[patrickn]

Das ist kein letsencrypt Zertifikat, sondern startcom.
Geh auf hinzufügen und lass eines für letsencrypt erstellen

 

[nullhorn]

und wie bekomm ich das alte abgelaufene wieder raus?

 

[Benie]

Löschen.

 

[nullhorn]

Löschen beim alten Zertifikat ist ausgegraut, kann ich nicht löschen, nur erneuern.

Und hier das neue Zertifikat anlegen, geht auch nicht, die wollen im letzten Fenster Mail und Domain, die nicht passen?
Ey sorry, wenn ich mir da so blöd grad anstelle, ich hab das ja schon mal hin bekommen, sonst wäre das alte Zertifikat nicht noch drin.

 

[Ronny1978]

Löschen beim alten Zertifikat ist ausgegraut, kann ich nicht löschen, nur erneuern.

Sind Dienste auf das Zertifikat hinterlegt (mit DynDNS)? Dann geht es wahrscheinlich erst, wenn du ein neues Zertifikat hinterlegt hast und die Zugehörigkeit auf die Dienste abgeändert hast.

Und hier das neue Zertifikat anlegen, geht auch nicht, die wollen im letzten Fenster Mail und Domain, die nicht passen?

Probiere mal erst den SYNOLOGY DynDNS Dienst einzuschalten und DANN das LE Zertifikat zu beantragen. Wenn das auch nicht geht, bitte mitteilen, was du für einen Router/Firewall hast?

 

[nullhorn]

Probiere mal erst den SYNOLOGY DynDNS Dienst einzuschalten und DANN das LE Zertifikat zu beantragen.

Du meinst über DS - Systemsteuerung - externer Zugriff - DDNS und dann ein Synology Konto anlegen?