Reverse Proxy und Let's Encrypt - Wie generiere ich die eierlegende Wollmichsau?

[stulpinger]

Du schreibst auf der einen Seite, dass ein ping auf xyz.diskstation.me Deine externe IP liefert
auf der anderen Seite die "Der Ping auf die Subdomain liefert eine IP von IONOS"
Beides gibt's nicht ...

 

[stulpinger]

beides gibts, aber nicht gleichzeitig

 

[stulpinger]

subdomain - Zertifizierung über die DS

 

[Benares]

Mal etwas konkreter:
Du hast eine Domain bei IONOS, sagen wir mal, die heißt example.com. Meinetwegen gibt es auch ein Zertifikat dafür. Der Name löst auf eine IONOS-IP auf mit einer rudimentären Homepage. Das ist die Ausgangslage bei den meisten Providern

Nun richtest du einen CNAME xyz.example.com ein, der auf xyz.synology.me zeigt, der wiederum auf anderem Weg mit deiner aktuellen, externen IP aktualisiert wird. Dafür gilt aber IONOS-Zertifikat nicht mehr, weil es halt nur für example.com (evtl. auch noch für www.example.com) gilt, aber nicht für xyz.example.com, es sei denn es wäre ein Wildcard-Zertifikat für *.example.com.

So, jetzt erst sehe ich deinen Beitrag #19. Wichtig ist, was unter "Betreff Alternativer Name" steht. Das sind die Namen für die das Zertifikat gilt.

 

[Berndi]

subdomain - Zertifizierung über die DS

Wie?

Wenn ich ein neues Let's Encrypt Zertifikat anfordern will, dann sagt mir die DS, dass Wildcard-Zertifikate nur für Synology-DDNS akzeptiert werden.


Da ich ja noch gar nicht alle Subdomains kenne, die ich erstellen will....
Wie oft kann ich das Zertifikat bei Let's Encrypt denn ändern?

 

[Benares]

Wenn ich ein neues Let's Encrypt Zertifikat anfordern will, dann sagt mir die DS, dass Wildcard-Zertifikate nur für Synology-DDNS akzeptiert werden.

Das ist wahr. Aber du sagtest doch, du hättest auch eine eigene Domain bei IONOS.

 

[stulpinger]

Lass das momentan mit den Wildcard-Zertifikaten, erstell ein ganz stinknormales LE-Zertifikat für eine Subdomain, wenn das einmal funktioniert hat (über die DS, LE) , hast Du schon gewonnen, dann kannst Du mit Wildcard etc. herumprobieren

 

[Berndi]

Bekomme jetzt folgende Fehlermeldung beim Erstellen des Zertifikats:



Habe schon alle Regeln im Reverse Proxy entfernt, aber kommt immer wieder. :-(

 

[stulpinger]

Der RP spielt keine Rolle ..., Port 80 offen nach außen ? wegen Zert LE ...

 

[Berndi]

Der RP spielt keine Rolle ..., Port 80 offen nach außen ? wegen Zert LE ...

Ja

 

[stulpinger]

443 auch offen ? gib bei mir für LE-Erneuerung immer beide frei

 

[Berndi]

Na super!
Die maximale Anzahl an Zertifikatsanforderungen wurde erreicht. :-(

 

[Berndi]

443 auch offen ? gib bei mir für LE-Erneuerung immer beide frei

Ja, 443 ist auch offen

 

[stulpinger]

Sie können maximal 10 Konten pro IP-Adresse pro 3 Stunden erstellen, Info lt. LE
So oft probiert ?
Wenn Sie ein Rate Limit erreicht haben, gibt es keinen Weg, diesen temporär zurückzusetzen. Sie müssen warten, bis das Rate Limit nach einer Woche abgelaufen ist. Wir benutzen ein bewegliches Fenster. Wenn Sie 25 Zertifikate am Montag ausstellen und 25 mehr am Freitag, so sind sie wieder ab Montag in der Lage, neue Zertifikate auszustellen.

 

[stulpinger]

Könnte Dir eine Teamviewer-Sitzung mit vorheriger Kontakt-Aufnahme per whatsapp - Telefonie (natürlich über WLAN) anbieten, oder falls vorhanden Skype für Business
Frühestens morgen, bin heute nicht mehr aufnahmefähig

 

[Berndi]

Könnte Dir eine Teamviewer-Sitzung mit vorheriger Kontakt-Aufnahme per whatsapp - Telefonie (natürlich über WLAN) anbieten.

Danke, das wird nicht nötig sein.

Ich habe wohl einmal zu oft versucht ein Zertifikat für eine Subdomain anzufordern, für die ich noch keinen CNAME-Eintrag generiert habe.
Ich habe zu spät gelesen, dass alle alternativen Namen über den Domainnamen aufgelöst werden müssen.
Mein Fehler, den ich nun mit einer Woche Wartezeit bezahle. :-(

Ich danke dir trotzdem sehr für deine Hilfe

 

[Berndi]

So, ich habe mit nun ein Let's Encrypt Zertifikat erstellt und meine Subdomains als alternative Namen registriert.

Im ReverseProxy habe ich nun
Quelle: https://subdomain
Port: 443

Ziel: http://hostname des Netzwerkgeräts (Beispiel: http://192.168.33.1)
Port: Port der Anwendung (Beispiel: 17001)

eingetragen.

Dummerweise bekomme ich jetzt einen

400: Bad Request

Was mache ich falsch?

 

[Thonav]

Versuchts mal mit localhost, statt mit der IP-Adresse.

 

[Berndi]

Versuchts mal mit localhost, statt mit der IP-Adresse.

Wäre localhost denn nicht die Diskstation selbst?

Ich will ja an andere Server im Heimnetz verweisen.

 

[Berndi]

@stulpinger , hast du vielleicht eine Idee?