Zertifikat erstellen

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.653
Punkte
274
also, nochmals von vorne:
Du bist lustig. Das steht in keinem Post von dir! Ganze Sätze die interpretierbar sind, habe ich keine gefunden.

Ein Mailserver ist öffentlich. Dann ists klar, dass ein Zertifikat verlangt wird. Was bitte ist ein interner Mailserver? Schickt ihr euch im Heimnetz Emails? 🤔
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.653
Punkte
274

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
Was bitte ist ein interner Mailserver?
das habe ich auch mal machen müssen, für internes Mail in einem Einsatz, damit nicht alle Mails über die teure Satelliten Verbindung über externe SErver laufen.
Einfach alles dann als 'local' laufen lassen. Nur waren bei mir PC mit Thunderbird portable im Einsatz. Konnte ohne SSL machen.

Wenn intern jedoch SSL nötig ist weil der Client es nicht anders kann, dann frage ich mich ob es nicht möglich ist von einem selbstgebauten Zert einfach den Root Teil in das Gerät zu den CA zu kopieren.
Bei Android ging das früher jedenfalls.
(ob es heute geht weiss ich nicht)
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Ich habe auch nur intern mit 192.168.xxx.xxx konfiguriert.
Natürlich geht das NAS auch ins Internet… für Updates, ich will jedoch nur intern zugreifen, oder über VPN.
Danke.
Okay, also zwei Fehler:
  • Bei den DDNS-Einstellungen stellst Du „Externe Adresse(IPv4)“ auf LAN-1 (solltest Du einen anderen Anschluss verwenden, dann den entsprechenden wählen). Dort sollte deine interne IP-Adresse 192.168.x.y als Vorbelegung angezeigt werden. IPv6 stellst Du am besten auf „Deaktivieren“.
  • Zweitens musst Du natürlich über den DNS-Namen doktormac.synology.me zugreifen!
Dein Zertifikat schaut okay aus (zumindest, was ich davon sehen kann).

Falls Du eine FRITZ!Box verwendest, musst Du noch den Rebind-Schutz für deinen DNS-Namen eintragen.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Das Prinzip der verschlüsselten Verbindung funktioniert - ohne jetzt Spezialfälle zu berücksichtigen - folgendermaßen:
  • Ein Client (z.B. ein Browser, E-Mail-Programm) verbindet sich per Name mit einem Server. Dieser weist sich mit einem Zertifikat aus. Im Zertifikat steht ebenfalls ein Name (oder mehrere). Die Client überprüft nun, ob der Name, den er angesprochen hat, zu einem der Namen passt, die im Zertifikat stehen. Zusätzlich wird geprüft, ob das Zertifikat vertrauenswürdig ist. Nur wenn beides der Fall ist, wird eine verschlüsselte Verbindung aufgebaut.
  • Jetzt stellt sich noch die Frage, wie der Client über den Namen den gewünschten Server erreicht. Dazu dient das DNS (Domain Name System). Durch den weltweit eindeutigen Namen (hier doktormac.synology.me) ist gewährleistet, dass Du den richtigen Server erreichst. Das Verwenden einer IP-Adresse aus einem privaten Netz ist dabei nicht verboten, kann aber zu Problemen führen (beispielsweise greift der Rebind-Schutz einer FRITZ!Box). Es muss lediglich sichergestellt werden, dass der Client die IP-Adresse netzwerktechnisch erreichen kann. Bei diesem Vorgang spielt das Zertifikat keine Rolle.
 
  • Like
Reaktionen: ottosykora

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.474
Punkte für Reaktionen
1.087
Punkte
194


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat