Subdomain und Zertifikat

[A T H]

Hallo,

ich möchte meine Diskstation (DS412+ mit DSM 5.2-5644 Update 2) hinter einer FritzBox 3370 mit einem vernünftigen Namen über das Internet nutzen. Dabei soll die unschöne Warnung bzgl. einer unsicheren Seite bei https-Verbindungen verschwinden. Nutzen möchte ich in ersten Linie die Filestation, den Cloud-Service und Zarafa Webaccess.

Also habe ich mir bei meinem Provider zu meiner Hauptdomain eine Subdomain angelegt und diese auf die Quickconnect-Adresse der Diskstation weiter geleitet. Als nächstes habe ich mir bei startssl ein Zertifikat für die Subdomain erstellt und auf der Diskstation importiert. Jedenfalls steht jetzt nach einigem Gefummel unter Systemsteuerung->Sicherheit->Zertifikat jetzt "Fremdzertifikat" ausgestellt für subdomain.hauptdomain.de.

Soweit so gut. Wenn ich aber nun https://subdomain.hauptdomain.de aufrufe kommt immer noch der nerviger Hinweis auf die unsichere Seite. Wenn ich diesen bestätige erhalte ich von meinem Provider den Hinweis das subdomain.hauptdomain.de nicht über https verfügbar ist. Rufe ich stattdessen http://subdomain.hauptdomain.de auf, wird die Adresszeile des Browsers durch die http-Quickconnect-Adresse ersetzt und kurz darauf durch https-Quickconnect-Adresse. Die explizite Angabe eines Ports 5001) ändert nichts.

Wenn ich den Webclient von Zarafa nutzen will sieht es ähnlich aus. https://subdomain.hauptdomain.de/webaccess/index.php führt wieder zur Meldung das subdomain.hauptdomain.de nicht über https verfügbar ist.

Wo ist mein Denkfehler? Kann es überhaupt funktionieren, da die Subdomain ja wieder auf die Quickconnect-Adresse umgeleitet wird?

Probiere ich das Ganz übrigens von meinem Rechner zu Hause aus bekomme ich wenigstens den netten Hinweis das das Zertifikat vertrauenswürdig und gültig ist - jedoch der Name des Zertifikats nicht mit dem Namen der Seite übereinstimmt.

Danke und Gruß
Andreas

 

[frankyst72]

Also habe ich mir bei meinem Provider zu meiner Hauptdomain eine Subdomain angelegt und diese auf die Quickconnect-Adresse der Diskstation weiter geleitet.

Warum? Was hat Quickconnect damit zu tun? Bietet Dein Provider einen DDNS-Dienst für Deine Domain an? Mein Provider do.de wird von der FritzBox bezüglich DDNS/aktueller WAN-Adresse upgedated.

 

[geimist]

Ich würde nicht auf die Quickconnect-Adresse UMLEITEN, sondern bei deinem Domainanbieter in den DNS-Einstellungen ein CNAME-Eintrag auf eine dynamische DNS-Adresse deiner Diskstation erstellen. Somit bleibt immer die korrekte Adresse ( https://subdomain.hauptdomain.de) in der Adressleiste und ist nativ nutzbar. Als DynDNS-Adresse kannst du auf den Synologydienst zurückgreifen.

 

[A T H]

Warum? Was hat Quickconnect damit zu tun?

Weil ich irgendwie mit der Subdomain wieder zur Diskstation muss. Der Provider bietet mir kein DDNS - aber nur mit der Subdomain bekomme ich ein Zertifikat.

 

[A T H]

Hallo Stephan,

das würde mir gefallen. Muß ich aber beim Provider nachfragen, denn in den für mich sichtbaren Einstellungsmöglichkeiten kann ich sowas nicht finden.

Das würde vermutlich das Problem mit der Meldung lösen, daß der Name des Zertifikats nicht zum Namen der Seite passt. Erklärt aber noch nicht, warum ich die Meldung erhalten das die Subdomain nicht unter https erreichbar ist.

 

[Fusion]

Vermutlich weil das Zertifikat auf subdomain.hauptdomain.de lautet, aber bei Aufruf von https://subdomain.hauptdomain.de der Webserver unter der quickconnect Adresse antwortet.

Der saubere Weg ist wie schon erwähnt ein Canonical Name (CNAME) Eintrag in den DNS Einstellungen der Domain.
https://subdomain.hauptdomain.de soll im Browser benutzt werden
CNAME ist auf die dyndns.domain.de gesetzt
subdomain.hauptdomain.de ist das Zertifikat und auch der Hostname deiner DS ist in der Systemsteuerung (Externer Zugriff, Erweitert) auf diesen Namen gesetzt

Eine dyndns kannst du dir auch via selfhost, no-ip oder andere Anbieter holen.

Wie sind deine Einstellungen unter Netzwerk, DSM-Einstellungen (system webserver für DSM) und unter Webdienste (user webserver, z.B. für Zarafa)?

 

[A T H]

Wie sind deine Einstellungen unter Netzwerk, DSM-Einstellungen (system webserver für DSM) und unter Webdienste (user webserver, z.B. für Zarafa)?

DDNS habe ich bereits über spdns.de. Die Einstellungen unter Netzwerk->DSM-Einstellungen habe ich nicht geändert. Einen speziellen Eintrag für "webserver für DSM" habe ich nicht. Bei den Webdiensten ist die Webstation aktiviert sowie die HTTPS-Verbindungen. Einen gesonderte HTTPS-Port habe ich nicht definiert.

 

[Fusion]

Das sollte nur darauf hinweisen, dass es sich um 2 verschiedene Webserver handelt. Einmal die Einstellungen unter Netzwerk - DSM, die beziehen sich auf den Webserver, der den DSM ausliefert. Die Einstellungen unter Webdienste beziehen sich auf den Webserver der die Nutzerseiten ausliefert.
Du hast also Standard-Ports und Haken bei https, sonst ist bei den beiden Einstellungsseiten nichts angehakt? (nur um sicher zu gehen, da ich nicht weiß, was der Auslieferungszustand ist)

Du hast also schon einen alternativen DDNS angelegt. Gut.
Bist du sonst noch weitergekommen hinsichtlich CNAME oder anderer Tests?
Bei welchem Provider hast du denn deine Domain in Verwaltung?

 

[A T H]

Genau. Geändert ist nichts. Bzgl. CNAME warte ich noch Antwort des Providers. Vor Morgen wird das bestimmt nichts werden. Der Anbieter ist die Internetagentur WAS. So dringend ist es auch nicht. Es funktioniert ja eigentlich alles. Ich kann über das Internet zugreifen - nur der "Name" ist eben nicht schön und der Schönheitsfehler mit der "nicht sicheren" Webseite.

 

[Fusion]

Welches Produkt hast du bei denen gebucht?

Die arbeiten ja teils mit cPanel.
Kannst mal schauen, ob z.B. https://www.youtube.com/watch?v=jtp3xyxOtjs helfen könnte.

 

[A T H]

Hallo Fusion,

ich habe das BH-3 Paket. Die Verwaltung erfolgt über Confixx. Mittlerweile hat sich aber auch der Support gemeldet. Schnell wie immer bei denen. Ich selber kann die Einträge nicht verwalten - machen die aber gerne für mich. Man hat mir auch angeboten mir einen DNS-Account anzubieten - dann sind die Einträge aber ohne Gewähr. Ich werde mich am Wochenende noch mal mit dem Thema befassen und mich dann entscheiden.

Gruß
Andreas

 

[Fusion]

Ah confixx, da war mein Kurzzeitgedächtnis mal voll daneben.

Da sich deine sub.domain.tld und deine spdns.domain.tld ja vermutlich eher selten bis gar nicht ändern kannst du die das ruhig eintragen lassen.
Falls sie dir kostenfrei Zugriff auf die DNS-Konfig geben, auch ok. Ist kein Hexenwerk.

Gib uns ein Update, wenn es Neuigkeiten gibt.

 

[A T H]

Hallo,

hier ein kurzes Update: es funktioniert.

Was soll ich mehr schreiben. Nachdem ich den Zugriff auf das Domain Verwaltungstools hatte, habe ich den CNAME Eintrag gemacht und auf spdns weiter geleitet. Gleichzeitig habe ich die Weiterleitung der Subdomain bei der "normalen" Serververwaltung gelöscht. Dann hat es nur noch ein wenig gedauert bis es funktionierte. Kein Gemeckere mehr bzgl. des Zertifikates.

Ein kleiner Schönheitsfehler ist vielleicht noch, daß nach Aufruf von subdomain.hauptdomain.de lediglich die Meldung kommt, daß "Webstation" aktiviert wurde und sonst Nichts. Na mal sehen: Vielleicht installiere ich eine kleine Webseite.

Gruß
Andreas

 

[Fusion]

Der "Schönheitsfehler" ist so gewollt.
Auf der DS laufen ja zwei Webserver gleichzeitig. Einer liefert das DSM aus, der andere Benutzerseiten (owncloud, zarafa, etc.).
Letzterer ist derjenige der in der Systemsteuerung mit "Webdienste" betitelt ist.
Solange die Webdienste nicht aktiv sind leitet die DS alle Anfragen an diesen Server auf den anderen Webserver weiter. Man landet also automatisch auf dem DSM.
Sind die Webdienste aktiv gibt es diese automatische Weiterleitung nicht mehr und es werden stattdessen die Seiten unterhalb der Freigabe /web ausgeliefert, je nach Anfrage URL.

Der DSM ist dann eben (hoffentlich nur) per https://subdomain.hauptdomain.de:xxxxx erreichbar (Port 5001 bzw nach außen besser noch auf einen anderen Port umgelegt im Router). Oder nach außen gar nicht und nur per VPN.
Darüber hinaus liefern die Webdienste eben auf http (port 80) oder https (port 443) ohne Portangabe nach dem Domainnamen Seiten aus, solange diese Ports im Router weitergeleitet sind.
Willst du Dienste z.B. ssl verschlüsselt (also https) auf anderen Ports erreichen ist die Portangabe zwingend nötig.

Solange du nur den DSM von außen erreichen willst könntest du natürlich auch die Webdienste wieder deaktivieren und nur den System Webserver betreiben (Systemsteuerung unter Externer Zugriff glaube ich).
Oder du suchst mal im Forum nach Proxypass. Man kann nämlich auch eine Umleitung selber bauen. Nach außen hin würde man z.B. https://sub.domain.tld/dsm (oder ein weniger auffälliger Namen) aufrufen und die Webdienste würden dann intern umgeleitet auf den anderen Webserver z.B. https://localhost:5001
Damit hätte man nach außen nur Port 443 offen und könnte trotzdem den DSM erreichen. (So habe ich es z.B. am Laufen). Das ist die Lösung die ich von der Sicherheit zwischen die beiden obigen packen würde, also https://sub.domain.tld:5001 << https://sub.domain.tld:45643 << https://sub.domain.tld/dsm << VPN

 

[Frogman]

Naja, das ist eigentlich kein Fehler, auch kein schöner... - Du musst dann nur subdomain.domain.de:5001 aufrufen, um direkt zum DSM zu gelangen, wie es sonst auch im LAN mit der IP-Adresse ist.

 

[Stefan22Meyer]

Probiere doch einfach mal die Anleitung von iDomix.
Hier der Link zu seiner Webseite.

Viel Spaß beim ausprobieren und testen.

Bei mir hat es wunderbar geklappt.

 

[Frogman]

Warum - wir haben auch hier um Forum sehr gute Anleitungen, auch für StartSS, bspw. jüngst diese hier.
Zumal in dem erwähnten Video wohl immer noch der sehr bedenkliche Hinweis enthalten ist, man solle sich von StartCOM seinen privaten Key erzeugen lassen! Unsinn - einen privaten Key erstellt man tunlichst daheim auf seinem Rechner und gibt den auch nie heraus.