SSL für Docker Webseiten

MoltoRondo

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
DS 220+ / DSM 7.2-64570 Update 3
Ich habe ein Synology NAS welches nicht ins Internet darf. Ich habe auf meiner Webseite ein lets-encrypt ssl Zertifikat mit WIldcard subdomain.
Wenn ich manuell über die Webseite von Synology die SSL Zertifikate einlese, funktioniert das problemlos. Ich möchte aber einen per cron tab anlegen um die Zertifikate die in einem Verzeichnis liegen per CLI zu importieren. Wie mache ich das?
Ich möchte, dass ich alle Docker Services per Subdomain ansteuern kann. Aktuell muss ich die Zertifikate nach jedem Erneuern manuell importieren.
 

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
145
Punkte für Reaktionen
40
Punkte
28
Ich verstehe irgendwie dein Problem nicht.
Dass die DS nicht ins Internet kann/darf, meinst du das nach außen? Die DS ist also getrennt vom Internet und auch kein Onlineupdate würde funktionieren? Oder meinst du, die DS ist vom Internet (extern) nicht erreichbar?

Warum willst du die Zertifikate in den Container importieren? Richte doch einfach einen Reverse Proxy für jede Webseite/Container ein und gut. Damit muss der Container wie z.B. Vaultwarden oder Apache kein Zertifikat mehr haben. Das macht die DS (Webserver).
 

MoltoRondo

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Also, Ja die NAS hat nur für Update Internet. Das schalte ich dann nach Bedarf frei. So ein mal im Monat Deaktiviere ich in der Firewall die Internetsperre und aktualisiere alles.
Ich lade dann bei Bedarf die LetsEncrypt Zertifikate vom Hoster in ein Verzeichnis auf dem NAS.
Ich verwende ja schon den Reverse Proxy von Synology. Darum muss ich ja die Zertifikate ins Synology reinladen.
 

crammaster

Benutzer
Mitglied seit
14. Jul 2024
Beiträge
187
Punkte für Reaktionen
42
Punkte
28
Moin,

warum möchtest du nicht, das deine DS dauerhaft Internet Zugang hat? Nutzt du Dienste wie z.B. Vaultwarden nicht von außerhalb? Ein dauerhafter Zugang würde ein paar Dinge vereinfachen.

LG
Marc
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.824
Punkte für Reaktionen
1.354
Punkte
174
@MoltoRondo: Ich verstehe die Konstellation auch nicht so recht? Meine DS hat auch keinen Port-seitigen Zugriff von außen, bei Bedarf über WireGuard VPN. Aber die "technische Kommunikation", bspw. Updates, ist möglich.

bei Bedarf die LetsEncrypt Zertifikate vom Hoster in ein Verzeichnis auf dem NAS

Was heißt für dich hier "bei Bedarf?". Zur netzinternen Nutzung von Docker + Zertifikaten einfach acme.sh installieren, das aktualisiert die Zertifikate ohne zusätzliche Ports öffnen zu müssen.

Werfe ich jetzt mal so in den Raum. Sollte ich dich falsch verstanden haben, wirst du es mir sagen. :)
 

MoltoRondo

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Kann ich acme.sh auch nutzen wenn mein Provider der mir php und Domain zur Verfügung bereits LetsEncrypt verwendet?
 

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
145
Punkte für Reaktionen
40
Punkte
28
Ja, kannst du. Es muss lediglich der Anbieter unterstützt werden und die API bereitstellen. Ansonsten bleibt dir nur noch die Nameserver zu tauchen (Dynv6, Cloudflare, IPv64 etc.) oder den Alias Mode, was eine DNS-Challenge darstellt. IN den letzten 3 Tagen habe ich schon etwas dazu geschrieben. Schau in meine Beiträge. Generell ist der Alias-Mode einfacher umzusetzen, weil bei z.B. bei Strato etwas komplizierter ist, den Key für den Mailserver zu erhalten. Es funktioniert zwar, nur du bekommst offiziell keinen Support und musst den Key "anders" auslesen ;). Bei anderen Anbietern kann man die Subdomain, TXT etc. 1:1 übernehmen, warum Strato das macht? Meine Meinung findest du auch in den Beiträgen und auch meine Empfehlung.

Ein praktisches Beispiel für den Alias-Mode hat damals EDvonSchleck incl. Befehle gepostet.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat