Synology Zertifikat, Web-Zugriff und DSM-Einstellungen

[mezzopiano]

Hallo,

vorweg muss ich sagen, dass ich kein wirkliches Problem habe, aber auf der Suche nach einer Erklärug für folgendes Phänomen bin:

Greift ein User erstmals per Web-Browser auf die DS zu, erhält er die Nachricht, dass die Verbindung möglicherweise unsicher sei und ob er ihr dennoch vertrauen will. Das will ich auf jeden Fall verhindern, da sie Viele nur unnötig verunsichert. Also habe ich bei StartSSL ein kostenloses Class 1-Zertifikat erstellt. Es funktioniert auch sowohl bei http- wie https-Zugriff korrekt.

Nun aber meine eigentliche Frage: aktiviere ich in der Systemsteuerung -> Netzwerk -> DSM-Einstellungen "HTTP-Verbindungen automatisch zu HTTPS umleiten", ist die DS nicht mehr per Web-Zugriff erreichbar. Mit dem "unsicheren" Synology-Zertifikat gibt es dieses Problem nicht.

Ist das normal, gibt es dafür eine logische Erklärung?

Viele Grüße und frohe Ostern,

mezzopiano

 

[ottosykora]

StartSSL ein kostenloses Class 1-Zertifikat erstellt. Es funktioniert auch sowohl bei http- wie https-Zugriff korrekt.

wie hast du das denn festgestellt?

 

[mezzopiano]

wie hast du das denn festgestellt?

Verstehe Deine Frage nicht. Ich habe oben doch exakt beschrieben, dass es funktioniert, und zwar OHNE die Meldung, dass mit dem Zertifikat ggf. etwas nicht in Ordnung ist.

Entweder rufe ich

http://domain.de

oder

https://domain.de

auf. Der Browser-Cache ist natürlich zwischendurch geleert, oder ich nutze einen Client an einem ganz anderen Standort.

 

[g202e]

Es funktioniert auch sowohl bei http- wie https-Zugriff korrekt..

Nach meinem Verständnis spielt ein Zertifikat bei unverschlüsseltem Zugriff(http) KEINE Rolle. Ich vermute mal, dass ottosykora das genauso sieht.

Ist das normal, gibt es dafür eine logische Erklärung?

Nein, das ist nicht normal. Ich habe diese Einstellung genauso gesetzt und es funktioniert; allerdings habe ich kein externes Zertifikat. Ich klicke beim ersten Mal die Warnung weg und akzeptiere das (vermeintliche) Risiko. Man muss halt Prioritäten setzen!
Wenn du diesen Weg nicht gehen magst, solltest du weitergehende Informationen rausrücken und wir finden vielleicht eine Lösung?

 

[ottosykora]

ja genau, ich habe mich einfach gewundert wie man feststellen kann dass der Zertifikat auch bei http korrekt funktioniert ;-)


Leider wissen wir nicht was du meinst es ist nicht erreichbar, also welche Fehler bekommst du und von wo kommen die etc.

 

[mezzopiano]

Nach meinem Verständnis spielt ein Zertifikat bei unverschlüsseltem Zugriff(http) KEINE Rolle. Ich vermute mal, dass ottosykora das genauso sieht.

Ok, da habe ich mich missverständlich ausgedrückt. Ich wollte nur sagen, dass http und https mit dem eigenen Zertifikat problemlos funktionieren, es also weder Fehler noch irgendwelche Meldungen verursacht.

Nein, das ist nicht normal. Ich habe diese Einstellung genauso gesetzt und es funktioniert; allerdings habe ich kein externes Zertifikat.

Bei mir ist mit dem Original-Synology-Zertifikat und aktiviertem "HTTP-Verbindungen automatisch zu HTTPS umleiten" ein http-Aufruf auch problemlos nach https umgeleitet worden. Aber eben mit der bekannten "Fehlermeldung".

Ich klicke beim ersten Mal die Warnung weg und akzeptiere das (vermeintliche) Risiko. Man muss halt Prioritäten setzen!

Die Meldung will ich unbedingt vermeiden, daher mein Aufwand mit dem eigenen Zertifikat. Auf die DS können später über 200 Lehrer, deren Schüler sowie deren Eltern Zugriff haben. Du kannst Dir sicher vorstellen, welche Flut von Anfragen nach der "Fehlermeldung" auf mich zukäme.

Wenn du diesen Weg nicht gehen magst, solltest du weitergehende Informationen rausrücken und wir finden vielleicht eine Lösung?

Meine Lösung bisher ist, dass ich "HTTP-Verbindungen automatisch zu HTTPS umleiten" nicht aktiviere. Denn ich habe ja schon eingangs geschrieben, dass ich kein wirkliches Problem habe.

Ich habe es erneut versucht. Beim Aufruf http://meine.domain.de kommt nach einiger Zeit der "Fehler: Netzwerk-Zeitüberschreitung". In der Adressleiste des Browsers steht dann allerdings die korrekte https-Adresse, nämlich https://meine.domain.de:Port xxxx. Auch mehrfaches "Nochmals versuchen" bringt keinen Erfolg, ich komme nicht auf die DS.

Ich wüsste einfach gerne, warum es mit dem eigenen Zertifikat nicht klappt. Vielleicht hat ja jemand von Euch eine Idee.

 

[g202e]

Ich wollte nur sagen, dass http und https mit dem eigenen Zertifikat problemlos funktionieren, es also weder Fehler noch irgendwelche Meldungen verursacht.

Dann MUSS ich nochmal sagen, dass das Zertifikat bei http KEINE Rolle spielt!

Die Meldung will ich unbedingt vermeiden....Auf die DS können später über 200 Lehrer, deren Schüler sowie deren Eltern Zugriff haben.

Das ist dann wirklich nachvollziehbar.

Meine Lösung bisher ist, dass ich "HTTP-Verbindungen automatisch zu HTTPS umleiten" nicht aktiviere. Denn ich habe ja schon eingangs geschrieben, dass ich kein wirkliches Problem habe.

Könnte aber sein, dass du welche bekommst, wenn du 200 Leute unverschlüsselt zugreifen lässt...

Ich habe es erneut versucht. Beim Aufruf http://meine.domain.de kommt nach einiger Zeit der "Fehler: Netzwerk-Zeitüberschreitung". In der Adressleiste des Browsers steht dann allerdings die korrekte https-Adresse, nämlich https://meine.domain.de:Port xxxx.

Wir sollten nochmal darüber reden, was die Leute denn überhaupt auf der DS machen wollen/sollen. Ohne Portangabe dürftest du nicht viel anstellen können auf der DS, außer evtl. eine Website anschauen...
Das wird kaum der Sinn sein, oder?

 

[mezzopiano]

Könnte aber sein, dass du welche bekommst, wenn du 200 Leute unverschlüsselt zugreifen lässt...

Deswegen würde ich ja gerne http automatisch nach https umleiten lassen. Nur wie? Aber von unserem Klientel drohnt glücklcherweise eher wenig Gefahr.

Wir sollten nochmal darüber reden, was die Leute denn überhaupt auf der DS machen wollen/sollen. Ohne Portangabe dürftest du nicht viel anstellen können auf der DS, außer evtl. eine Website anschauen...
Das wird kaum der Sinn sein, oder?

Die Schule hat eine eigene Website. Auf der DS sollen primär Fotos und Videos liegen, die betrachtet und heruntergeladen werden können. Die User bekommen ausschließlich Leserechte.

 

[g202e]

Also Photostation? Dann solltest du direkt in den Einstellungen der PS einen selbstdefinierten Port für die verschlüsselte Verbindung festlegen und auch nur diesen im Router weiterleiten.
Oder doch Filestation? Auch dieser lässt sich ein eigener https-Port zuweisen und wenn du (nur)nur diesen durchlässt, sollte das auch funktionieren.
Dazu sollte diese "HTTP-Verbindungen automatisch zu HTTPS umleiten"- Einstellung nicht erforderlich sein.

 

[ottosykora]

Deswegen würde ich ja gerne http automatisch nach https umleiten lassen. Nur wie?

also normalerweise geht das prima.

Aber in deinem Fall frage ich mich welchen Dienst versuchst du zu erreichen auf der DS?
Willst du etwa Photo Station erreichen?
Dann hat es folgende Funktion: die Anfragen http werden normalerweise an den Port 80 gerichtet. Es wird nun alles Richtung Port 443 geleitet. Das is der Standard dafür. Nur es gibt in vielen Netzen bereits ein Gerät welches auf dem 443 hört. Oft gar Router mit der Management Zugang etc.
Also vielleicht schauen ob da nicht etwas im Weg ist auf dem Port 443.
Man kann auch einen Portscann machen an die Adresse und schauen ob es da Kollisionen gibt.


Wenn man zum Bsp den DSM Zugang ansprechen will, dann kann man http://DDNS:5000 eingeben und es wird an den https://DDNS:5001 umgeleitet.
Aber auch hier muss sichergestellt werden, dass auf den Ports auch was hört und es keine Kollisionen gibt.


Da du ja eine richtige Domain hast und keinen DDNS, kommt hier natürlich die Domain.

Es ist hier nicht ganz klar welche Dienste und welche Ports etc du verwendest und wie genau du es testest.

Es kommt manchmal auch noch darauf an was genau in dem Schlüssel steht, nur die Domain oder auch noch etwas anderes wie eine IP etc.
Das ist halt bei den selbstgemachten Schlüsseln einfacher, wenn etwas nicht genau passt , macht man schnell einen neuen.

 

[Tommes]

Sorry, wenn ich mal kurz dazwischen funke, aber mir stellt sich grad auch die Frage ob er den System-Apachen oder den User-Apachen ansprechen möchte.

Die Eintellung "HTTP-Verbindungen automatisch zu HTTPS umleiten" bezieht sich nur auf den System-Apachen, also dem DSM. Unter dem User-Apachen, also quasi der WebStation, funktioniert das automatische Umleiten von http nach https nämlich nicht mit dieser Einstellung. Das muß man dann i.d.R. selber z.B. über eine .htaccess Regel ansteuern. Vielleicht liegt hier der Hase im Pfeffer...

Tommes

 

[ottosykora]

hmm, ja, grrr, habe ich vergessen!

Hast Recht, bei dem User Apachen geht es nur manuell , steht ja klar in den Settings.

 

[Frogman]

Zur Frage der Umleitung auf https des User-Apachen gab's vor kurzem hier auch einen längeren Thread...

Die Photo Station gestattet die Umleitung auf https aber auch selbst - dazu gibt es in deren Einstellungen eine Option:

 

[Tommes]

Zur Frage der Umleitung auf https des User-Apachen gab's vor kurzem hier auch einen längeren Thread...

Ah... großartig Frogman. Diesen Thread hab ich grad verzweifelt gesucht.

 

[ottosykora]

hmm, funktioniert bei mir leider nicht, scheint der Firefox hat was dagegen und will die SSL Verbindung so nicht aufbauen.

wenn ich es alles setze und auch in der PS das setze, dann erscheint beim Versuch eine Seite (PS) aufzurufen:

SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat. (Fehlercode: ssl_error_rx_record_too_long)

wenn ich jedoch direkt https eingebe dann geht es normal

 

[goetz]

Hallo,
Fehlercode: ssl_error_rx_record_too_long
konnte ich immer beheben indem ich alle Zertifikate die die DS betreffen im FF gelöscht habe. Dann neue Ausnahmeregel erstellen.

Gruß Götz

 

[mezzopiano]

Hallo,
Fehlercode: ssl_error_rx_record_too_long
konnte ich immer beheben indem ich alle Zertifikate die die DS betreffen im FF gelöscht habe. Dann neue Ausnahmeregel erstellen.

Hallo Götz,

die Meldung und das Erstellen einer neuen Ausnahmeregelung will ich ja unbedingt vermeiden. Ich habe schon weiter oben g202e geantwortet:

"daher mein Aufwand mit dem eigenen Zertifikat. Auf die DS können später über 200 Lehrer, deren Schüler sowie deren Eltern Zugriff haben. Du kannst Dir sicher vorstellen, welche Flut von Anfragen nach der "Fehlermeldung" auf mich zukäme."


Ein alter Beitrag aus 2012 "Startssl und Firefox. Fehlercode: sec_error_unknown_issuer. Wie geht es doch?" hat mir weitergeholfen. Ich habe meine Versuche in einer virtuellen Maschine, in der es garantiert keine gespeicherten Zertifikats-Ausnahmen gibt, in einer Tabelle zusammengefasst:



Wenn ich den o. g. Beitrag richtig deute, brauche ich ein kostenpflichtiges Class 2-Zertifikat, um die Fehlermeldungen zu umschiffen.

Ich finde es schon witzig, dass gerade der von mir wenig geliebte Chrome die http-Eingabe korrekt nach https umleitet. Oder ist Chrome nur besonders fehlertolerant?

Gruß mezzopiano

 

[mezzopiano]

Oder doch Filestation? Auch dieser lässt sich ein eigener https-Port zuweisen und wenn du (nur)nur diesen durchlässt, sollte das auch funktionieren.
Dazu sollte diese "HTTP-Verbindungen automatisch zu HTTPS umleiten"- Einstellung nicht erforderlich sein.

Ich brauche ausschließlich FileStation, da auch mal andere Dateien (odt, pdf, qxd, ai, eps) da liegen werden.

http://meine.domain.de/files wird umgeleitet nach https://meine.domain.de/files, aber der Zugriff mit https://meine.domain.de:7001 funktioniert nicht. Aber damit kann ich leben.

Was mir gar nicht am direkten Zugriff auf FileStation gefällt:

- ich finde kein "Abmelden"

- löscht ein Besucher in der Adressleiste die Zeichen "/files", landet er auf der DSM-Oberfläche, was mit dem FileStation-Zugriff eigentlich vermieden werden sollte.Dafür steht ihm dann aber wenigstens "Abmelden" zur Verfügung.

 

[mezzopiano]

Sorry, wenn ich mal kurz dazwischen funke, aber mir stellt sich grad auch die Frage ob er den System-Apachen oder den User-Apachen ansprechen möchte.

Die Eintellung "HTTP-Verbindungen automatisch zu HTTPS umleiten" bezieht sich nur auf den System-Apachen, also dem DSM.

Ja, und nur der interessiert mich. Dieser und die nächsten vier Beiträge gehen daher leider in die falsche Richtung. Danke aber dennoch für Eure Mühe.

 

[g202e]

Ich brauche ausschließlich FileStation.....aber der Zugriff mit https://meine.domain.de:7001 funktioniert nicht. ...

Was mir gar nicht am direkten Zugriff auf FileStation gefällt:

- ich finde kein "Abmelden"

Wenn ich mich(In meinem Lan!) nach https://IPoderNameDerDS:7001 verbinde, habe ich sehr wohl einen schönen "Abmelden"-Button.

Wieso bekommst du keine Verbindung? Fehler?