Probleme mit dem Sicherheitszertifikat

[pingopilot]

Wenn ich oder ein beliebiger Nutzer meinen Server von extern aufrufe, dann kommt immer eine Sicherheitszertifikatwarnung. Die kann man natürlich ignorieren und auf den Webserver zugreifen, nur macht das natürlich keinen guten Eindruck.
Wie kann ich das abstellen?
Danke

 

[frankyst72]

Hast Du eine eigene Domäne? Dann kannst Du Dir für diese ein von einer öffentlich CA belaubigtes Zertifikat kaufen, oder über Let's Encrypt (kostenlos) erstellen (ein selbst ausgestelltes Zertifikat, wie Du es hast, reicht nicht aus). Das Zertifkat wird dann auf der DS hinterlegt und die Zertifikatswarnungen kommen nicht mehr.
Wenn Du nur DynDNS hast, Kannst Du auch versuchen über Let'sEncrypt ein Zertifikat zu bekommen, aber leider sind nach meiner Erfahrung, die Zertifikate für DynDNS-Adressen schon vergriffen (Let'sEncrypt vergibt pro Domain nur eine bestimmte Anzahl).

Let'sEncypt ist seit DSM 6 in DSM integriert > Sytemsteuerung > Sicherheit > Zertifikate.

 

[pingopilot]

Tja. Ich nutze DynDNS bei noip.com und bekomme wohl kein Zertifikat mehr.
Bedeutet es nun, dass jeder mit dieser Sicherheitswarnung leben muss oder gibt es noch einen Workaround?
Danke

 

[frankyst72]

was hälst Du davon Dir eine eigene Domäne zu kaufen? Die gibt es für eine Hand voll Euros pro Jahr.

Du kannst vermutlich auch das selbst ausgestellte Zertifikat auf den betroffenen Geräten als vertrauenswürdig importieren. Das hilft halt nicht bei "Fremdgeräten".

 

[pingopilot]

was hälst Du davon Dir eine eigene Domäne zu kaufen? Die gibt es für eine Hand voll Euros pro Jahr.

Du kannst vermutlich auch das selbst ausgestellte Zertifikat auf den betroffenen Geräten als vertrauenswürdig importieren. Das hilft halt nicht bei "Fremdgeräten".

Tja. Ich habe noch eine eigene Homepage. Das Upgrade mit Php und SQL wäre halt langfristig teuer. Deswegen wäresuche ich eine Billiglösung.
Na ja, wenn niemand eine Lösung weiß, dann müssen die nur 60 User halt immer die Sicherheitswarnung wegklicken. Das ist m.E. besser, als 100 Euro Mehrkosten im Jahr.

 

[frankyst72]

Wenn es hier um eine Firma geht und 100 definierte Nutzer, dann kann man ggf. administrativ das selbst erstellte Zertifikat verteilen. Wobei sich für eine Firma ein ordentliches Zertifikat schon rentiert.

 

[iLion]

Den Satz mit der Homepage verstehe ich so, dass Du eine Domäne (www.deinefirma.de) bereits besitzt. Dann mach doch einen CNAME Eintrag in der Art: deinediskstation.deinefirma.de -> deinnoipname.zapto.org. Dann auf deinediskstation.deinefirma.de ein Let's Encrypt Zertifikat erzeugen. Und damit das ganze intern noch klappt, auf der DS einen DNS-Server installieren, der den Namen mit der internen IP auflöst.

 

[pingopilot]

Ne, ist ein privater Stammbaumserver (Ahnenforschung) und ein privates MediaWiki-Projekt.
Verteile ich dann das vorhandene Synology-Zertifikat (mit Zertifikat exportieren) oder mach ich ein irgendwie ein privates neues Zertifikat dafür?

 

[pingopilot]

Den Satz mit der Homepage verstehe ich so, dass Du eine Domäne (www.deinefirma.de) bereits besitzt. Dann mach doch einen CNAME Eintrag in der Art: deinediskstation.deinefirma.de -> deinnoipname.zapto.org. Dann auf deinediskstation.deinefirma.de ein Let's Encrypt Zertifikat erzeugen. Und damit das ganze intern noch klappt, auf der DS einen DNS-Server installieren, der den Namen mit der internen IP auflöst.

Hmmm, es ist ein wenig komplizierter. Ich habe eine private Homepage www.meinehomepage.de (die ich nicht als PHP/SQL-Server wegen der hohen Kosten nutze) und eine noip-Adresse www.xyz.zapto.org.
Die noip-Adresse zeigt per DDNS auf die DS412+ hier und hier läuft der Webserver etc.
Wenn man also https://xyz.zapto.org/MediaWiki/index.php eingibt, kommt man (nach der Sicherheitswarnung) auf meine MediaWiki-Startseite
Ebenso wird man bald durch Eingabe von https://xyz.zapto.org/TNG/index.php (nach der Sicherheitswarnung) auf den TNG-Stammbaumserver gelangen.

 

[iLion]

Egal wie, webhostlist spuckt als preiswertesten Anbieter für eine .de Domain knapp 2 Euro im Jahr aus. Das sollte Dir die Möglichkeit anschliessend ein kostenloses Zertifikat zu erhalten Wert sein.

 

[pingopilot]

Eigentlich ja. Kann ich meine noip-Adresse xyz.zapto.org dort einfach registrieren?

Alternativ habe ich jetzt mal das Synology-Zertifikat exportiert. Welche der 4 Dateien muss der User denn importieren/installieren?
Danke

 

[heavy]

also wenn du dir eine eigene De domain holen willst dann rate ich dir eher zu einem anbieter der dann auch den dyndns dienst stellt. Denn sonst hast du wieder die komplikation mit dem cname eintrag.

 

[iLion]

Komplikationen bekommt ja ja nur, wenn die Second-Level-Domain direkt auf die DiskStation zeigen soll. Ansonsten geht cname für alles und gerade für das, was hier gewünscht ist. Nämlich einen Server unter seiner Adresse ansprechen. Dafür würde ich nie "domainname.tld" nehmen.

 

[pingopilot]

also wenn du dir eine eigene De domain holen willst dann rate ich dir eher zu einem anbieter der dann auch den dyndns dienst stellt. Denn sonst hast du wieder die komplikation mit dem cname eintrag.

Könnt Ihr mir einen Anbieter empfehlen bzw. wie finde ich den.
(muss bei Webhostlist DNSSec stehen??)
Danke

 

[frankyst72]

mein Provider ist do.de

 

[pingopilot]

Na, dann hab ich mich jetzt mal bei do.de rangewagt und eine schöne domain beantragt.

Nun leite ich diese domain auf meinen Synology Server einfach um und beantrage das billigste Zertifikat bei do.de oder bei LetsEncrypt dafür?
In meinen Fritzbox 7390-Einstellungen stelle ich die neue Umleitung wohl auch ein.

Muss ich die alte Umleitung besser rausnehmen oder ist das egal?

 

[pingopilot]

Schon bei der Umleitung habe ich leider Probleme:
Ich habe bei do.de eine FlexDNS für die domain aktiviert.
Bei meiner DS werde ich nun leider nach einem Serviceanbieter gefragt. Den habe ich mit Anpassen erstellt.
Passt das so? (bei Hostname habe ich nun natürlich meine domain mit www.xyz.de eingetragen)
Danke





Ich erreiche aktuell meine index.html und alle weitere Seiten. Schon mal gut!
Das funktioniert aber wohl aktuell nur, weil ich die Webweiterleitung auf meine aktuelle IP-Nummer angegeben habe. Die wird sich aber natürlich irgendwann ändern.

In rot steht leider "Fehler bei der Serververbindung", also wahrscheinlich funktioniert die FlexDNS nicht.Grrr.

 

[bitrot]

Warum lässt Du das nicht von Deiner Fritz!Box erledigen? Für die Fritz!Box gibt es von do.de eine bebilderte Anleitung.

 

[pingopilot]

Guter Tipp. Das scheint zu funktionieren. Danke.
Wie gehe ich nun mit dem Sicherheitszertifikat vor?
Nehme ich das Billigste für 14.90 pro Jahr. Reicht das?

 

[bitrot]

Ja, das reicht. Alternativ geht es auch kostenlos über Let's Encrypt oder StartSSL, dazu gibt es im Forum einige Threads.