Sicherer Zugriff mit zwei Domains

[michi.hfm]

Verstehe. Aber wie hinterlege ich dann das Zertifikat für die zweite Domain?

 

[michi.hfm]

Theoretisch könnte ich ja auch den Aliasnamen von Synology nutzen und müsste keine Subdomains verwenden.

 

[alexhell]

Verstehe. Aber wie hinterlege ich dann das Zertifikat für die zweite Domain?

Siehe

Jeder Eintrag taucht auch bei Sicherheit -> Zertifikat auf. Da kannst du dann dem Eintrag eins hinzufügen.

 

[plang.pl]

Du kannst pro Subdomain nur ein Cert hinterlegen. Man könnte aber einen Trick anwenden.
Für Cert 1 gibst du z.B. der VideoStation eine Subdomain im Anmeldeportal.
Für Cert 2 gibts du z.B. der VideoStation zusätzlich einen eigenen Port und baust dir den Reverse Proxy dann selbst (extern 443 auf intern den Port, den du eben vergeben hast) -> hier kannst du das andere Zertifikat zuordnen

 

[alexhell]

Genau so hab ich es auch gemeint

 

[Benares]

Das Prinzip ist recht einfach.

Erst mal brauchst du im DNS Einträge, die alle auf deine externe IPv4 und/oder IPv6 der DS auflösen und auch Zertifikate dafür (*.deinedomain.de, *.deinesynologydomain.me)
Beispiel: irgendwas.deinedomain.de oder irgendwas.deinesynologydomain.me

Dann leitest du nur Port 443 im Router auf deine DS weiter

Dann legst du je einen ReverseProxy für jede Anwendung an, z.B.
https://irgendwas.deinedomain.de:443 -> http://localhost:80 oder
https://irgendwasanderes.deinedomain.de:443 -> http://localhost:<port> oder
https://nochirgendwasanderes.deinedomain.de:443 -> http://<andererinternerhost>:<port>
(In Anmeldeportal entsteht im Hintergrund ein ReverseProxy implizit auch, wenn du nur einen DNS-Namen bei den Standard-Apps als Domain einträgst.)

und ordnest jeweils unter Sicherheit, Zertifikate, Einstellungen jeweils das passende Zertifikat zu.

Verständlich?

 

[michi.hfm]

Ich denke soweit ja. Allerdings steht da dass die Domain bereits verwendet wird… vielleicht weil ich das bei Anwendungen hinterlegt habe?

 

[plang.pl]

Ja, jede Subdomain kann nur einmal verwendet werden.

 

[michi.hfm]

Ja werde ich das bei den Anwendungen noch brauchen oder werde ich durch das reverse proxy auf die Anwendungen gelangen können?

 

[plang.pl]

Ja kannst du auch, wenn du einen benutzerdefinierten Port bei der Anwendung einträgst und den Reverse Proxy darauf zeigen lässt.

 

[Benares]

vielleicht weil ich das bei Anwendungen hinterlegt habe?

Vermutlich. Wenn du bei den Standard-Apps eine Domain einträgst, kannst du nicht nochmal einen ReverseProxy draufsetzen.

 

[ctrlaltdelete]

Nein, das geht nicht.
Nimm halt nur eine Domain., bzw. xxx.synology.me und ein Wildcard Zertifikat.

 

[michi.hfm]

Danke euch.

 

[alexhell]

Vermutlich. Wenn du bei den Standard-Apps eine Domain einträgst, kannst du nicht nochmal einen ReverseProxy draufsetzen.

Doch das geht ohne Probleme....
siehe:




Ich habe die Domain eingetragen und zwei Reverse Proxy eingerichtet für den selben Dienst.

 

[Thonav]

Ok, gehts aber auch mit 2 unterschiedlichen Domains??
Das Problem ist dann ja auch, dass es bei 2 Domains auch 2 Zertifikate für eine Anwendung zugeordnet werden müsste, oder liege ich da falsch?

 

[alexhell]

Wieso sollte es nicht gehen? Solange du nicht zweimal die den selben FQDN nutzt, interessiert es ihn nicht wohin er leitet.
Siehe:

 

[plang.pl]

Genau. Das sollte problemlos funktionieren. So wie ich es auch in #24 beschrieben hatte.
Einfach mit selbst erstellten Proxies arbeiten und dann entweder auf den benutzerdefinierten Port oder den anderen RP leiten. Pro Proxy kann ich ein anderes Zertifikat zuordnen