Zertifikat erstellen

[c0smo]

also, nochmals von vorne:

Du bist lustig. Das steht in keinem Post von dir! Ganze Sätze die interpretierbar sind, habe ich keine gefunden.

Ein Mailserver ist öffentlich. Dann ists klar, dass ein Zertifikat verlangt wird. Was bitte ist ein interner Mailserver? Schickt ihr euch im Heimnetz Emails?

 

[c0smo]

Leider kann ich das Zertifikat nicht akzeptieren.

Hast du dein Zertifikat dem Maildienst zugewiesen?

 

[ottosykora]

Was bitte ist ein interner Mailserver?

das habe ich auch mal machen müssen, für internes Mail in einem Einsatz, damit nicht alle Mails über die teure Satelliten Verbindung über externe SErver laufen.
Einfach alles dann als 'local' laufen lassen. Nur waren bei mir PC mit Thunderbird portable im Einsatz. Konnte ohne SSL machen.

Wenn intern jedoch SSL nötig ist weil der Client es nicht anders kann, dann frage ich mich ob es nicht möglich ist von einem selbstgebauten Zert einfach den Root Teil in das Gerät zu den CA zu kopieren.
Bei Android ging das früher jedenfalls.
(ob es heute geht weiss ich nicht)

 

[Hagen2000]

Ich habe auch nur intern mit 192.168.xxx.xxx konfiguriert.
Natürlich geht das NAS auch ins Internet… für Updates, ich will jedoch nur intern zugreifen, oder über VPN.
Danke.

Okay, also zwei Fehler:

• Bei den DDNS-Einstellungen stellst Du „Externe Adresse(IPv4)“ auf LAN-1 (solltest Du einen anderen Anschluss verwenden, dann den entsprechenden wählen). Dort sollte deine interne IP-Adresse 192.168.x.y als Vorbelegung angezeigt werden. IPv6 stellst Du am besten auf „Deaktivieren“.
• Zweitens musst Du natürlich über den DNS-Namen doktormac.synology.me zugreifen!

Dein Zertifikat schaut okay aus (zumindest, was ich davon sehen kann).

Falls Du eine FRITZ!Box verwendest, musst Du noch den Rebind-Schutz für deinen DNS-Namen eintragen.

 

[Hagen2000]

Das Prinzip der verschlüsselten Verbindung funktioniert - ohne jetzt Spezialfälle zu berücksichtigen - folgendermaßen:

• Ein Client (z.B. ein Browser, E-Mail-Programm) verbindet sich per Name mit einem Server. Dieser weist sich mit einem Zertifikat aus. Im Zertifikat steht ebenfalls ein Name (oder mehrere). Die Client überprüft nun, ob der Name, den er angesprochen hat, zu einem der Namen passt, die im Zertifikat stehen. Zusätzlich wird geprüft, ob das Zertifikat vertrauenswürdig ist. Nur wenn beides der Fall ist, wird eine verschlüsselte Verbindung aufgebaut.
• Jetzt stellt sich noch die Frage, wie der Client über den Namen den gewünschten Server erreicht. Dazu dient das DNS (Domain Name System). Durch den weltweit eindeutigen Namen (hier doktormac.synology.me) ist gewährleistet, dass Du den richtigen Server erreichst. Das Verwenden einer IP-Adresse aus einem privaten Netz ist dabei nicht verboten, kann aber zu Problemen führen (beispielsweise greift der Rebind-Schutz einer FRITZ!Box). Es muss lediglich sichergestellt werden, dass der Client die IP-Adresse netzwerktechnisch erreichen kann. Bei diesem Vorgang spielt das Zertifikat keine Rolle.

 

[Ulfhednir]

Wenn du für eine interne IP-Adresse ein selbst signiertes Zertifikat erstellen möchtest, kannst du das mit OpenSSL.
https://www.ibm.com/docs/en/api-con...erating-self-signed-certificate-using-openssl
https://wiki.openssl.org/index.php/Binaries