DSM 6.x und darunter Habe ein gültiges "Let's Encrypt " Zertifikat, dennoch bekomme ich Sicherheitswarnung

[Mexx]

Habe ein gültiges "Let's Encrypt " Zertifikat, dennoch bekomme ich Sicherheitswarnung

hi @lls

Hab da ein kleines Problem mit dem Zertifikat, da ich eine eigene Domain besitze, sowie einen Fixe iP, habe ich über meinen Domain Provider, mir ein "Let's Encrypt" Zertifikat erstellen lassen.
Dies hat auch binnen weniger Minuten funktioniert! und ich konnte das Zertifikat runter-laden!



Nun liegt ja die Webseite, sowie FTP usw. auf meiner Diskstation, daher diese Meldung --> "Sie scheinen einen externen Webserver zu betreiben. Die DNS-Einstellungen werden nicht automatisch angepasst."

Jetzt habe ich das Zertifikat auf meiner Diskstation DS216+II sowie auf meinem Router RT2600AC, eingespielt und das hat auch ohne Probleme funktioniert:

Diskstation:


Router:


Dennoch bekomme ich die Meldung "Warnung: Mögliches Sicherheitsrisiko erkannt" wenn ich mich auf die Diskstation oder den Router mit dem Browser verbinden will!


Diese Meldung gibt Firefox aus:



Was muss ich noch einstellen, damit diese Meldung nicht mehr kommt?

 

[wolewo]

Ich bin nicht der Hirsch auf diesem Gebiet. Aber wenn man mit der internen IP Adresse auf die Syno zugreift, dann bekomme auch ich diese Meldung.

 

[Mexx]

ja du hast recht, habe soeben mit meinem Handy einen Hotspot eröffnet und es nochmals mit einem Laptop (quasi von extern) probiert, da kommen keine Warnungen, somit habe ich gar kein Problem und es funktioniert so wie es sein soll! thx

 

[Mahoessen]

Hi, das Zertifikat ist für www.rdjl.eu ausgestellt, nicht für 192.168.... insofern ist es logisch und auch richtig, dass diese Meldung kommt. Entweder intern auch den DNS-Namen nehmen, oder füge für die interne IP eine Ausnahme hinzu und alles ist gut.

 

[tproko]

"Ad alles ist gut" -> jein, beim Verlängern des LE-Zertifikats muss erneut wieder die Ausnahme hinzugefügt werden.
Somit ist Vorschlag mit intern auch per DNS auflösen zu bevorzugen

 

[Kurt-oe1kyw]

Hi, das Zertifikat ist für www.rdjl.eu ausgestellt,

das ist nur teilweise korrekt. Auf der Diskstation ist es "nur" ausgestellt für rdjl.eu, dh. nur https://rdjl.eu funktioniert einwandfrei und das grüne Vorhangschloss erscheint.
Tippst du hingegen https://www.rdjl.eu ein, kommt die gleiche Warnmeldung dass das Zertifikat dafür nicht ausgestellt wurde, eben weil auf der DS ohne www. eingetragen ist für das Zertifikat:



@TE: kannst du mal versuchen auf der Diskstation bei "Alternativer Name" ob du dort Eintragen kannst www.rdjl.eu ---> falls ja, sollte dann auch bei der Schreibweise mit www. das Zertifikat als gültig anerkannt werden.
Noch mal, derzeit funktioniert nur https://rdjl.eu ohne www!

 

[Mahoessen]

Hi, @Kurt-oe1kyw, hast recht, ich hatte etwas zu schnell gelesen, Zertifikat ist ohne www.

 

[Mexx]

habe nun ein neues Zertifikat angefordert und nun geht es mit und ohne www

 

[Mexx]

"Ad alles ist gut" -> jein, beim Verlängern des LE-Zertifikats muss erneut wieder die Ausnahme hinzugefügt werden.
Somit ist Vorschlag mit intern auch per DNS auflösen zu bevorzugen

kannst du mir erklären was du damit meinst ?!

und dann sehe ich du hast auch den Router von Synology RT2600AC, ich bringe kein VPN zusammen, weil immer die Meldung kommt das ich ein Zwischenzertifikat angeben muss, schaff es nicht! Kannst du oder jemand anderes dabei helfen, thx

 

[tproko]

Ich meine damit wohl 2 Sachen.

1.) LE Zertifikate sind nur 3 Monate gültig und verlängern sich dann also alle 3 Monate (idR automatisch). Wenn du mit lokalen IPs und Sicherheitsausnahmen arbeitest, müssen die Ausnahmen alle 3 Monate wieder hinzugefügt werden.

2.) Wenn du bei deinem Syno Router DNS Server installierst, kannst du bei dir im Netz www.rdjl.eu auf die richtigen internen IPs zeigen lassen. Von extern bleiben natürlich die externen IPs bzw. löst das dann der externe DNS anders als dein interner auf. Somit könntest du extern und intern mit den DNS Urls arbeiten.

Ad VPN: erstelle sonst ein eigenes Thema bei den Syno Apps - VPN Server. Ich habe OpenVPN am router - aber komplett manuell eingerichtet mit zusätzlichen Client Certs.

Kenne den Fehler nicht, aber schau mal unter Einstellungen - Sicherheit- Zertifikate welches Zertifikat für VPN Server verwendet wird.
Hier macht mMn das nur 3 Monate gültige Zertkfikat von LE keinen Sinn. Sonst erstell dir da nochmals ein eigenes, wenn das derzeit leer ist.