Wie eine zweite Domain zertifizieren?

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Weiss jemand wie man ein zweites Let's Encrypt Zertifikat für dieselbe IP erstellt? Ich besitze zwei Domains und alles funktioniert bestens mittels DDNS, nur eben kann ich für die zweite Domain kein Let's Encrypt Zertifikat erstellen ("Invalid Domain. Please make sure this domain ca be resolved into a public IP address). Ports 80/443 sind sauber weitergeleitet und die Hosts in der Web Station eingetragen. Die nslookup queries für beide Domains zeigen beide sauber auf die IP meiner DS.

Domain 1: für das Management der DSM, Mailserver, VPN, etc. -> im Login Portal der DSM eingetragen inkl. HSTS und funktioniert bestens
Domain 2: für eine Wordpress Website -> offizielles Wordpress Paket in Web Station eingetragen und funktioniert bestens (ohne Zertifikat)

Falls jemand etwas ähnliches aufgesetzt hat und es geschafft hat die Zertifikate zu erstellen für beide Domains wäre ich sehr dankbar um ein paar Tipps.
 

Lux007

Benutzer
Mitglied seit
08. Aug 2016
Beiträge
116
Punkte für Reaktionen
2
Punkte
18
Hallo!
Reicht nicht die Aufnahme als "Alternativer Name" mit in das erste Zertifikat?
Dann das Zertifikat beiden Bereichen zuordnen. Bei mir hat das mit zwei Domains in einem Zertifikat funktioniert.
Gruß
Lux007
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
LE-Zertifikat für eine "IP", eher nicht... Wenn es heisst "invalid Domain", wird da wohl was mit der zweiten Domäne nicht stimmen, das wäre also erstmal zu klären ;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Mich würde erst mal interessieren wie die Domains beispielsweise heissen und wo er DDNS macht. Nur die beim Provider eingetragene (Sub-)Domain ist wichtig, keine IP
Richte ich beim Provider eine
sub.meinedomain.de bekomme ich dafür genau so ein Zertifikat wie für
sub1.meinedomain.de.
Noch einfacher wäre es dann bei LE ein Wildcard Cert zu beantragen, welches dann für
*.meinedomain.de gilt.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
Noch einfacher wäre es dann bei LE ein Wildcard Cert zu beantragen, welches dann für *.meinedomain.de gilt.
Ist aber nicht ganz einfach und erfordert jedes Mal etwas Handarbeit, weil auch die TXT-Records der Domain angepasst werden müssen. Ich mach das alle 3 Monate durch und mir ist es bis jetzt noch nicht gelungen, es komplett zu automatisieren.

Was allerdings doch recht einfach geht, ist ein LE-Zertifikate für meinedomain.de als CN mit meinedomain.de, sub1.meinedomain.de, sub2.meinedomain.de, ... als Alternate Names. So hatte ich das zuvor auch lange. Alle Namen müssen natürlich auf die gleiche IP auflösen.

Aber auch 2 völlig unterschiedliche Domains sollten eigentlich kein Problem sein, solange beide richtig aufgelöst werden und man die Dienste richtig zuordnet. Hatte das auch länger mit .com und .de-Domain.
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Hallo!
Reicht nicht die Aufnahme als "Alternativer Name" mit in das erste Zertifikat?
Dann das Zertifikat beiden Bereichen zuordnen. Bei mir hat das mit zwei Domains in einem Zertifikat funktioniert.
Gruß
Lux007
Hi! Das wär auf jeden Fall eine Lösung, falls alle anderen Stricke reissen. Gerne würde ich jedoch erstmal versuchen getrennt beantragen und zuzuordnen.

Mich würde erst mal interessieren wie die Domains beispielsweise heissen und wo er DDNS macht. Nur die beim Provider eingetragene (Sub-)Domain ist wichtig, keine IP
Richte ich beim Provider eine
sub.meinedomain.de bekomme ich dafür genau so ein Zertifikat wie für
sub1.meinedomain.de.
Noch einfacher wäre es dann bei LE ein Wildcard Cert zu beantragen, welches dann für
*.meinedomain.de gilt.

Habe dir zwei Screenshots gemacht, ich hoffe es ist ersichtlich. Das LE für die *.space Domain und gewisse Subdomains (www,mail,etc) habe ich schon länger, die *.co ist nun neu. Ich lasse die DDNS Einträge für beide Domains automatisch von DSM aktualisieren bei Infomaniak. Bei diesem habe ich heute nochmals die DNS Einträge gecheckt und gesehen, dass ich für die *.co Domain nur den A-Eintrag hatte und noch keinen CNAME Eintrag wie bei der *.space Domain. Nur daran kann es jedoch nicht liegen, da das LE auch ohne Alternative Namen nicht erstellt werden konnte.

dsmddns.png

dsmwebstation.png
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Vermutlich scheitert es einfach daran, dass wenn dein Wordpress als eigener Host läuft, in diesem Kontext die vom LE Server gesuchte example.com/.well-known/acme-challenge/<string> nicht dort ankommt wo sie bereitgestellt wird.

Oder anders gefragt: Was heißt "Offizielles Wordpress Paket" ? aus dem Paketzentrum oder von den Wordpress Machern direkt (z.B. Web-installer)?
Und taucht der Host unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren in der Dienste Liste auf?
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Es ist tatsächlich das WP welches im Paketzentrum bereitgestellt wird und der Host taucht in der Liste der Dienste auf. Ich habe ihm das default Zertifikat von Synology zugeordnet, solange das neue für *.co noch nicht geht.

Was ich auch noch gemacht habe ist die Firewall zu deaktivieren für die Zeit wo ich das Zertifikat beantrage, jedoch auch ohne Erfolg...

dsmsecurity.png
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
MIttlerweile hab ich rausgefunden wie ich das Logfile über SSH auslesen kann. Vielleicht kann mir jemand helfen das zu interpretieren?

Code:
2021-03-02T11:53:41+01:00 aeon syno-letsencrypt[21636]: client_v2.cpp:466 Failed to open port
2021-03-02T11:53:45+01:00 aeon syno-letsencrypt[21636]: syno-letsencrypt.cpp:122 Failed to do new authorization, may retry with another type. [{"error":110,"file":"client_v2.cpp","msg":"Invalid response from http://**********.co/.well-known/acme-challenge/KdcwDvq0tc0AoiEcMdnFfqPUph-FOmAQx630eAF1yzo [***.***.***.***]: \"<!DOCTYPE html>\\n<html>\\n<head>\\n<meta charset=\\\"utf-8\\\">\\n<style>.circle_text{font-family:Verdana,Arial,Microsoft JhengHei,sans-serif\""}
]
2021-03-02T11:53:45+01:00 aeon synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[21634]: certificate.cpp:1119 syno-letsencrypt failed. 110 [Failed to new certificate.]
2021-03-02T11:53:45+01:00 aeon synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[21634]: certificate.cpp:1539 Failed to create Let's Encrypt certificate. [110][Failed to new certificate.]
2021-03-02T11:53:45+01:00 aeon synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[21634]: utils.cpp:75 Lack of necessary files in cert dir [/usr/syno/etc/certificate/_archive/3ZCnpA]
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Update: es scheint ja ein Problem mit der acme-challenge zu sein... was mir aufgefallen ist wenn ich die URL manuell in den Browser eintrage:
  • http://******.space/.well-known/acme-challenge/ -> File not found (natürlich)
  • http://******.co/.well-known/acme-challenge/ -> Error 500
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Erfolg! Die Lösung war schlussendlich einfach: eine manuelle Wordpress installation anlegen (und dann den alten Virtual Host Eintrag ersetzen).
 

LORDNIKON1

Benutzer
Mitglied seit
16. Nov 2015
Beiträge
351
Punkte für Reaktionen
25
Punkte
34
Hi b00n, danke für das Eröffnen des Posts. Ich glaube ich habe eine recht ähnliche Problematik. Ich betreibe eine Nextcloud Installation und habe nun noch eine Wordpress Installation hinzugefügt (genau wie Du über das Paketzentrum). Habe für die beiden Ziele unterschiedliche Subdomains (über CNAME zu DDNS), die interne Zuweisung erledige ich auch über Virtual Host in der Webstation. Das klappt soweit auch, bis auf das Zertifikat. Ich habe für die Wordpress Installation ein eigenes LE Zertifikat angelegt. Der Blog ist über die dafür vorgesehene Subdomain erreichbar, allerdings wird das Zertifikat nicht erkannt bzw. es ist das "falsche" (nämlich das was ich für die Subdomain Diskstation angelegt habe).
Ich checke das irgendwie nicht, vermute aber beim Lesen Deines Posts, dass das in die selbe Richtung geht wie bei Dir.

Was meinst Du mit "eine manuelle Wordpress Installation anlegen" in diesem Zusammenhang?

Bzw. irgendeine Idee woran das sonst bei mir liegen könnte? Ich möchte Deinen Post nicht "kapern", gerne erstelle ich einen neuen, sollte das gewünscht sein!


Gruß
LN1
 
Zuletzt bearbeitet:

LORDNIKON1

Benutzer
Mitglied seit
16. Nov 2015
Beiträge
351
Punkte für Reaktionen
25
Punkte
34
Vielleicht noch eine Ergänzung:

Wenn ich im Menü der DS auf das Wordpress Icon klicke, ruft es nicht die Blog Domain blog.tld.de auf, sondern die ds.tld.de/wordpress. In den Blogeinstellungen selbst ist es aber richtig. Das würde ja erklären, warum das ds Zertifikat bemüht wird und nicht das blog Zertifikat. Aber wie ändere/löse ich das?
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
@LORDNIKON1 Keine Angst, du kaperst den Thread nicht weil er ja gelöst ist :)

Wenn du sagst, du hast für die Wordpress Installation ein Zertifikat angelegt, ging das also ohne Probleme und es wird nun in der Liste der Zertifikate angezeigt? Falls ja, schau dass du es in dieser Liste mit Hilfe des Buttons Einstellungen (ich glaube vor DSM 7.0 hiess er noch Konfigurieren) zu der gewünschten Anwendung zuordnest, also Wordpress. Nach der Zuordnung musst du ein paar Minuten warten und ggf. deinen Browser neustarten und oder Caches löschen. Falls du das alles aber gemacht hast, müssen wir weiter schauen.
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Was meinst Du mit "eine manuelle Wordpress Installation anlegen" in diesem Zusammenhang?

Damit meinte ich, dass ich die zip bei wordpress.org runtergeladen habe und dann manuell im web Ordner entpackt und konfiguriert habe mit Hilfe von PHPMyAdmin, Web Station, usw.
 

LORDNIKON1

Benutzer
Mitglied seit
16. Nov 2015
Beiträge
351
Punkte für Reaktionen
25
Punkte
34
ging das also ohne Probleme und es wird nun in der Liste der Zertifikate angezeigt
Ja, genauso ist es. Wird angezeigt in der Liste.

zu der gewünschten Anwendung zuordnest, also Wordpress
Auch das habe ich gemacht.

Nach der Zuordnung musst du ein paar Minuten warten und ggf. deinen Browser neustarten und oder Caches löschen
Auch erledigt. Ich befürchte so einfach ist es nicht. Wollte eigentlich vermeiden das händisch installieren zu müssen und bei den anderen Services klappt es auch. Es muss also irgendwie daran liegen, dass sowohl Nextcloud also auch Wordpress im gleichen Web Ordner liegen. Das scheint dann irgendwie "über Kreuz" zu gehen.
 

LORDNIKON1

Benutzer
Mitglied seit
16. Nov 2015
Beiträge
351
Punkte für Reaktionen
25
Punkte
34
Noch ein Gedanke hierzu: Bei der Webstation lässt sich bei "Allgemeinen Einstellungen" ja nur eine PHP Version auswählen. Bei mir ist das die für die Nextcloud Installation (PHP Profil individuell für Nextcloud), als HTTP Backend Server Apache 2.4.

Bei "PHP Einstellungen" sind dann alle PHP Profile aufgelistet, die installiert sind. Dort habe ich auch eines Speziell für Wordpress angelegt (mit den notwendigen Erweiterungen.

Bei "Virtueller Host" habe ich dann den Apache 2.4 als Backend Server angegeben und das Wordpress PHP Profil ausgewählt.

Nach meinem Funktionsverständnis müsste das soweit stimmen. Oder liegt hier irgendwo der "Hase im Pfeffer"?

Was mich irritiert: Der scheinbare "Konflikt" ergibt sich ja gar nicht in Richtung von Nextcloud, sondern zum Profil der Diskstation hin, die ja auf der Webstation gar keine Rolle spielt.
 

LORDNIKON1

Benutzer
Mitglied seit
16. Nov 2015
Beiträge
351
Punkte für Reaktionen
25
Punkte
34
Wiederum alternative Idee: Das ganze über Reverse Proxy regeln? So mache ich das nämlich für meinen Plex Server, den ich auf der Synology betreibe.

Dogmatisch habe ich den Unterschied ehrlich gesagt noch nicht recht durchstiegen, mich nur beim Plex Thema damit zufrieden gegeben, dass es klappte. Dort komme ich über https. rein (also Port 443) und der Reverse Proxy zeigt auf den Port für die Plex Installation. Und das funktioniert dann so.

Das könnte insoweit naheliegender sein, als ich bei Plex ja auch (genau wie für die DS) über die Standard Ports gehe und dann über den Reverse Proxy "unterverteile" bzw. "umleite". Macht dieser Gedankengang irgendwie Sinn?
 

b00n

Benutzer
Mitglied seit
17. Apr 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Ich vermute, dass es das ähnliche Problem wie bei mir ist. Es muss wegen einem Bug in DSM sein, weil das einzige was es gebraucht hat bei mir ist Wordpress manuel zu installieren und dann manuell zu konfigurieren im Web Service Portal und den PHP Settings. Äusserlich bei all diesen Einstellungen sieht es genau gleich wie vorher (ausser dass ich PHP 7.4 gewählt habe statt 7.3). Wenn du die Nerven und die Zeit hast, würde ich dir die manuelle Installation empfehlen.

Noch eine dumme Frage, wenn du in deinem Browser in der Adressleiste auf das Schlüsselsymbol klickst, welcher Zertifikatfehler wird angezeigt?

Und mit Reverse Proxy kenne ich mich leider nicht aus, aber spannend dass du damit Plex https zum Laufen gebracht hast. Ging das einfach? Ich habe dafür das Zertifikat in den erweiterten Plex-Einstellungen eingefügt (sorry für den Offtopic).
 

LORDNIKON1

Benutzer
Mitglied seit
16. Nov 2015
Beiträge
351
Punkte für Reaktionen
25
Punkte
34
Geil. Jetzt habe ich mir durch das Rumgefrikkel die bestehende Konfiguration zerschossen. Ganz großartig. Ich hatte den Virtual Host für den Blog gelöscht, weil ich die Lösung über Reverse Proxy ausprobieren wollte. Nachdem das nicht geklappt hat, kann ich jetzt keinen Virtual Host mehr für die Subdomain angeben. Scheinbar hängt der alte Virtual Host irgendwo, wie bekomme ich das da raus, damit ich ihn wieder neu aufsetzen kann?

Melde mich zu Deinen Fragen nach gesondert. Muss das hier erst wieder zum Laufen bringen. Gibt es doch gar nicht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat