FritzBox Router und Diskstation: Wo SSL Zertifikat?

gelbfox · 16. Jun 2016

Hallo zusammen

Ich habe bei selfhost.de ein dynamischen DNS mit eigener Domain (meindedomain.ch) eingerichtet. Funktioniert super.

Nun möchte ich per SSL auf a) die Diskstation und b) die FritzBox zugreifen können. a) www.meindedomain.ch und b) disksation.meindedomain.ch.

Kann ich nicht nur für die FritzBox (www.meinedomain.ch) ein SSL Zertifikat lösen und dann via Portweiterleitung (zB. Port 8000) auf die Diskstation weiterleiten? Oder benötige ich pro Gerät ein eigenes Zertifikat, also a) FritzBox www.meinedomain.ch und b) Disksation diskstation.meindedomain.ch?

Habe da einen Knopf und kommen nicht mehr weiter.

Danke für euer Hilfe

meagain · 16. Jun 2016

Hallo gelbfox

Das SSL Zertifikat muss da installiert sein, wo die SSL/TLS Verbindung terminiert wird.

Wenn der Client (Browser) also sowohl mit einer Komponente auf der DS, als auch mit einer auf der FB kommuniziert, müssen auf beiden Zertifikate installiert werden. Daran ändert auch die Portweiterleitung nichts. (Ausnahme wäre ein Reverse Proxy der die SSL/TLS Verbindung terminiert und danach intransparent mit den einzelnen Systemen kommuniziert)

Eigentlich solltest du aber mit einem einzelnen Zertifikat auskommen, dass du auf beiden Systemen installierst. Du müsstest dazu den zweiten DNS Namen (oder gleich *.meinedomain.ch) als alternativen Namen eintragen lassen (Subject Alternative Name).

Viele Grüsse
meagain

gelbfox · 17. Jun 2016

Hallo meagain

Danke für deine Antwort.

Zwei Zertifikate oder ein Wildcard-Zertifikat kostet mehr.

Wenn ich ein Zertifikat auf www.meinedomain.ch lösen würde, könnte ich dieses auf beiden Geräten installieren und den Zugriff auf die DS mittels Portweiterleitung einrichten?

gelbfox · 17. Jun 2016

Noch was

Selfhost.de schreibt: "Zwar ist ein SSL-Zertifikat nicht an eine bestimmte IP-Adresse gebunden (weshalb auch ein Einsatz auf einer DynIP kein Problem darstellt), allerdings ist aus technischen Gründen immer nur EIN Zertifikat pro IP-Adresse möglich. Auf Ihrer DynIP können Sie daher nur ein einzelnes Zertifikat benutzen."

Somit MUSS ich mit einem Zertifikat auskommen. Die DS kann ich dann mit Portweiterleitung erreichen. Korrekt?

Danke für euer Hilfe.

Fusion · 17. Jun 2016

Das ist richtig und falsch zugleich, was selfhost da schreibt. Was am Ende richtig ist, hängt auch davon ab, wie du das Vorhaben umsetzt.
Die Portweiterleitung hat erstmal nichts mit SSL und Zertifikat zu tun. Es besteht nur ein Problem mit IP und Port. Also z.B. https://dyndns wobei dyndns auf die öffentliche IP deines Routers zeigt. https klopft an Port 443 an, den kannst du jetzt entweder auf der Fritzbox beantworten ODER an die DS weiterleiten.
Daran ändert sich auch nichts, wenn du z.B: dyndns1 und dyndns2, also 2 Hosts anlegst die beide auf die öffentliche IP deines Routers zeigen, weil https://dyndns1 -> klopft an Port 443 public IP deines Routers und https://dyndns2 klopft ebenfalls an Port 443 public IP deines Routers an. Die Anfrage kann also entweder vom Fritzbox webserver beantwortet werden oder an den Webserver der DS weitergeleitet werden. Der Port 443 für die IP deines Routers ist eben einzigartig.

Du kannst allerdings folgendes machen. dyndns zeigt auf die pub-IP deines Routers. Für dyndns holst du dir ein Zertifikat. Das Zertifikat installierst du auf der DS UND auf dem Router.
Dann kannst du mit passender Einstellung z.B. https://dyndns auf deine DS (port 443 weitergeleitet) und mit https://dyndns:444 auf deinen Router (wenn die Fritte auf 444 für Fernzugriff eingerichtet ist), mit ein und demselben Zertifikat, eben auf beiden Geräten installiert.

Das zweite mögliche Konstrukt bei dem du mit dyndns1 deine DS und dyndns2 deinen Router erreichst wäre vermutlich via reverse proxy.
dyndns1 und dyndns2 zeigen auf die public IP deines Routers, port 443 ist an die DS weitergeleitet. Auf der DS ist ein Zertifikat installiert, welches sowohl dyndns1 wie auch dyndns2 enthält (eventuell geht es auch mit 2 einzelnen, da man glaube per proxy ein eigenes zuweisen kann (das müßte jemand mit DSM mal bestätigen)).
Für dyndns1 fühlt sich dann die DS zuständig bei passender config und dyndns2 wird per reverse proxy im LAN auf die Fritzbox geleitet (auch diesmal nicht port 443).

Denke die erste Lösung ist praktikabler. Mehrere Hosts die sich hinter einer einzigen IP verstecken, wie eben mit Router und LAN, über verschiedene urls (dyndns1 und dyndns2) erreichbar zu machen, ohne Portangaben, ist eben nicht einfach realisierbar.