Web Station - auschließlich SSL

[rednag]

Hi Community mit dem geballten Fachwissen auf breiter Front,

ich benötige mal bitte eure Unterstützung.
Hab mir mit WordPress eine Webseite erstellt. Liegt auf der DS415+ im /web und tut klaglos ihren Dienst.
Eine Domain xxx..eu habe ich registriert und per CNAME und MX-Eintrag auf meine DynDNS-Adresse verwiesen lassen.
Funktioniert auch.
Nun würde ich aber gerne, daß Webseiten, Webmailer, File Station etc. auschließlich per HTTPS zugänglich sind.
Hab mir dafür auf der Syno ein Zertifikat mit LE erzeugt. Funktioniert auch noch.

Leider sind die Webseiten, Webmailer etc auch über http (ohne SSL) aufrufbar.
Natürlich könnte ich Port 80 im Router einfach sperren, aber der wird für die Verlängerung des Zertifikats benötigt.
Nach 3 Monaten immer manuell im Router einschalten, funktioniert nicht, da ich diesbezüglich ein Schussel bin.
Im DocumentRoot meines vServers (wo die Domain gehostet wird) liegt eine .htaccess mit folgendem Inhalt:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^markus-xxx.eu$ [NC]
RewriteRule ^(.*)$ https://www.markus-xxx.eu/$1 [R=301,L]

Dabei sollten doch sämtliche Zugriffe auf HTTPS umgeleitet werden oder bin ich hier etwas verwirrt?
Die Option in DSM unter Netzwerk -> DSM-Einstellungen -> HTTP-Verbindungen automatisch zu HTTPS umleiten bringt mir an dieser stelle nicht viel, da die Photo,- und Web Station davon ausgeschlossen sind.

Hat hier wer eine zündene Idee oder gar Lösungsansätze für mich?

 

[maalik]

Bei mir sieht es so aus und das funktioniert:

# only ssl
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://domain.tld/$1 [R,L]

 

[jugi]

…und darum ist LE auch kacke.

lass :80 zu und hol dir n gescheites Zertifikat - kostenlos bspw. von startssl.com

 

[heavygale]

…und darum ist LE auch kacke.

Bitte was? Woran ist da denn nun LE Schuld und weshalb sollte es sich mit einem StartSSL Zertifikat anders verhalten?

 

[rednag]

Ob StartSSL (da blicke ich schon bei dem ganzen Prozess zur Registrierung/Erstellung eines Zerts nicht durch), LE oder sonstwas.
Der Code von @maalik scheint nicht zu greifen. Unabhängig davon muß es doch technisch machbar sein, Port 80 zu blockieren, bzw. auschließlich SSL zur Verfügung stellen.

 

[jugi]

LE verlangt von dir deinen Server so einzustellen, dass das Zertifikat von außen geändert werden kann.
Ich weiß nicht, ich krieg da irgendwie Bauchschmerzen…

 

[heavygale]

Blockieren kannste es am einfachsten, wenn du die Portweiterleitung dafür deaktiviert - ansonsten eben per Weiterleitung.
Nutzt du in der Webstation Apache oder NGINX? .htacces Dateien werden nur von Apache ausgewertet.

 

[rednag]

@heavygale,

in der Web Station ist HTTP-Backend Server "Apache" eingestellt. Irgendwie scheint das aber trotzdem nicht zu funktionieren. Wenn ich z. B. phpmyAdmin öffne sagt er mir nginx als Server.
Port 80 kann ich wie oben geschrieben schlecht sperren.

 

[Fusion]

Solange keine vHosts definiert sind greift die Backend Einstellung glaube nicht und nginx beachtet die .htaccess nicht.
Du brauchst eine nginx rewrite rule

z.B.
https://forum.synology.com/enu/viewtopic.php?t=115182

 

[Fusion]

Wenn es keine vHosts gibt, dann hilft vielleicht auch das hier weiter
http://www.synology-forum.de/showthread.html?76163-DSM-6-und-HSTS/page2

 

[rednag]

Hallo @Fusion,

danke für die Links. Auf den letzten bin ich auch schon gestoßen. Leider habe ich keine Idee wie ich das auf mein Problem ummünzen kann/soll.
vHosts habe ich bisher keinen definiert.

 

[Fusion]

Was heißt denn ummünzen, in dem Szenario geht es doch genau darum, dass alle Verbindungen auf SSL umgeleitet werden auch wenn keine vHosts definiert sind und damit nur der nginx am laufen ist. Wenn ich mich da nicht verlesen habe sollte das eigentlich anwendbar sein.

 

[rednag]

Hallo @Fusion,

dann werde ich hier mal mein Glück mit der Anleitung versuchen.
Danke Dir.