Let's Encrypt für Domains/Subdomains

[Jamo]

Heyho,

Habe heute mal versucht ein Let's Encrypt Zertifaikat bei mir zu installieren. Das hat auch soweit geklappt. Jetzt hab ich aber noch ne Verständnisfrage:
Ich hab ne DynDNS meinname.synology.me auf die ich meine domain www.meinedomain.de weiterleite. Das Zertifikat hab ich für meinname.synology.me eingerichtet und wenn ich die aufrufe, funktioniert das auch ganz wunderbar.

Wenn ich jetzt jedoch www.meinedomain.de aufrufe, wird mir die Seite wieder als unsicher angezeigt, genauso wie wenn ich zB ne Subdomain subdomain.meinedomain.de aufrufe. Muss ich für die Domain auch ein Zertifikat erstellen?? In meiner DSM sieht es so aus:


Oder mach ich was falsch?

Danke euch,
Jamo

 

[Fusion]

Ist die Weiterleitung per CNAME? Dann brauchst du nur ein Zertifikat für meine.domain.tld

Zertifikate gelten nur für den Aufruf mit Domains auf deren Namen sie erstellt sind.

 

[Jamo]

Ja, ist per CNAME.
Ok, dann probier ich das.

Dann stell ich für die anderen Dienste auch wieder das normale Synology Zertifikat ein, jetzt funktioniert nämlich gerade meine Cloudstation nicht mehr...

 

[Jamo]

Ok, das scheint zu funktionieren. D.h. aber dass ich jetzt ein Zertifikat für www.meinedomain.de erstellen muss, eins für sub.meinedomain.de eins für meinedomain.synology.me??

Für meine Subdomain funktioniert das Hauptzertifikat jetzt nämlich noch nicht, obwohl ich bei "verwendet für" die Subdomain angegeben habe...

 

[Tuvok42]

Zertifikate gelten nur für den Aufruf mit Domains auf deren Namen sie erstellt sind.

Wenn Du "meinedomain.synology.me" in den Browser eintippst, brauchst Du auch ein Zertifikat dafür. Wird diese Adresse nur als Ziel für den CNAME-Eintrag genutzt, dann nicht.

Wer ist denn der Webserver für sub.meinedomain.de? Sprich: Hast Du für sub.meinedomain.de auch einen CNAME-Eintrag (wenn ja welchen) oder arbeitest Du mit einem Redirect?

 

[Jamo]

Ok, klingt einleuchtend. Wenn ich so quasi "mehrere Domains" habe die ich zertifizieren möchte, brauche ich dann für jede Domain einen vHost?
Ich hab jetzt nämlich ein Zertifikat für meine www.domain.de, das einfach das Standard Zertifikat für alle Dienste ist. Dann hab ich eins extra für Subdomain.meinedomain.de erstellt und das konnte ich dem vHost der meine Subdomain steuert zuweisen, Zertifizierung klappt.

Für meinname.synology.me hab ich auch ein Zertifikat, aber das ist jetzt in der Konfiguration für nichts eingestellt, weil ja www.meinedomain.de mein Standardzertifikat ist. Ich könnte jetzt einen vHost erstellen der ganz normal auf meine webstation leitet (also quasi nichts tut) und dieser das Zertifikat für meinname.synology.me zuweisen. Aber macht das Sinn?

 

[Tuvok42]

Nein, da Du in einem Zertifikat mehrere Domainnamen angeben kannst und eine Homepage unter mehreren Namen auf einem Host erreichbar ist (meinefirma.de, meinefirma.eu, www.meinefirma.de, meine-firma.de). Anders rum wird ein Schuh daraus: Du brauchst für jeden vHost ein entsprechendes Zertifikat (für alle Namen unter denen die Webseiten erreichbar sind).

Die Sinnhaftigkeit des Zertifikates für meinname.synology.me kannst nur Du beantworten Sofern Du über diesen Namen auf deine webstation TLS-gesichert kommunizieren musst/willst, brauchst Du es, sonst nicht.

 

[Jamo]

Du hast natürlich völlig Recht, die Sinnhaftigkeit eines Zertifikats für meine DDNS Adresse darf angezweifelt werden. Wollte ich auch hauptsächlich einrichten, damit ich nicht selber dauernd von der Sicherheitswarnung genervt werde, wenn ich die Seite aufrufe (was derzeit wegen Tests recht häufig vorkommt).

Das mit den verschiedenen Namen hatte ich tatsächlich komplett ignoriert, werde jetzt ein Zertifikat für meinedomain.de machen und als Namen subdomain.meinedomain.de und www.meinedomain.de angeben. Sobald ich ne Idee hab wie ich diese Fehlermeldung hier wieder loswerde.... (DS Neustart hat nicht geholfen)


Hab da aber noch ne Frage: Ist es möglich https zu forcieren? Für Besucher die über die normale http Adresse angesurft kommen?

Außerdem funktioniert die Synchronisierung meiner CloudStation leider nicht mehr. Er meldet das SSL Zertifikat hätte sich geändert (macht Sinn), ich melde mich neu in CS an und dann kommt immer die Meldung "***.*** kann wegen nicht vorhandener Zugangsbefugnisse nicht synchronisiert werden, oder wird gerade verwendet."
Muss ich für die Cloudstation explizit das synology.com Zertifikat wieder einstellen?

 

[Tuvok42]

Sobald ich ne Idee hab wie ich diese Fehlermeldung hier wieder loswerde

Hier hilft tatsächlich mal die Fehlermeldung inkl. dem Hinweis: Let's Encrypt beschränkt die Anzahl der Zertifikationsanforderungen. Vermutlich hast Du durch deine vielen Tests dieses Limit überschritten. Hier hilft nur warten. Und für meinname.synology.me gibts es eine weitere Falle: Let's Encrypt beschränkt die Anzahl auf die Domain, in diesem Fall also synology.me. Und Du bist nicht der einzige, der dafür ein Zertifikat will

 

[Jamo]

Punkt für dich
Danke

 

[AndiHeitzer]

Moing in die Runde

Ich hänge hier bei folgender Fehlermeldung durch "Let's Encrypt" fest:


Ich möchte SUB.MEINEDOMAIN.DE nutzen. Diese gehört auch mir.
Die Firewall ist auf meiner DS215+ temporär abgeschalten. Die Ports (80/443) der FB7490 sind temporär auf die DS215+ geforwarded.
Was habe ich übersehen?

Möchte ich testweise meine Hauptdomain nutzen, dann bekomme ich eine andere Meldung:


Über eine Eingebung würde ich mich freuen.

 

[Fusion]

Erste Frage, ob du schon mehrere Zertifikate für verschiedene sub.meinedomain.tld erstellt hast?
Dann die zweite Frage, ob auf 80/443 auch ein Web-server unter dem Namen den du im Zertifikat verwenden willst lauscht, oder die Anfrage evtl. ins Leere läuft?

 

[AndiHeitzer]

1.
Nein, das war mein erster Versuch. Ich wollte für den Zugriff von aussen auf https umstellen.

2.
Auf Port 80 lauscht die DS215
=> Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help.
Dies gilt auch für Port 443 ...


Ich möchte dort keine WEB-Seiten hosten, sondern nur den DSM-Zugriff auf https umstellen. Soweit zu meiner Grundidee.

 

[Fusion]

Landet sub.meinedomain.tld und meinedomain.tld via Port 80 auf der DS bzw. antwortet die Web Station mit Standard-Seite? Die zweite Meldung deutet darauf hin, dass dies für meinedomain.tld nicht der Fall sein könnte.
Der LE Client erzeugt ja eine Datei, die der LE Server dann versucht über die angegebenen Namen zu lesen.
Alle Common Names und Alternate Names die du im Zertifikat verwendest müssen auf der Web Station landen, wenn nur einer davon fehlschlägt, resultiert z.B. die erste Meldung.

Manchmal hilft wohl auch mehrfach probieren.

 

[AndiHeitzer]

Vielen Dank für die Darstellung der Arbeitsweise von LE.

Ja, sub.meinedomain.tld täte auf der DS "aufschlagen", heisst, ich bekomme die Willkommensseite der DS zu sehen. Auch mittels https ...
Nachdem Du mir nun die Arbeitsweise des LE-Clients aufgezeigt hast, weiss ich nun, dass www.andi-heitzer.de nicht funktionieren kann

Mal sehen, ob ich im Netz noch weiterführende Hinweise finde.
Es pressiert mir nicht, wäre aber ein weiterer Schritt, den ich abarbeiten möchte.

 

[Fusion]

Wieso? Hast du die www. Subdomain auf einem externen Host liegen?
Wenn sub.domain.tld an der DS ankommt und du nur sub.domain.tld als Name angibst und Alternate Names leer läßt, sollte es eigentlich mit dem Setup funktionieren (Port 80 offen und auf die Web Station)

 

[AndiHeitzer]

Nein ... www liegt nicht auf der DS ... aber nun, wo ich weiss, wie der LE-Client arbeitet, ist das ja logisch, dass auch andi-heitzer.de nicht geht.

Ich werde dann mal heute Abend weitersuchen. Jetzt muss ich erstmal Urlaubsnachwehen abarbeiten