DSM 6.x und darunter Let's encrypt - Zertifikat für root domain nicht für subdomain gültig?

[Kono14]

Hintergrund: Ich wollte Synology Drive installieren und bekam eine Zertifikatswarnung. Also habe ich mir über die Diskstation Einstellungen ein Zertifikat bei Let's Encrypt für meine Hauptdomain (meinname.de) geholt. Zusätzlich habe ich HTTPS über die Einstellungen erzwungen.
So weit so gut, wenn ich über meine Hauptdomain auf die DS zugreife, bekomme ich ein Schloss für eine sichere Verbindung angezeigt.

Wenn ich nun aber über die Subdomain (cloud.meinname.de) auf die DS zugreife, erhalte ich eine "nicht vertrauenswürdig" Warnung angezeigt. Warum?
Muss ich für die Subdomain auch ein Zertifikat erstellen?

Zusätzlich habe ich das Problem, wenn ich im lokalen Netz direkt über die IP auf die DS zugreife, erhalte ich ebenfalls eine Warnung. Wobei ich hier schon gelesen habe, dass das normal ist und man dank Fritzbox Loopback Funktion einfach DSM über die Domain aufrufen soll, ohne dass die Daten über das Internet laufen. (Quelle: https://www.synology-forum.de/showt...kate-Sichere-Verbindung-extern-ja-intern-nein)

 

[Matthieu]

Hallo,
das ganze nennt sich "Wildcard" Zertifikat. Lets Encrypt stellt die seit kurzem zwar aus, der DSM hat dafür aber bisher keine Unterstützung. Könnte daran liegen, dass Wildcards nur via DNS verifiziert werden können - und das kann die DS im Gegensatz zur HTTP Challenge nicht bewerkstelligen.

MfG Matthieu

 

[Kono14]

Gut, also habe ich grade für meine Subdomain ein zweites Let's Encrypt Zertifkat erstellt, hat geklappt. Aber das "Standardzertifikat" soll weiterhin auf das der Hauptdomain eingestellt bleiben.
Wenn ich nun also meine Subdomain aufrufe wird weiterhin das Zertifikat der Hauptdomain verwendet und ich bekomme weiterhin eine Warnung.

Wie lässt sich das lösen?

 

[blurrrr]

Ein Wildcard-Cert würde diese Probleme erschlagen, jou, da freu ich mich auch schon drauf Man könnte aktuell aber auch "alt-names" beim Zertifikat definieren (meine bis zu 5 Stück), damit wären die Subdomains dann auch eingeschränkt in der Anzahl, aber man könnte es ausstellen für "domain.tld", sowie "cloud.domain.tld" und wäre das Problem damit los. Hab es mit der Syno zwar bisher nur einmal gemacht, aber ich denke, dass es auch da möglich sein sollte, entsprechende "alternative Namen" anzugeben, einfach mal nachschauen

 

[Matthieu]

Diese "alternative names" dürften die einfachste Lösung derzeit sein.
Hinsichtlich Wildcards: Ich kann mir nicht vorstellen, wie Synology das umsetzen will ...

MfG Matthieu

 

[blurrrr]

Vermutlich garnicht, ein "bisschen" ist ja auch besser als nix... und den Marketing-Stempel "LE-Certs? Haben wir!" kann man ja trotzdem draufhauen

 

[Kono14]

Und wie setze ich die alternative names?
Ich habe irgendwo etwas von einem TXT DNS Record bei meinem Domain-Provider (serverprofis.de) gelesen. Zugriff auf den DNS Record habe ich, nur was dann?

 

[blinddark]

Diese "alternative names" dürften die einfachste Lösung derzeit sein.
wie Synology das umsetzen will ...

Ich hatte das Thema mal beim Support angefragt und sie haben gesagt, dass die Entwickler es wohl für DSM7 planen. Schauen wir mal.

 

[blurrrr]

Und wie setze ich die alternative names?

Schau mal hier. Dort ist auch folgendes beschrieben: "Betreff Alternativer Name: Um ein Zertifikat für mehrere Domains zuzulassen, können Sie hier die anderen Domainnamen eingeben."

Viel Erfolg!

 

[Kono14]

@blurrrr:
Super vielen Dank!
Die Lösung war echt so einfach, und ich habe den Wald vor lauter Bäumen nicht mehr gesehen. Jetzt klappt es auf Hauptdomain und Subdomain mit HTTPS ohne Warnung.

 

[blurrrr]

Gern

 

[Fusion]

@Kono - und davor hast du vermutlich nur vergessen unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren dem jeweiligen Dienst das passende Zertifikat zuzuweisen.
"Systemvoreinstellung" ist das Zertifikat welches er nimmt, wenn einem Dienst nicht explizit ein anderes zugewiesen ist.

 

[Kono14]

@Fusion:
Nein, ich wollte das auf beiden Domains (Haupt und Sub) auf die DS weitergeleitet wird. Ein Trennen nach Diensten hätte mir da nichts gebracht. Ich wollte wirklich das ein Zertifikat für beide Domains gültig ist und das geht mit den "Alternate Names".
Die neue Methode mit den Wildcard Zertifikaten hört sich aber auch sehr interessant an. Bin gespannt ob das mit DSM7 wirklich kommt.

 

[Fusion]

Es können doch immer noch alle Domains auf deine DS weitergeleitet werden und dort von verschiedenen "Hosts" verarbeitet werden.
Nur muss jedem Host/Dienst halt das Zertifikat zugewiesen werden mit dem er auch aufgerufen wird, damit keine Fehlermeldung kommt.
Nur wenn ein einziger Dienst unter zwei Adressen erreichbar sein soll, dann geht das nur mit Subject Alternate Names (SAN).

 

[Kono14]

Ich möchte von beiden Domains auf die DSM-Oberfläche per HTTPS zugreifen, mehr nicht. Wie das gehen soll mit "unterschiedlichen Hosts" verstehe ich nicht. Ich habe beim Zertifikat gar keine Auswahlmöglichkeit "DSM-Oberfläche" als Dienst auszuwählen. Dort gibt es bei mir nur: Systemvoreinstellung, FTPS und Drive.
Insofern denke ich Alternate Names waren der einzige Weg meinen Wunsch zu erreichen (abgesehen von Wildcard). Ob und in wie weit das überhaupt sinnvoll ist, beide Domains auf die DSM-Oberfläche weiterzuleiten, steht auf einem anderen Blatt.

 

[Fusion]

Das ist richtig. Allerdings hast du diesen Anspruch "Ich möchte von beiden Domains auf die DSM-Oberfläche per HTTPS zugreifen" auch jetzt das erste Mal klar ausformuliert. Es war für mich aus den vorangegangen Postings nicht eindeutig ersichtlich was das Ziel ist.