Zertifikate für DDNS Adresse "Alternative Namen"

[BenjaminH]

Hallo Zusammen,

Ich habe einmal eine Frage zu den Zertifikaten.

Ich habe unter DDNS die Adresse, die ich bei Cloudflare habe, eingerichtet.
Danach habe ich unter Sicherheit > Zertifikat ein Zertifikat für die Domain und 3 Alternativen Namen hinzugefügt. (cloud.XXX.de, Paperless.XXX.de, ...)

Da ich nun weiter Alias (Alternative Namen) benötige für die Photostation etc. kommt meine Frage.

Wie kann man die Nachträglich da hinzufügen?
Ich komm nicht zu dem Punkt, dass ich die eintragen könnte. Und zusätzlich ein Zertifikat geht auch nicht, da ich bei Let's Encrypt nur einmal für die Domain ein Zertifikat bekomme.
Die Option mit der Wildcard gibts da ja scheinbar nicht für eine Domain die nicht von Synology kommt.

Vielen Dank schonmal für die Hilfe

 

[ctrlaltdelete]

Du brauchst ein Wildcard Zertifikat.
Edit: *.XXX.de
Edit2: Ich das über Docker mit acme.sh realisiert

 

[ctrlaltdelete]

https://www.xfelix.com/2020/04/issue-synology-lets-encrypt-cert-by-acme-sh-docker/

 

[BenjaminH]

Vielen Dank, Irgendwie wollte das noch nicht so richtig. Werd mich mal mehr damit beschäftigen, wenn ich Zeit hab.

 

[Benie]

Wenn es Dir nicht zuviel Aufwand bedeutet, auf eine andere DDNS umzusteigen.
Wenn Du bei Synology eine DDNS erstellst und dazu dann noch ein Wildcard Zertifikat von LE (beides ist kostenlos) dazu, klappt das alles wunderbar. Der Vorteil eines Synology DDNS besteht zusätzlich noch darin, daß Du die DDNS auf die interne IP auflösen lassen kannst und diese dann auch Netzintern nutzen kannst.
Auch für die Verlängerung des Zertifikats brauchen keine Ports geöffnet sein. Bin mir nicht ganz sicher, ich glaube beim beantragen des Zertifikats muss Port 443 und 80 geöffnet werden. Danach zur Verlängerung kann alles zu sein und wird automatisch ohne Dein dazu tun Verlängert.

 

[patrickn]

Beim beantragen braucht es auch keine Portweiterleitungen beim Synology DDNS. Wildcard muss immer über DNS Verifizierung laufen, ich denke nicht, dass da für Synology eine Ausnahme gemacht wird

 

[Benares]

Aber Synology DDNS ist doch Wildcard, auch beim Zertifikat.

 

[patrickn]

...deshalb sage ich ja, dass auch beim erstellen keine Portfreigaben benötigt werden?

Bin mir nicht ganz sicher, ich glaube beim beantragen des Zertifikats muss Port 443 und 80 geöffnet werden.

 

[Benares]

Ob auch beim Erstellen, weiß ich nicht mehr, aber zum Verlängern definitiv nicht, auch wenn der Dialog etwas anderes sagt. Aber aktiv muss sie zu diesem Zeitpunkt sein.

 

[patrickn]

Muss sie nicht.
Habe erst vorhin meine DS116 neu installiert mit Synology DDNS und LE Zertifikat und das ohne Portfreigabe.

 

[Benie]

Du hattest aber das Zertifikat bereits für diese DDNS, Du hast ja nur wieder neu geholt zur bereits schon Zertifizierten DDNS, ich denke deshalb.
Da ich das bei Beantragung auch nicht mehr so genau weiß, habe ich ja geschrieben, ich glaube beim Beantragen........

 

[patrickn]

Noch mal: Wildcard Zertifikate gibt es *ausschließlich* per DNS-01 challenge - und das hat auch nichts mit Synology zutun, das ist so bei Lets Encrypt - und nicht per Web-Request, wofür Portfreigaben benötigt werden.
Es macht daher keinen Sinn, dass Portfreigaben erstellt werden müssen.

...genau weiß, habe ich ja geschrieben, ich glaube...

Und deshalb hab ich gesagt, dass es nicht benötigt wird.
So funktioniert ein Forum, wenn man sich nicht sicher ist, oder?

Und das Zertifikat habe ich zuvor revoked (zur erstmaligen Erstellung war aber ebenfalls keine Portfreigabe notwendig). Abgesehen davon, hab ich dasselbe Anfang (oder doch Ende, egal) Januar auch bei meiner DS223 gemacht - und da bestand kein Zertifikat unter neuer Domain; auch da war keine Portfreigabe notwendig.

 

[Benie]

Ist doch alles gut, ich habe das ja nur angemerkt, weil es eben nicht zum ersten Mal beantragt wurde. Und von der 223 war da ja noch keine Rede.