Reverse Proxy und Let's Encrypt - Wie generiere ich die eierlegende Wollmichsau?

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Du schreibst auf der einen Seite, dass ein ping auf xyz.diskstation.me Deine externe IP liefert
auf der anderen Seite die "Der Ping auf die Subdomain liefert eine IP von IONOS"
Beides gibt's nicht ...
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
beides gibts, aber nicht gleichzeitig
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
subdomain - Zertifizierung über die DS
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.826
Punkte für Reaktionen
3.769
Punkte
468
Mal etwas konkreter:
Du hast eine Domain bei IONOS, sagen wir mal, die heißt example.com. Meinetwegen gibt es auch ein Zertifikat dafür. Der Name löst auf eine IONOS-IP auf mit einer rudimentären Homepage. Das ist die Ausgangslage bei den meisten Providern

Nun richtest du einen CNAME xyz.example.com ein, der auf xyz.synology.me zeigt, der wiederum auf anderem Weg mit deiner aktuellen, externen IP aktualisiert wird. Dafür gilt aber IONOS-Zertifikat nicht mehr, weil es halt nur für example.com (evtl. auch noch für www.example.com) gilt, aber nicht für xyz.example.com, es sei denn es wäre ein Wildcard-Zertifikat für *.example.com.

So, jetzt erst sehe ich deinen Beitrag #19. Wichtig ist, was unter "Betreff Alternativer Name" steht. Das sind die Namen für die das Zertifikat gilt.
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
subdomain - Zertifizierung über die DS
Wie?

Wenn ich ein neues Let's Encrypt Zertifikat anfordern will, dann sagt mir die DS, dass Wildcard-Zertifikate nur für Synology-DDNS akzeptiert werden.


Da ich ja noch gar nicht alle Subdomains kenne, die ich erstellen will....
Wie oft kann ich das Zertifikat bei Let's Encrypt denn ändern?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.826
Punkte für Reaktionen
3.769
Punkte
468
Wenn ich ein neues Let's Encrypt Zertifikat anfordern will, dann sagt mir die DS, dass Wildcard-Zertifikate nur für Synology-DDNS akzeptiert werden.
Das ist wahr. Aber du sagtest doch, du hättest auch eine eigene Domain bei IONOS.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Lass das momentan mit den Wildcard-Zertifikaten, erstell ein ganz stinknormales LE-Zertifikat für eine Subdomain, wenn das einmal funktioniert hat (über die DS, LE) , hast Du schon gewonnen, dann kannst Du mit Wildcard etc. herumprobieren
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Bekomme jetzt folgende Fehlermeldung beim Erstellen des Zertifikats:

1628020744959.png

Habe schon alle Regeln im Reverse Proxy entfernt, aber kommt immer wieder. :-(
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Der RP spielt keine Rolle ..., Port 80 offen nach außen ? wegen Zert LE ...
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
443 auch offen ? gib bei mir für LE-Erneuerung immer beide frei
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Na super!
Die maximale Anzahl an Zertifikatsanforderungen wurde erreicht. :-(
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Sie können maximal 10 Konten pro IP-Adresse pro 3 Stunden erstellen, Info lt. LE
So oft probiert ?
Wenn Sie ein Rate Limit erreicht haben, gibt es keinen Weg, diesen temporär zurückzusetzen. Sie müssen warten, bis das Rate Limit nach einer Woche abgelaufen ist. Wir benutzen ein bewegliches Fenster. Wenn Sie 25 Zertifikate am Montag ausstellen und 25 mehr am Freitag, so sind sie wieder ab Montag in der Lage, neue Zertifikate auszustellen.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Könnte Dir eine Teamviewer-Sitzung mit vorheriger Kontakt-Aufnahme per whatsapp - Telefonie (natürlich über WLAN) anbieten, oder falls vorhanden Skype für Business
Frühestens morgen, bin heute nicht mehr aufnahmefähig
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Könnte Dir eine Teamviewer-Sitzung mit vorheriger Kontakt-Aufnahme per whatsapp - Telefonie (natürlich über WLAN) anbieten.
Danke, das wird nicht nötig sein.

Ich habe wohl einmal zu oft versucht ein Zertifikat für eine Subdomain anzufordern, für die ich noch keinen CNAME-Eintrag generiert habe.
Ich habe zu spät gelesen, dass alle alternativen Namen über den Domainnamen aufgelöst werden müssen.
Mein Fehler, den ich nun mit einer Woche Wartezeit bezahle. :-(

Ich danke dir trotzdem sehr für deine Hilfe
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
So, ich habe mit nun ein Let's Encrypt Zertifikat erstellt und meine Subdomains als alternative Namen registriert.

Im ReverseProxy habe ich nun
Quelle: https://subdomain
Port: 443

Ziel: http://hostname des Netzwerkgeräts (Beispiel: http://192.168.33.1)
Port: Port der Anwendung (Beispiel: 17001)

eingetragen.

Dummerweise bekomme ich jetzt einen

400: Bad Request

Was mache ich falsch?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.894
Punkte für Reaktionen
1.514
Punkte
274
Versuchts mal mit localhost, statt mit der IP-Adresse.
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat