Let´s Encrypt erneuern ohne Port 80 oder 443

[Splash_er]

Stimmt, sehr gute Idee! Das ist es…Manchmal steht man auf dem Schlauch.

 

[plang.pl]

Der Vorteil bei den synology.me Adressen ist ja, dass man Wildcard Certs erhält. Und wie gesagt, technisch gesehen kannst du einfach auf beiden DSen ein Zertifikat anfordern und hättest dann zwei xx.synology.me Domains mit Wildcard-Cert und je einem Reverse Proxy.

 

[Splash_er]

Ja, Hauptgrund ist aber die Ansicht von außen, für Fremde, wo es Businessmäßig nicht besonders gut ausschaut wenn da ...Synology.me als URL/Domain steht.

 

[plang.pl]

Achso das ist richtig. Dann würde ich an deiner Stelle aber auch den Schritt gehen und das mit acme.sh lösen. Denn ansonsten hast du ja kein Wildcard Cert.

 

[Splash_er]

Könntest du mir da bitte Hilfestellung geben, da dies für mich absolutes Neuland. Das wäre klasse.

 

[plang.pl]

Die Befehle und Inhalte der Config-Datei kommen auf deinen Anbieter an.
Anleitung: https://www.christosgeo.com/2022/02/03/renew-lets-encrypt-certificates-on-synology-using-acme-sh/
Da musst du in den verlinkten Listen erstmal kucken, ob dein Hoster unterstützt wird

 

[Splash_er]

Hallo,
ich habe (Dank an plang.pl) alles soweit eingerichtet und es passt mit der Subdomain.
Ein Phänomen habe ich allerdings noch. Wenn ich eine Datenanforderung (für externen Upload) erstelle
https://kb.synology.com/de-de/DSM/help/FileStation/file_request?version=7
landet diese logischerweise auf der Subdomain...aber, das ist das Problem, warum auch immer, wird diese als nicht sicher eingestuft, da er die Synology-URL ausgibt, anstatt der Subdomain.
Hier ein Beispiel als genauere Erklärung:

• Ziel wäre https://subdomainortnummer/sharing/xxx
• Ausgabe ist aber https://xxx.synology.meortnummer/sharing/xxx

Wo kann ich die Link-Einstellungen tätigen, damit es gleich passt und ich den Link nur copy&paste brauche?
Info: das SubDomain-Zertifikat ist auf alle Bereiche gesetzt.

Evtl. sehe ich die Einstellung nicht...

1.000 Dank
Tilo

 

[Benares]

Über welche URL bist du zum Zeitpunkt der Link-Anzeige selbst verbunden?
Ist unter Systemsteuerung, Anmeldeportal, Anwendung bei der Filestation eine Domain eingetragen?
Ändert sich der Link, wenn du das DDNS-Update der synology.me-Domain temporär mal abschaltest?

Man muss da immer etwas forschen, welche URL Synology für solche Links verwendet.

 

[Splash_er]

Hallo,

danke, für die schnelle Reaktion. Hier die Antworten:

• Über welche URL bist du zum Zeitpunkt der Link-Anzeige selbst verbunden?
  über die Subdomain, welche auch in den Zertifikatseinstellungen überall als solches eingestellt ist...eben auch als SystemStandard
• Ist unter Systemsteuerung, Anmeldeportal, Anwendung bei der Filestation eine Domain eingetragen?
  Nein, ist nichts eingetragen, nur Alias.
• Ändert sich der Link, wenn du das DDNS-Update der synology.me-Domain temporär mal abschaltest?
  Ja, da passt es und der ausgegebene Freigabe-Link ist der der SubDomain, wie
  https://subdomainortnummer/sharing/xxx
  

 

[Benares]

Mmh, grad mal hier probiert. Es scheint wirklich so zu sein, dass die Filestation für die Links die URL eines DDNS-Updaters bevorzugt, wenn da was aktiv ist. Ich weiß aber nicht, wie man der das abgewöhnen könnte. Musst das halt dann händisch ändern.

 

[Splash_er]

...das ist echt etwas crazy und da hat man evtl., seitens Synology, noch nicht um die Ecke gedacht, denn so soll es ja sein, dass man mit der URL von außen (externe Kunden) erreichbar ist.
Ja, es geht händisch, aber erkläre dies den Nutzern, die die Freigabe erstellen "du darfst nicht einfach den Link copy&paste, sondern musst ihn anpassen". Wenn ich die Synology DDNS für die SubDomainumleitung nicht bräuchte, dann könnte ich es ja deaktiviert lassen, aber so...
Ich schreibe mal Synology an...dies ist ja ein Verbesserungsvorschlag.

 

[Benares]

Ich schreibe mal Synology an...dies ist ja ein Verbesserungsvorschlag.

Mach das. Wie gesagt, man muss da immer etwas forschen, und überlegen, was sich der Entwickler dabei gedacht haben könnte. Das Verhalten könnte bei anderen Apps von Synology (Drive, Photos, ...) auch durchaus anders sein. Einen Königsweg gibt es da nicht, außer es in den Einstellungen der jeweiligen App oder im Anmeldportal unterzubringen. Selbst wenn man im Anmeldeportal bei der Filestation eine Domain einträgt, zieht die nicht bei den Links.

 

[MattCB]

Der Vorteil bei den synology.me Adressen ist ja, dass man Wildcard Certs erhält. Und wie gesagt, technisch gesehen kannst du einfach auf beiden DSen ein Zertifikat anfordern und hättest dann zwei xx.synology.me Domains mit Wildcard-Cert und je einem Reverse Proxy.

Moin. Ich muss hier mal nachhaken. Gilt das für alle Domains, die über den Synology-DDNS laufen oder nur für synology.me? Ich nutze nämlich xxx.myds.me als Domain.

 

[plang.pl]

Weiß ich nicht. Kannst du doch einfach unter Systemsteuerung - Sicherheit - Zertifikate nachkucken, für was das Cert gilt

 

[Benares]

Ich denke, das gilt auch für die anderen Domains, die Synology anbietet.

 

[MattCB]

Okay, das passt. Hätte ich ja auch selber drauf kommen können. Da sind alle Subdomains dabei. Theoretisch sollten die ja auch automatisch vor Ablauf erneuert werden. Und soweit ich weiß, wird das bei den Synology-DDNS-Adressen auch per DNS-Challenge gemacht, so dass Port 80 zu bleiben kann. Habe momentan nur Port 443 geöffnet (wegen ReverseProxy).

Danke schonmal.

 

[plang.pl]

Laut KB-Artikel braucht man keine Ports öffnen, Und ja, die Erneuerung gilt logischerweise für das gesamte Cert, also inkl. Subdomains (hier Wildcard)

 

[Kachelkaiser]

ich habe seit einiger Zeit das Problem, dass der Deploy nicht mehr funktioniert. Ich wollte jetzt den Deploy von der ContainerKonsole starten, aber leider öffnet die sich nicht. So sieht das Ganze bei mir aus. Die Konsole ist ausgegraut.

Was mache ich denn falsch?

 

[Benares]

Probier's mal mit "sh" anstatt "bash" (Erstellen, "Mit Befehl starten", "sh")

 

[Kachelkaiser]

Das wars. danke dir