SSL für Docker Webseiten

[MoltoRondo]

DS 220+ / DSM 7.2-64570 Update 3
Ich habe ein Synology NAS welches nicht ins Internet darf. Ich habe auf meiner Webseite ein lets-encrypt ssl Zertifikat mit WIldcard subdomain.
Wenn ich manuell über die Webseite von Synology die SSL Zertifikate einlese, funktioniert das problemlos. Ich möchte aber einen per cron tab anlegen um die Zertifikate die in einem Verzeichnis liegen per CLI zu importieren. Wie mache ich das?
Ich möchte, dass ich alle Docker Services per Subdomain ansteuern kann. Aktuell muss ich die Zertifikate nach jedem Erneuern manuell importieren.

 

[MoltoRondo]

Ping

 

[Janüscht]

Ich verstehe irgendwie dein Problem nicht.
Dass die DS nicht ins Internet kann/darf, meinst du das nach außen? Die DS ist also getrennt vom Internet und auch kein Onlineupdate würde funktionieren? Oder meinst du, die DS ist vom Internet (extern) nicht erreichbar?

Warum willst du die Zertifikate in den Container importieren? Richte doch einfach einen Reverse Proxy für jede Webseite/Container ein und gut. Damit muss der Container wie z.B. Vaultwarden oder Apache kein Zertifikat mehr haben. Das macht die DS (Webserver).

 

[MoltoRondo]

Also, Ja die NAS hat nur für Update Internet. Das schalte ich dann nach Bedarf frei. So ein mal im Monat Deaktiviere ich in der Firewall die Internetsperre und aktualisiere alles.
Ich lade dann bei Bedarf die LetsEncrypt Zertifikate vom Hoster in ein Verzeichnis auf dem NAS.
Ich verwende ja schon den Reverse Proxy von Synology. Darum muss ich ja die Zertifikate ins Synology reinladen.

 

[crammaster]

Moin,

warum möchtest du nicht, das deine DS dauerhaft Internet Zugang hat? Nutzt du Dienste wie z.B. Vaultwarden nicht von außerhalb? Ein dauerhafter Zugang würde ein paar Dinge vereinfachen.

LG
Marc

 

[*kw*]

@MoltoRondo: Ich verstehe die Konstellation auch nicht so recht? Meine DS hat auch keinen Port-seitigen Zugriff von außen, bei Bedarf über WireGuard VPN. Aber die "technische Kommunikation", bspw. Updates, ist möglich.

bei Bedarf die LetsEncrypt Zertifikate vom Hoster in ein Verzeichnis auf dem NAS

Was heißt für dich hier "bei Bedarf?". Zur netzinternen Nutzung von Docker + Zertifikaten einfach acme.sh installieren, das aktualisiert die Zertifikate ohne zusätzliche Ports öffnen zu müssen.

Werfe ich jetzt mal so in den Raum. Sollte ich dich falsch verstanden haben, wirst du es mir sagen.

 

[MoltoRondo]

Kann ich acme.sh auch nutzen wenn mein Provider der mir php und Domain zur Verfügung bereits LetsEncrypt verwendet?

 

[Janüscht]

Ja, kannst du. Es muss lediglich der Anbieter unterstützt werden und die API bereitstellen. Ansonsten bleibt dir nur noch die Nameserver zu tauchen (Dynv6, Cloudflare, IPv64 etc.) oder den Alias Mode, was eine DNS-Challenge darstellt. IN den letzten 3 Tagen habe ich schon etwas dazu geschrieben. Schau in meine Beiträge. Generell ist der Alias-Mode einfacher umzusetzen, weil bei z.B. bei Strato etwas komplizierter ist, den Key für den Mailserver zu erhalten. Es funktioniert zwar, nur du bekommst offiziell keinen Support und musst den Key "anders" auslesen . Bei anderen Anbietern kann man die Subdomain, TXT etc. 1:1 übernehmen, warum Strato das macht? Meine Meinung findest du auch in den Beiträgen und auch meine Empfehlung.

Ein praktisches Beispiel für den Alias-Mode hat damals EDvonSchleck incl. Befehle gepostet.