Frage zu Domains und SSL-Zertifikat

Status
Für weitere Antworten geschlossen.

steje43

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
666
Punkte für Reaktionen
35
Punkte
48
Hallo,

ich habe die DS213+ seit 12/2012 und bin sehr mit der DS zufrieden.
Seit 2013 läuft ein Mailserver und viele weitere Dienste absolut zuverlässig.

Nun wird die DS213+ am Wochenende durch die DS216+ ersetzt.
Bei der DS213+ habe ich für meine dyn. Domain ein Zertifikat installiert.
Also meine Domain ist seit Jahren über https erreichbar.

Nun habe ich mir eine zweite Domain besorgt und diese auch in der DS eingerichtet.
Webseite Domain1 mit SSL ist erreichbar, Webseite2 Domain 2 ohne SSL auch.

Nun dachte ich mir, super läuft ja wie gewohnt alles einwandfrei.
Also SSL-Zertifikat für die Domain2 besorgt und installiert.

Bums, hier kam dann der Fehler. Zertifikat wurde installiert und die Webseite ist nicht mehr erreichbar.

Sehe ich das richtig, dass man zwar mehrere Domains auf der DS einrichten kann, aber nur eine mit SSL erreichbar ist?

Wie kann ich beide Domains über https mit jeweils eigenen Zertifikaten einrichten und erreichen?

Oder ist das nicht möglich.?

Kann ich die Domain 1 mit https einfach löschen und die zweite Domain mit SSL einrichten?

Gruß
Jens
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
stecke da nicht so tief drin, aber was ich weiß ist:
Mit DSM 5.2 kann man nur ein Zertifikat hinterlegen
Mit DSM 6 kann man mehrere Zertifikate hinterlegen (im Moment ist DSM 6 noch beta (2))

was noch ggf auf der Shell geht, weiß ich nicht
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Unter DSM 5.x hilft da nur ein Multi-Domain-Zertifikat, was beide Domains beinhaltet - gibt es aber nicht mehr zum Nulltarif .
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Prinzipiell kann ein Webserver pro IP und Instanz (und damit auch pro Port) immer nur ein Zertifikat ausliefern, es sei denn beide Seiten (Server und Client) unterstützen SNI. Aktuell sollten da nur alte Android Versionen (vor 3) und XP-Clients Probleme machen. Alle anderen können es.
Ein paar schöne Erklärungen habe ich hier gefunden: https://faq.hosteurope.de/?cpid=18090
Auch die Unterstützung mehrerer Zertifikate ab 6.x bezieht sich auf die Verwendung für unterschiedliche Applikationen (Web Station, DSM, Cloud Station, ...) die jeweils als unterschiedliche Instanzen laufen. Die Web Station ist aber ebenso an die Einschränkungen gebunden die mit SNI einher gehen.

MfG Matthieu
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
377
Punkte für Reaktionen
36
Punkte
34
Unter DSM 5.x hilft da nur ein Multi-Domain-Zertifikat, was beide Domains beinhaltet - gibt es aber nicht mehr zum Nulltarif .

Aber wenn ich mir im DSM ein Zertifikat generiere, kann ich doch alternative Domains angeben. Oder ist das was anderes?
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.548
Punkte für Reaktionen
1.379
Punkte
234
… Auch die Unterstützung mehrerer Zertifikate ab 6.x bezieht sich auf die Verwendung für unterschiedliche Applikationen (Web Station, DSM, Cloud Station, ...) die jeweils als unterschiedliche Instanzen laufen. Die Web Station ist aber ebenso an die Einschränkungen gebunden die mit SNI einher gehen. …

Gehe ich da richtig in der Annahme, dass man in DSM 6.0 auch für einen virtuellen Host kein abweichendes Zertifikat verwenden kann?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Aber wenn ich mir im DSM ein Zertifikat generiere, kann ich doch alternative Domains angeben. Oder ist das was anderes?
Bei Let's Encrypt kannst Du Dir auch kostenlose Zertifikate für mehr als eine Domain ausstellen lassen, das ist richtig.
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
377
Punkte für Reaktionen
36
Punkte
34
Bei Let's Encrypt kannst Du Dir auch kostenlose Zertifikate für mehr als eine Domain ausstellen lassen, das ist richtig.

Let's Encrypt ist doch ein externer Anbieter. Ich meinte, wenn ich auf der DiskStation unter Zertifikate ein neues Zertifikat erstelle und nicht eines importieren.
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
377
Punkte für Reaktionen
36
Punkte
34
Ich hab grad folgendes Problem. Als CN hab ich xxx.synology.me angegeben, als Alternative die LAN IP 192.168.x.x.
Wenn ich von außen auf xxx.synology.me zugreife heißts der CN name würde nicht übereinstimmen (Warnmeldung von Chrome), selbiges wenn ich vom LAN aus auf die IP zugreife.
Auch SSLlabs sagt das selbe, erkennt aber die beiden eingetragenen Namen (CN als auch alternative).
Capture.jpg

Liegts an der DDNS, kann SSL damit nicht umgehen? Und warum bekomm ich den selben fehler auch wenn ichs intern über die IP versuche?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat