Wildcard, Dyndns, Reverse Proxy und SSL Zertifikat

[blotto82]

Hab ein Problem und weiß nicht wo ich es lösen kann.
Nutze seit Jahren Dyndns, was auch problemlos klappt, und habe dafür ein Lets Encrypt Zertifikat.
Nun wollte ich mittels wildcard Adresse, also z. B. docker.hans.dyndns.org über den Reverse Proxy einen entsprechenden Dienst erreichbar machen.
Klappt auch, aber er nimmt immer das Zertifikat von hans.dyndns.org, somit kommt immer eine Fehlermeldung im Browser.
Ein erstellen eines extra Zertifikats hat auch geklappt, der nginx der Synology gibt aber das nicht weiter und nimmt immer das Standard.
Geht das überhaupt das ich zwei Zertifikate habe, oder das mein Standard die Wildcards mit einschließt ?

 

[patrickn]

Synology unterstützt von Haus aus Wildcard Zertifikate nur mit ihrem eigenen DDNS Dienst.
Für andere Dienste und Domains wäre etwas basteln angesagt, sofern sie eine DNS API zur Verfügung stellen

 

[blotto82]

Das wusste ich schon, nutze aber halt den Synology dienst nicht, sonder meinen Dyndns Account den ich seit 15 Jahren habe.
Nur wo wird gebastelt, am nginx der Synology ? Am Zertifikat von lets encrypt ?

 

[Benares]

Du musst unter Systemsteuerung, Sicherheit, Zertifikat, Einstellung jeden Dienst/Reverse Proxy auch das richtige Zertifikat zuweisen.

 

[blotto82]

Perfekt, das war es. Hab nicht gewusst das man die einzeln auswählen kann.
Ob ich jetzt für meine normale domain überhaupt extra Zertifikate gebraucht hätte, keine ahnung.
Hab jetzt für die wildcard domains welche erstellt und die gehen nun.
Bin gespannt wie stabil das ganze läuft

 

[Benie]

Synology unterstützt von Haus aus Wildcard Zertifikate nur mit ihrem eigenen DDNS Dienst

Nicht wenn Du einfach auf die DynDNS ein Zertifikat einholst.
Wildcardzertifikat muß extra mit dem Sternchen vorneweg eingeholt werden.

 

[patrickn]

Wenn man "ganz normal" den DDNS Dienst mit Synology unter Externer Zurgriff anlegt, wird automatisch auf Wunsch ein Zertifikat erstellt, und das ist automatisch Wildcard, da muss man kein Sternchen angeben.
Wenn mans nachträglich selbst unter Zertifikate macht - keine Ahnung. Beim Erstellen ist es jedenfalls automatisch Wildcard.

 

[Benie]

Kann ich so nicht bestätigen, siehe auch hier, das ist genau der Ablauf von dem Du hier geschrieben hast.

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_ddns?version=7

Zertifikate von Let's Encrypt erhalten:​

Von der offenen und vertrauenswürdigen Zertifizierungsstelle Let's Encrypt können Sie automatisch kostenlose und sichere SSL/TLS-Zertifikate abrufen.

DDNS-Hostnamen einrichten:
Gehen Sie zu Systemsteuerung > Externer Zugriff > DDNS.

1. Klicken Sie auf Add (Hinzufügen).
2. Wählen Sie Neues Zertifikat hinzufügen aus und klicken Sie auf Weiter.
3. Wählen Sie Zertifikat von Let's Encrypt abrufen und klicken Sie auf Weiter.
4. Geben Sie die folgenden Informationen ein:
   • Domainname: Geben Sie die beim Domainanbieter registrierte Domain ein.
   • E-Mail: Geben Sie hier die für die Registrierung des Zertifikats verwendete E-Mail-Adresse ein.
   • Betreff Alternativer Name: Um ein Zertifikat für mehrere Domains zuzulassen, können Sie hier die anderen Domainnamen eingeben. Sie können auch ein Wildcard-Zertifikat beantragen, indem Sie die Domainnamen von Synology DDNS im folgenden Format eingeben:
     *.SYNOLOGY_DDNS_DOMAINNAME
   • Klicken Sie auf Fertig, um die Einstellungen zu speichern. Nach der Bestätigung wird das Zertifikat sofort in Ihr Synology NAS importiert.

 

[Benares]

Ich denke, @patrickn hat da eher das Zertifikat gemeint, das automatisch entsteht und gepflegt wird, wenn man den Synology-DDNS-Dienst nutzt.


Irgendwie passt dein Zitat nicht zu deinem Link

 

[Benie]

Ja doch, das ist doch das was @patrickn meint, im verlinkten Artikel wo mann die DynDNS einrichtet steht ja auch nichts dabei daß es sich um ein Wildcardzertifikat handelt das da mitkommt. Habe das auch deshalb nie so betrachtet.

In dem verlinkten Abschnitt wird auch auf das verlinkt wo das was ich gepostet habe steht

Kann es aber jetzt auch nicht mehr nachverfolziehen, was ich da ursprünglich bekommen habe.

 

[Benares]

Steht da nicht, ist aber Wildcard

 

[Benie]

Bei meinem nicht, da sieht das so aus, kein Sternchen (ist mir grad eingefallen hab nicht bei jeder DS ein Wildcard beantragt)

 

[Benares]

Sieht aus wie ein selbsterstelltes LE-Zertifikat, halt für ne synology.me-Domain, aber nicht um ein durch das Kreuzchen in #9 entstandenes. Achte auf den Text hinter "(RSA/ECC)"

 

[Benie]

Das ist aber automatisch bei dem Vorgang erstellt worden, den Du als Screenshot gepostet hast, habe grad noch auf einer anderen DS nachgeschaut dort ist es auch so vorhanden.
Habe auch noch nie Zertifikate selbst gebastelt. Verwende, bis auf eine DynDNS aus frühen Zeiten, nur Synology DynDNS. Keine Ahnung.

Kann sein, daß sich da mal etwas geändert hat?

Ansonsten hab ich ja nur noch das olle Synology Standardzertifikat, das zu Anfangs immer mitkommt, 10 Jahre Laufzeit. Das schaut aber anders aus.

 

[Benares]

Habe auch noch nie Zertifikate selbst gebastelt

Auch nicht über den Weg, den du in #8 zitiert hast?
Der Text passt irgendwie nicht, unter Systemsteuerung > Externer Zugriff > DDNS, Add gibt es kein "Neues Zertifikat hinzufügen", ist wohl eher Sicherheit, Zertifikat, Add gemeint.

 

[Benie]

Das stimmt, da ist beim Kopieren etwas dazwischen gerutsch, das da nicht hingehört. Habe es im Post rausgestrichen und berichtigt..

 

[Kachelkaiser]

@Benie da steht noch dein DDNS Name im Screenshot in #12

 

[Benie]

Auch nicht über den Weg, den du in #8 zitiert hast?

Nein, ich kann mich noch erinner wie ich deshalb nach der Lösung ein Wildcard Zertifikat zu erstellen gesucht habe. Hab das ja zum erstenmal benötigt als ich auf Vaultwarden umgestiegen bin. Nutzte lange Zeit hierfür mSecure, das kann nur auf einem PC als Server für alle PCs, Handys etc. gehostet werden.

 

[Benie]

da steht noch dein DDNS Name

Danke habe es schon geändert, wenn man nicht aufpasst wie ein Luchs

 

[patrickn]

Kann schon sein, dass das früher nicht so war, inzwischen ist es so, es wird automatisch beim hinzufügen ein Wildcard angelegt, wenn man ein Zertifikat abnickt.
Mindestens seit Januar, als ich mit meiner ds223 angefangen hab zu testen, da war es jedenfalls schon so.

Wird aber Zeit, dass Synology einfach acme.sh implementiert, dass man endlich Out of the Box nutzen kann, was man will.

Aber es ist Synology, kann sich also nur um Jahre nie handeln