SSL Zertifikat

[Veraut]

Hallo,

ich habe ein Wordl4You SSL Zertifikat.

Hierbei erhalte ich folgende Zertifikate:


Diese habe ich nun auf der Synology eingespielt, jedoch wird immer noch "nicht sicher" im Chrome Browser angezeigt.
Habe ich da was falsch gemacht?



oder müßte das public Zertifikat in "intermediate certificate geladen werden werden ?

Herzlichen Dank für die Unterstützung
LG
Patrick

 

[Ronny1978]

Was gibst du denn als Adresse im Browser ein??? https://????

Wenn du mit https://192.168.x.xxx:5001 reingehst, wird das nix werden, weil die interne IP Adresse mit Sicherheit nicht im Zertifikat hinterlegt ist, oder?

 

[Veraut]

nein, ich gebe schon https://www.domäne.com ein

 

[*kw*]

@Vertraut: was @Ronny1978 meint, ein Zertifikat IN der DS ist für interne Zwecke, bspw. reverse proxy. Und wäre es ein Zugriff http://subdomain.mydomain.de.

Der Fehler kommt daher, weil das Zertifikat kein Zwischenzertifikat der Zertifizierungsstelle (bspw. Letsencrypt) "ca.cer" hat. Deins hat quasi den Status eines Privaten Certs.

Bei www.amazon.de kommt das Cert ja von Amazon, nicht von der DS.

Und ja, es mach noch einen Unterschied ob meinedomain.de oder *.meinedomain.de. Ohne wildcard Cert benötigst du für jede subdomain ein Eigenes.

Edit Ergänzung

 

[Ronny1978]

nein, ich gebe schon https://www.domäne.com ein

Das heißt, die Domain führt DIREKT zu deinem NAS?

 

[Hellraiser123]

Deins hat quasi den Status eines Privaten Certs.

Wie kommst du darauf? Wenn er das Zertifikat exportiert und importiert, dann kann er anhand der Dateien immer noch nachweisen, dass es der richtige Server ist. Du kannst bei dem Anbieter doch Zertifikate kaufen. Wieso sollten dieses nicht gültig sein?

Edit: Hast du das Zertifikat auch zugewiesen?

 

[Benares]

Mich würden mal die Eigenschaften des Zertifikat aus Sicht des Browsers interessieren. Da müsste man doch sehen, ob es überhaupt das richtige ist und was ihn daran stört.

 

[*kw*]

Wieso sollten dieses nicht gültig sein?

Das wollte ich damit nicht zum Ausdruck bringen. Ich habe mir mal "so was" erstellt, alternativ bei all-inkl (früher) die Certs runtergeladen. Das waren zwar keine Wildacard, aber auch nur die beiden Dateien. Damit gab's - trotz Zuweisung - "Mecker".

Wenn ich bspw. meine mit acme.sh generierten (issue LE DNS challenge) netcup Files runterlade und in die DS integriere, ist alles wunderbar. Dann bekomme ich auch die o.g. drei "geforderten" Dateien.

Edit: Fehlerteufel

 

[patrickn]

WIe lautet die genaue Fehlermeldung des Zertifikats im Browser?

Das Zwischenzertifikat gibts vom Zertifikatsaussteller. Kann aber meine ich auch im Zertifikat "fullchain" bereits enthalten sein, ansonsten muss es extra angegeben werden.

 

[Veraut]

Das heißt, die Domain führt DIREKT zu deinem NAS?

ja genau

also via router und reverse proxy zu der Syno Nas

 

[Veraut]

denke man muss die Syno neu starten, habe das soeben durchgeführt und scheint jetzt zu funktionieren

 

[Ronny1978]

also via router und reverse proxy zu der Syno Nas

Warum musst du da das Zertifikat in der Synology installieren? Mein RP sitzt auf der OpnSense vor der Synology und ich muss nix bei den Zertifikaten installieren.

 

[Benares]

Vermutlich nutzt er den RP der DS und da macht der die Umsetzung https->http. Nutz ich auch teilweise so.

 

[Hellraiser123]

Beantworte mal

Warum musst du da das Zertifikat in der Synology installieren?

Das Zertifikat muss halt da sein, wo die Anfrage verarbeitet wird. Und wenn er die DS als RP nutzt wie @Benares schreibt, dann muss es da eingerichtet werden.

 

[Ronny1978]

@Benares und @Hellraiser123 : Wenn Veraut den RP auf der Synology nutzt, ist das mit dem Zertifikat klar. Aber aus

also via router und reverse proxy zu der Syno Nas

bin ich eher davon ausgegangen, dass der RP auf dem Router sitzt. Aber: "Wissen ist Macht. Ich weiß nichts, macht nichts."

 

[Hellraiser123]

Ach das "zu der Syno Nas" habe ich überlesen. Ja das stimmt, das hört sich so an als ob der RP wo anders läuft