Freigabe-Link mit benutzerdefinierten Domain

[XuseX]

Hallo liebe Synology-Community,
ich habe folgendes Problem mit der Freigabe von Dateien im Synology Drive unter Verwendung einer benutzerdefinierten Domain.

Zur Info: Unter Synology Drive Admin-Konsole > Einstellungen > Freigabe kann der Freigabe-Link angepasst werden und dort kann alternativ zu DDNS eine benutzerdefinierte Domain angegeben werden.

Wenn ich DDNS auswähle, dann sind freigegebene Links ohne Probleme erreichbar. Wenn ich aber eine benutzerdefinierte Domain angebe, dann wird die Domain zumindest bei der Erstellung von Freigabe-Links im Synology Drive angezeigt, aber diese sind nicht erreichbar.

Ich habe keine Infos gefunden, welche Voraussetzungen für die Benutzung einer benutzerdefinierten Domain erfüllt werden müssen. Aber als ich das erste Mal die Einstellungen getestet habe, hätte ich schwören können, dass es funktioniert hat. Die freigegebene Datei war unter der benutzerdefinierten Domain erreichbar. Jetzt funktioniert es nicht mehr und ich weiß nicht voran es liegt. Mittlerweile zweifele ich, ob es überhaupt funktioniert hat.

Muss die benutzerdefinierte Domain wirklich existieren oder wird diese als Alias über die DDNS gelegt? Damit sozusagen die DDNS unsichtbar bleibt.

Ich möchte die benutzerdefinierte Domain für Freigabe-Links benutzten, um die DDNS bei öffentlichen Freigaben nicht preiszugeben.

Infos zur DS:
Modell: DS716+
DSM-Version: DSM 7.1.1-42962 Update 6
Geöffnete Ports: 443,5001,6690

Ich danke Euch im Voraus für Ratschläge und Erklärungen.

 

[metalworker]

na beschreib mal wie genau du deine Domain erstellt hast , also geben muss es diese ja schon

 

[XuseX]

Ich habe bei meinem Hosting-Provider eine Subdomain erstellt drive.mydomain.de, aber diese nicht konfiguriert. Das ist genau das Problem, dass ich keine Infos zu der Erstellung einer benutzerdefinierten Domain für Synology Drive gefunden hab. Synology beschreibt in der Anleitung nur, wo man die Domain angeben kann, aber nicht welche Voraussetzungen erfüllt sein müssen.
Verstehe ich es richtig, dass die DNS Einträge auf die IP bzw. den DDNS Hostnamen verweisen müssen?
Also muss ich für die Subdomain einen A - oder CNAME-Eintrag erstellen und auf die DDNS verweisen? Ich habe leider keine feste öffentliche IP.
Für diese Infos wäre ich sehr dankbar.

 

[XuseX]

Super! Danke für den fehlenden Denkanstoß.

Jetzt funktioniert die benutzerdefinierte Domain, nachdem der CNAME Eintrag mit dem Verweis auf DDNS erstellt wurde. Aber leider wird beim Öffnen des Links die Seite als "unsicher" eingestuft, obwohl für die DDNS und Subdomain ein gültiges SSL Zertifikat vorhanden ist. Wisst ihr vielleicht, woran es liegen kann?

 

[Benares]

Du hast also ein Zertifikat, das für Hauptdomain und für die Subdomain gilt (Liste der alternate Names)?

 

[XuseX]

Ja, genau. Das Zertifikat ist sowohl für die Hauptdomain, als auch für alle Subdomains ausgestellt.

Aber jetzt sehe ich, dass folgendes bei der Fehlermeldung im Browser angezeigt wird:

"Dieser Server konnte nicht nachweisen, dass es sich bei ihm um [subdomain] handelt. Das Sicherheitszertifikat stammt von [meine DDNS]. Dies kann auf eine Fehlkonfiguration zurückzuführen sein oder auf einen Angreifer, der Ihre Verbindung abfängt."

 

[Benares]

Mit einem Rechtsklick auf das Schloss vor der URL kannst du die Eigenschaften des Zertifikats anzeigen lassen. Hier als Beispiel mal das vom Forum hier


Wichtig ist, dass der Name in der URL einer von den genannten ist.

 

[XuseX]

Das ist bei mir leider nicht der Fall.
Also meine URL ist die Subdomain aber unter Eigenschaften des Zertifikats Alternative Inhaberbezeichnungen wird nur die DDNS anzeigt.
Aber wie kann ich das beheben? Also für die Subdomain habe ich ein gültiges Zertifikat von GeoTrust - powered by DigiCer und auch für die DDNS von Let's Encrypt. Aber nachdem der Verweis auf die DDNS eingestellt wurde, erkennt die Subdomain, dass das Zertifikat von der DDNS stammt und stuft die Seite als unsicher ein.

 

[alexhell]

Das Zertifikat muss auf der DS sein und du musst das Zertifikat dem Dienst unter Sicherheit -> Zertifikat zuweisen.

 

[XuseX]

Das Zertifikat muss auf der DS sein und du musst das Zertifikat dem Dienst unter Sicherheit -> Zertifikat zuweisen.

Welches Zertifikat? Für die Subdomain?
Ich habe unter Sicherheit > Zertifikat folgendes:
Mein DDNS Zertifikat und zum Testen habe ich das SSL Zertifikat von der Subdomain in die DS importiert. Dieses wurde auch akzeptiert. Aber das Problem wurde nicht gelöst.


Firefox beschreibt die Fehlermeldung wie folgt:

URL der Subdomain

Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

HTTP Strict Transport Security: false

HTTP Public Key Pinning: false

 

[XuseX]

Meine Beiträge werden blockiert und müssen zuerst von einem Moderator bestätigt werden. Ich denke, dass es an URLs liegt.

Jetzt verstehe ich was @alexhell meint. Ich habe das Subdomain Zertifikat in DS importiert und Synology Drive Server der Subdomain zugewiesen. Aber die URL wird weiterhin als nicht sicher angezeigt.

 

[Benares]

Wie bist du denn an dein Zertifikat gekommen?
Ich hab mir selbst eins über LE und acme.sh erstellt, dass für example.com und *.example.com gilt.
Synology.me als DDNS-Provider ist auch nicht schlecht. Kein schöner Name zwar, aber Wildcard-DNS-Auflösung und Wildcard-Zertifikat ist inklusive.

 

[XuseX]

Schade, dass mein vorheriger Beitrag noch nicht freigegeben wurde. Dort sieht man die Zertifikate.
Mein Zertifikat für die Subdomain stammt von IONOS (Hosting). Dort können Zertifikate für eigenen Server heruntergeladen werden, die einer Domain zugewiesen sind. Und mein Zertifikat für die DDNS (synology.me) stammt von Let's Encrypt

 

[alexhell]

Wieso holst du dir nicht einfach eins über acme.sh oder DSM Oberfläche eins von Lets Encrypt? Sehe keinen Vorteil das von seinem Anbieter zu nehmen....

 

[XuseX]

Kann es ein Problem sein, wenn Dienste nicht unter dem selben Zertifikat sind? Zum Beispiel jetzt sind alle meine Dienste unter DDNS Zertifikat gelistet, bis auf Synology Drive Server, dem ich gerade das Subdomain Zertifikat zugewiesen hab.

 

[alexhell]

Den Diensten ist das Zertifikat egal. Das Zertifikat muss zur Domain passen. Du kannst nicht ein Zertifikat für example.com haben und es für drive.example.com nutzen.

 

[Benares]

Oder andersrum gesagt: Einem Dienst kann man nur ein Zertifikat zuordnen. Und wenn der Dienst über mehrere DNS-Namen angesprochen wird, muss dieses Zertifikat halt für alle diese Namen gültig sein.

 

[XuseX]

Wieso holst du dir nicht einfach eins über acme.sh oder DSM Oberfläche eins von Lets Encrypt? Sehe keinen Vorteil das von seinem Anbieter zu nehmen....

Den Diensten ist das Zertifikat egal. Das Zertifikat muss zur Domain passen. Du kannst nicht ein Zertifikat für example.com haben und es für drive.example.com nutzen.

Ich werde es berücksichtigen und nochmal testen. Da der Beitrag mit aktuellen Zertifikaten immer noch nicht für alle sichtbar ist, poste das Bild nochmal.

Aber warum passt das Zertifikat nicht zur Domain, wenn dort als alternativer Name *.example.de steht? Das Zertifikat ist ja sowohl für die Hauptdomain, als auch Subdomains ausgestellt. Oder verstehe ich die Beudeutung des * in DS falsch?

Und leider kann ein Let's Encrypt Zertifikat nur für synology.me ausgestellt werden. Ich werde acme.sh versuchen.

 

[Thonav]

Wieso kann ein Letsencrypt Zertifikat nur für Synology.me ausgestellt werden? Kannst Du auch für Deine DynDNS Adresse ausstellen lassen.

 

[XuseX]

Sorry, das habe ich falsch ausgedrückt. Nur Domains von Synology DDNS unterstützen von Let's Encrypt ausgestellte Wildcard-Zeritikate.

Mein Zeil ist, die aktuelle DDNS beim Erstellen von öffentlichen Links mit Synology Drive nicht zu offenbaren. Darum nutze ich eine Subdomain von meinem Hoster als eine benutzerdefinierte Domain (Ausgangsthema). Diese Subdomain soll bei Freigabe-Links angezeigt werden. Das funktioniert jetzt, aber das Problem mit Zertifikaten besteht weiterhin.

Ich danke Euch für nützliche Tipps. Wenn es weitere Tipps gibt, dann bitte her damit. Jetzt muss ich erst mal weg. Das Forum ist SUPER! Danke!