Zertifikat für lokale IP?

[Scylor]

Moin!

Ist das irgendwie machbar dass man ein sinnvolles Zertifikat für eine lokale IP-Adresse kriegt (192.168.2.2 z.B.). Meine DS hat keine weitergeleiteten Ports nach außen und ich greife eiglt nur von Zuhause aus auf sie zu, aber mir nerven die ständigen Warnungen im Browser und in den DS-Apps.

 

[Matthieu]

Hallo,
Zertifikate werden nicht auf IPs ausgestellt, sondern DNS-Namen. Du kannst höchstens schauen ob du einen Router mit lokalem DNS hast (die Fritz z.B. nutzt .box, den Gerätenamen selbst sieht man in der Fritte). Darauf stellt dir dann aber keine Zertifizierungsstelle ein Zertifikat aus. Du müsstest also selbst ein Zertifikat erstellen und das als Ausnahme in den Betriebssystemen hinterlegen.

MfG Matthieu

 

[Scylor]

Hm, ich habe gerade ein selbstsigniertes Zertifikat erstellt und das dann auf meinem iphone und unter Windows hinzugefügt, der Browser meckert aber nach wie vor, was hab ich hier übersehen?

 

[ottosykora]

nicht alle Browser greifen auf Zertifikat Store von Windows zu.
Firefox zum Bsp hat eigenen Store, da muss man es auch noch importieren.

 

[Scylor]

Habe ich probiert, ebenfalls ohne Erfolg.

 

[Matthieu]

Wie greifst du denn auf die DS zu, also welche URL und was hast du im Assistenten angegeben?

MfG Matthieu

 

[Scylor]

Greife über https://192.168.2.2:51234 zu. Welchen Assistenten meinst du genau?

 

[Matthieu]

Hallo,
du hast doch ein selbstsigniertes erstellt. Da fragt er soweit ich weiß nach dem Domainnamen auf den er es ausstellen soll.

MfG Matthieu

 

[Scylor]

Nicht dass ich wüsste, ich kriege nur das hier:

 

[Matthieu]

Der "Common Name" muss mit dem Domain-Namen identisch sein, welcher im Browser angezeigt wird. Sonst bringt das alles nichts ...

MfG Matthieu

 

[frankyst72]

auch wenn Du die DS rein lokal betreibst, könntest Du Dir ein öffizielles Zertifikat ausstellen lassen und lokal die DS mit diesem Namen ansprechen (lokaler DNS Server vorrausgesetzt).

 

[Scylor]

Der "Common Name" muss mit dem Domain-Namen identisch sein, welcher im Browser angezeigt wird. Sonst bringt das alles nichts ...

MfG Matthieu

Ah, da soll das hin.

Dann da einfach 192.168.2.2 eintragen oder muss da ne andere Syntax genommen werden?

Danke!

 

[Matthieu]

Ich weiß nicht ob das funktioniert, weil IP-Adressen in Zertifikaten nur seltenst verwendet werden.

MfG Matthieu

 

[Scylor]

auch wenn Du die DS rein lokal betreibst, könntest Du Dir ein öffizielles Zertifikat ausstellen lassen und lokal die DS mit diesem Namen ansprechen (lokaler DNS Server vorrausgesetzt).

Wie würde das genau laufen? Bei mir auf der DS läuft auch ein Pi-Hole, welches bei mir intern als DNS-Server fungiert.

 

[deny]

Ich kann Matthieu zustimmen und ein Zertifikat geht auf DNS-Namen!

 

[Benares]

Sind dafür nicht die "Alternate Names" da? Ich hab mir vor Jahren mal ein (selbst signiertes) Zertifikat für meinen DynDNS-Namen erstellt und meine lokalen Namen (DS415, DS212) als alternate Names eingetragen. Das funktioniert einwandfrei.
Soweit ich mich erinnere gingen da sogar IP-Adressen. Das Zertifikat habe ich damals aber nicht mit DSM-Bordmitteln erstellt, sondern irgendwie anders, aber das weiß ich nicht mehr.

 

[ottosykora]

mein selfsigned ist nicht auf DS Namen oder so was, damals habe ich ein fach irgednetwas reigeschrieben.
Dann den CA Teil in die Zertifizierungsstellen importiert und den anderen Teil in Server Cert.

Geht seit dem genau so mit IP wie dem DDNS Namen, welcher so jedoch nicht in dem Cert steht.
Ist aber ur -alt, wie es jetzt geht weiss ich nicht.