Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...weil die Zertifikate ja noch kein Jahr gültig sind. ...
Daran wird sich auch nichts ändern... Als Anmerkung: es reicht auch nur Port 443, bei entsprechender Konfiguration kann die Challenge auch darüber laufen.
 

In0cenT

Benutzer
Mitglied seit
15. Sep 2014
Beiträge
30
Punkte für Reaktionen
0
Punkte
0
Hat jemand von euch diesen nginx + letsencrypt Docker schon probiert? LINK

Kriege den nicht zum laufen...

Was blockiert meinen Port 80 und 443?

Fileserver> netstat -tulpn | grep :80
tcp 0 0 ::%134877389:80 ::%134877389:* LISTEN 9562/httpd
Fileserver>
Fileserver> netstat -tulpn | grep :443
tcp 0 0 ::%134877389:443 ::%134877389:* LISTEN 9562/httpd
Fileserver>
 
Zuletzt bearbeitet:

Dathor

Benutzer
Mitglied seit
30. Nov 2015
Beiträge
28
Punkte für Reaktionen
0
Punkte
0
Habe das Zertifikat für meine Domain problemlos ans Laufen gekriegt.

Wenn ich über VPN verbunden bin nutze ich die interne IP Adresse meiner DS (192.168.2.3) und bekomme weiterhin einen Zertifikatsfehler. Das macht für mich auch Sinn, da das Zertifikat ja für meine Domain ausgestellt ist.
Mich würde trotzdem interessieren, wie man diesen internen Zertifikatsfehler vermeiden kann? Kann ich dafür ein zweites Zertifikat ausstellen oder muss ich intern auf "https" verzichten? Wenn ja, bedeutet der Zugriff über "http" intern überhaupt ein Sicherheitsrisiko?

Danke!
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wenn ich über VPN verbunden bin nutze ich die interne IP Adresse meiner DS (192.168.2.3) und bekomme weiterhin einen Zertifikatsfehler. Das macht für mich auch Sinn, da das Zertifikat ja für meine Domain ausgestellt ist.
dann greif doch über einen Hostnamen zu, der zum Cert passt und auf die interne IP deiner DS zeigt. Das kannst du z.B. dadurch erreichen, dass du die hosts Datei deines Clients anpasst oder indem du einen DNS Server dafür aufsetzt
Der interne Zugriff via http ist solange kein Sicherheitsproblem wie du deinem Netz trauen kannst. Deinem eigenen LAN solltest du trauen können, anders schaut es bei einem öffentlichen WLAN aus.
 

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Ich würd mir auch wünschen, dass man gewissen Dinge abhängig davon konfigurieren kann, von wo man kommt. Wenn ich bei der DS überall https erzwinge kriege ich local halt immer Fehler und in meinem internen Netz ist https auch nicht notwendig.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
IWenn ich bei der DS überall https erzwinge kriege ich local halt immer Fehler...
dann setz doch local einen DNS Server auf und erstell eine Zone mit dem Hostrecord so wie er imt Certifikat lautet, einfach mit der LAN IP deiner DS als Ziel. Dann klappt es auch im LAN ohne Warnung.
Wenn du nur von aussen der https Zugriff willst und im LAN nicht, dann leite doch nur die https Ports am Router weiter auf die DS. Somit ist von aussen nur https Zugriff möglich.
 

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Wenn ich bei der DS überall https erzwinge kriege ich local halt immer Fehler
3. Möglichkeit: Sofern dein Router Loop-Back kann, kannst Du auch intern die externe Adresse (Domain-Adresse) anstelle der internen IP-Adresse verwenden.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also, erstens ist https auch lokal (WLAN) sinnvoll, zweitens sollte man sich daran gewöhnen mit Domainnamen zu arbeiten (mit ipv6 eh notwendig) und drittens gehört der eigene DNS-Server aktiviert. Dieser löst dann zum Einen die Domainnamen intern korrekt auf und kann gleichzeitig noch unerwünschte Ziele (M$ Spyware, Werbung, u.a.) ins Nirvana schicken.

Aktuell muss man sich halt ein gewisses Mindestmaß an Nerzwerkkenntnissen aneignen, um halbwegs sicher durchs Web zu kommen.
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
und drittens gehört der eigene DNS-Server aktiviert
wenn es nur das aktivieren wäre, würde es ggf. jeder machen. Aber dass das funktioniert musst Du am Router rumschrauben und den DNS konfigurieren. Und die Konfiguration ist wirklich nicht selbst erklärend. Ich habe es einfach mal anhand von ein paar Screenshots hier im Forum gemacht und es funktioniert tatsächlich. Ich habe aber nicht verstanden, was ich da gemacht habe. Nebulös schon. Und ich habe jetzt schon mein ganzes Leben mit IT zu tun, ist mein Beruf, bin aber kein Techniker/Admin/Programmierer. Das wird in der breiten Masse nichts, Das geht weit über das Mindestmaß hinaus.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Da gebe ich Dir Recht: Die Konfiguration des DNS-Servers im DSM ist nicht selbsterklärend.

Damit wir jetzt nicht oT geraten: Es gibt generell zwei Szenarien, um mit Domainnamen und dem eigenen DNS zu arbeiten. Im einfachsten Fall habe ich hinter meinem DSL-Router nur 1 Netz; dann muss im DSL-Router der DHCP-Server deaktiviert und auf der NAS aktiviert werden; dort wird dann auch der DNS der NAS eingetragen. Auf dem DNS muss dann nur eine Domain ausgewählt und konfiguriert und das Forwarding aktiviert werden. Anleitung dazu über die Suche.
Das andere Szenario geht von einer Netztrennung aus. Hier übernimmt ein zweiter dedizierter Router hinter dem DSL-Router die Funktion des DHCP-Servers; der DNS kann dann wahlweise auf der NAS oder dem Router laufen. Elementar ist es hier einen 'echten' Router einzusetzen. Und ja auch hier ist es nötig sich schlau zu machen. Ich empfehle dazu die Tutorials bei administrator.de. Die Kosten sind kein Argument: ab 24€ gibt es einen vollwertigen Router.
 

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
4
Punkte
18
Die häufig eingesetzten FRITZ!Box(en) können auch (FRITZ!OS, Version 6.5x) per DHCP einen individuellen DNS Server vergeben.
 

tr33beard

Benutzer
Mitglied seit
25. Okt 2015
Beiträge
12
Punkte für Reaktionen
0
Punkte
7
Weißt du, ab welcher Version das möglich ist? In meiner 7270 v3 mit FritzOS v6.06 finde ich das, zumindest bei den DHCP-Settings, nicht.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Die 7270 bekommt keine Updates mehr. Für die neueren Fritzboxen gibt es eine Version neuren Datums mit neuer Benutzeroberfläche und anderen Themen.

MfG Matthieu
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
377
Punkte für Reaktionen
36
Punkte
34
Hallo, ich bin noch nicht ganz schlau geworden bzw hab ich keine Infos darüber gefunden. Funtkioniert LE mit DDNS Adressen z.b. xxx.synology.me?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ja.
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24
Hallo,

Beim nachbaren hat jemand was ausprobiert.
Ich wird versuchen für Dolmetscher zu spielen :)

Was hat er getan:

FQDN gesucht bei www.whatsmyip.org (Hostname und Domainname)
Certificaat generiert mit diese FQDN
Keinerlei Warnung bekommen

Er ist nicht Eigentümer sondern der ISP
Wen sein FQDN ändert hat er ein illegales certificaat

Was denkt ihr dazu? Sollte nicht möglich sein müssen, oder?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
@MMD - andere Sprache gewünscht?

Ich nehme an mit FQDN meinst du etwas wie hsi-kbw-......kabel-badenwuerttemberg.de, oder eben entsprechend anders lautend, je nach dem jeweiligen Provider.
Dieser FQDN enthält normal auf einen String mit der aktuellen IP.
Sobald die IP des Internet-Anschluß wechselt, ändert sich auch dieser FQDN.

Bei Lets Encrypt geht es zur Verifikation für ein Zertifikat um die Kontrolle des Webservers (nicht den Besitz) auf dem das Zertifikat laufen soll.
Zum Zeitpunkt der Prüfung stimmen also der FQDN und der dort laufende Webserver überein und es wird ein LE-Zertifikat ausgestellt.
Sobald die IP/FQDN sich ändert wird das Zertifkat ungültig, weil der Common Name im Zertifkat nicht mehr mit dem FQDN des Internetanschlusses übereinstimmt.

Das ist alles genau so wie es vorgesehen ist (und es ist gut so).
Hier unterscheidet sich Let's Encrypt von den gewohnten Diensten wie StartCom und anderen, bei denen man die Kontrolle über die Domain (bzw. der dort gängigen email-Adressen, nicht den Besitz) haben muss.

Also alles in Ordnung und sicher ist es auch. Zudem sorgt dies dafür, dass man deutlich mehr webserver absichern kann als vorher.

P.S. die Sinnhaftigkeit sich auf ein FQDN eines dynamischen Internetanschlusses ein Zertifikat auszustellen sei hier mal nicht weiter betrachtet.
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.386
Punkte für Reaktionen
34
Punkte
68
Hallo in die Runde. Bei mir klappt die Einrichtung über die beta 2 von DSM 6.0 absolut nicht.
"Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist."
Domain: www.domain.de (nur domain.de geht auch nicht)
Mail: webmaster@domain.de (Andere hatte ich auch schon versucht.)
Subdomains: admin.domain.de;plex.domain.de;mail.domain.de (Auch ohne ging nichts.)
Port 80 und 443 sind freigegeben.
meine Einstellungen für dyndns auf der Fritz Box sind:
Dynamic DNS-Anbieter
Benutzerdefiniert*

Update-URL:
https://dyndns.strato.com/nic/updat...=publicip&mx=domain.de&wildcard=ON&backmx=YES
Domainname:
www.domain.de

Benutzername:
domain.de

Auf der Fritz Box steht
Dynamic DNS
aktiviert, www.domain.de, IPv4-Status: erfolgreich angemeldet

Hat jemand einen Rat?

Grüße blinddark
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat