Toggle sidebar

Photo Station Zertifikatfehler bei Photo Station 6 über HTTPS

Status
Für weitere Antworten geschlossen.
Ich wüsste nicht wo ich in Safari gespeicherte Zertifikate löschen kann.
Über die Schlüsselbundverwaltung meines Mac habe ich die alten Einträge zu Selfhost.de entfernt.
Trotzdem bleibt das Chaos.

Hier nochmal die Übersicht von dem was passiert:

ÜBER DDNS...

1. ... auf meinen Router
URL: https://xy.selfhost.eu
Zertifikat: Inhaber xy.selfhost.eu; Aussteller xy.selfhost.eu; Root-Zertifikat nicht vertrauenswürdig

2. ... auf die Diskstation
URL: https://xy.selfhost.eu:5001
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; Nicht gültig; Hostname stimmt nicht überein
Frage: WARUM bekomme ich das neue Zertifikat für meine eigene Domain, wenn ich nicht den Weg über die eigene Domain gegangen bin? Und warum passiert nicht das selbe wenn ich auf den Router gehe?

3. ... auf Photo Station
URL: https://xy.selfhost.eu:444/photo
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; gültig JEIN, Hostname stimmt nicht überein
Fragen: Warum bekomme ich hier wieder das neue Zertifikat? Und warum bekomme ich keine Zertifikatswarnung, obwohl der Hostname nicht übereinstimmt?


Über eigene Domain (CNAME)...

4. ... auf meinen Router
URL: https://sub.eigenedomain.de
Zertifikat: Inhaber xy.selfhost.eu; Aussteller xy.selfhost.eu; Root-Zertifikat nicht vertrauenswürdig
Frage: Warum bekomme ich das alte Zertifikat, wenn ich die eigene Domain mit eigenem Zertifikat anwähle?

5. ... auf die Diskstation
URL: https://sub.eigenedomain.de:5001
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; gültig: JA!

6. ... auf Photo Station
URL: https://sub.eigenedomain.de:444/photo
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; gültig JA!
 
Zuletzt bearbeitet:
nochmal wie kommst du an ein zertifikat von selfhost.eu ? schick mir mal deine Domains als PN dass ich als "frischer" user von extern schauen kann.
 
Also ja du hast ein kleines Chaos. Punkt eins die Zertifikate die nicht von startssl kommen sind nicht von selfhost oder sonstwas sondern sind von deiner Diskstation selbst und haben aber keinen eintrag mehr für ein Root certifikat (normalerweiße kommt da synology.com) und wie hast du es geschaft, dass ein zertifikat für verschiedene Domains gelten soll? Dann ist die Frage wie bist du vorgegangen beim erstellen des startssl certifikats, denn du schreibst von selbstunterzeichnetem Key und selbsterstelltes certificat. Bei mir hat das startssl alles gemacht und ich habe es nur eingefügt. Die .de Links incl. 444 und 5001 funktionieren einwandfrei, ohne port kann wieder an dem Cname Eintrag liegen das hatte ja auch der user im dem vom mir verlinkten thread. Wenn du schon bei Selfhost bist, ist es nicht möglich die Domain dorthin umzuziehen? Eventuell nächstes jahr wenn das zertifikat ausläuft. Oder du ziehst um und erstellst nochmal eins wie ich für die Subdomain www. dann sind alle anderen domain.de/xxx mit dabei. Die .eu können eigentlich ja auch nicht gehen, da dein zertifikat nur für die .de domain gilt. Wenn ich jetzt eine andere subdomain aufrufe kommt natürlich auch ein Fehler, da ich ja nur für eine subdomain und die Hauptdomain das Zertifikat habe.
 
umbrella schrieb:
ÜBER DDNS...
...
2. ... auf die Diskstation
URL: https://xy.selfhost.eu:5001
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; Nicht gültig; Hostname stimmt nicht überein
Frage: WARUM bekomme ich das neue Zertifikat für meine eigene Domain, wenn ich nicht den Weg über die eigene Domain gegangen bin? Und warum passiert nicht das selbe wenn ich auf den Router gehe?

3. ... auf Photo Station
URL: https://xy.selfhost.eu:444/photo
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; gültig JEIN, Hostname stimmt nicht überein
Fragen: Warum bekomme ich hier wieder das neue Zertifikat? Und warum bekomme ich keine Zertifikatswarnung, obwohl der Hostname nicht übereinstimmt?
Zum Vergrößern anklicken....
In diesen beiden Fallen ist das Verhalten völlig normal - egal, wie Du per https auf die DS zugreifst (ob nun per DDNS, eigene Domain oder auch Eingabe der WAN-IP Deines Anschlusses und entsprechender Portweiterleitung zur DS), wird die DS immer das dort hinterlegte Zertifikat, aktuell also das von StartSSL ausliefern!
Allerdings wirst Du nur bei Zugriff über die eigene Domain/Subdomain keine Zertifikatswarnung bekommen, wie es bei DDNS bzw. IP der Fall ist - denn eine Warnung bekommst Du immer dann, wenn die Adresse in der Adresszeile des Browsers nicht mit dem Domain-Eintrag im Zertifikat übereinstimmt!

umbrella schrieb:
Über eigene Domain (CNAME)...
...
5. ... auf die Diskstation
URL: https://sub.eigenedomain.de:5001
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; gültig: JA!

6. ... auf Photo Station
URL: https://sub.eigenedomain.de:444/photo
Zertifikat: Inhaber sub.eigenedomain.de; Aussteller StartSSL; gültig JA!
Zum Vergrößern anklicken....

Hier gilt das gleiche wie bereits oben beschrieben - sobald Du auf die DS zugreifst (hier per eigener Domain), liefert sie das dort hinterlegte StartSSL-Zertifikat aus. Da die Adresse in der Adresszeile des Browsers mit der Domain-Angabe im Zertifikat übereinstimmt, wird der Zugriff ohne Warnung als gültig gewertet

umbrella schrieb:
ÜBER DDNS...

1. ... auf meinen Router
URL: https://xy.selfhost.eu
Zertifikat: Inhaber xy.selfhost.eu; Aussteller xy.selfhost.eu; Root-Zertifikat nicht vertrauenswürdig
...
Über eigene Domain (CNAME)...

4. ... auf meinen Router
URL: https://sub.eigenedomain.de
Zertifikat: Inhaber xy.selfhost.eu; Aussteller xy.selfhost.eu; Root-Zertifikat nicht vertrauenswürdig
Frage: Warum bekomme ich das alte Zertifikat, wenn ich die eigene Domain mit eigenem Zertifikat anwähle?
...
Zum Vergrößern anklicken....

Das ist offenbar ein Verhalten Deines Routers, der bei einem https-Zugriff das DDNS-Zertifikat weiterleitet.
Bei der Fritzbox kann man bspw. in der aktuellen Firmware ein Zertifikat importieren, welches bei Zugriff ausgeliefert wird - ich habe das bei mir einmal getestet: importiere ich dort das gleiche StartSSL-Zertifikat, was ich auf meiner DS habe, dann wird es ebenfalls von der Fritzbox ausgeliefert, wenn ich darauf zugreife.
 
Zuletzt bearbeitet:
heavy schrieb:
die Zertifikate die nicht von startssl kommen sind nicht von selfhost oder sonstwas sondern sind von deiner Diskstation selbst und haben aber keinen eintrag mehr für ein Root certifikat (normalerweiße kommt da synology.com) und wie hast du es geschaft, dass ein zertifikat für verschiedene Domains gelten soll?
Zum Vergrößern anklicken....
Ich hatte nur im Frühjahr mal in der DSM von Synology selbst signierte Zertifikate erstellt. Vielleicht habe ich ahnungslos dort etwas falsch eingetragen?
Ansonsten hatte ich nie was mit Zertifikaten zu tun.

heavy schrieb:
Dann ist die Frage wie bist du vorgegangen beim erstellen des startssl certifikats, denn du schreibst von selbstunterzeichnetem Key und selbsterstelltes certificat.
Zum Vergrößern anklicken....
Damit meine ich dass ich die Passphrase erstellt habe, mit dem der SSL-Key von StartSSL entschlüsselt wird. Natürlich kommt der Schlüssel und das Zertifikat selbst von StartSSL.com. Die haben dort so eine Toolbox in die man den SSL-Key als Plain Text eingeben und mit der eigenen Passphrase entschlüsseln kann. Damit wird dann der Schlüssel und das passende Zertifikat generiert.

heavy schrieb:
ohne port kann wieder an dem Cname Eintrag liegen das hatte ja auch der user im dem vom mir verlinkten thread.
Zum Vergrößern anklicken....

Dann täusche ich mich also nicht wenn ich das Gefühl habe, dass z.B. die PhotoStation über sub.eigenedomain.de/photo erreichbar sein sollte (ohne Port :444)? Aber ein Problem ist das ja auch nicht wirklich, oder?

heavy schrieb:
Wenn du schon bei Selfhost bist, ist es nicht möglich die Domain dorthin umzuziehen? Eventuell nächstes jahr wenn das zertifikat ausläuft. Oder du ziehst um und erstellst nochmal eins wie ich für die Subdomain www. dann sind alle anderen domain.de/xxx mit dabei. Die .eu können eigentlich ja auch nicht gehen, da dein zertifikat nur für die .de domain gilt. Wenn ich jetzt eine andere subdomain aufrufe kommt natürlich auch ein Fehler, da ich ja nur für eine subdomain und die Hauptdomain das Zertifikat habe.
Zum Vergrößern anklicken....
Umziehen wird leider keine Option sein, da das ganze von einem Cousin verwaltet wird und noch einige andere Sachen dranhängen.
Was Du danach schreibst ist mir ehrlich gesagt zu hoch - verstehe ich es richtig dass z.B. das Ansprechen der PhotoStation sub.eigenedomain.de/photo (ohne Port :444) möglich wäre, wenn der CNAME nicht nur auf die Subdomain sondern auf www.eigenedomain.de zeigen würde?

Frogman schrieb:
eine Warnung bekommst Du immer dann, wenn die Adresse in der Adresszeile des Browsers nicht mit dem Domain-Eintrag im Zertifikat übereinstimmt! ... Da die Adresse in der Adresszeile des Browsers mit der Domain-Angabe im Zertifikat übereinstimmt, wird der Zugriff ohne Warnung als gültig gewertet
Zum Vergrößern anklicken....
Das macht Sinn, danke für die Erklärung.

Frogman schrieb:
Bei der Fritzbox kann man bspw. in der aktuellen Firmware ein Zertifikat importieren, welches bei Zugriff ausgeliefert wird
Zum Vergrößern anklicken....
Werde ich gleich mal ausprobieren, vielen Dank!
 
umbrella schrieb:
... - verstehe ich es richtig dass z.B. das Ansprechen der PhotoStation sub.eigenedomain.de/photo (ohne Port :444) möglich wäre, wenn der CNAME nicht nur auf die Subdomain sondern auf www.eigenedomain.de zeigen würde?
Zum Vergrößern anklicken....
Das eine hat mit dem anderen nichts zu tun. Der CNAME-Record sorgt lediglich dafür, dass Du bei Aufruf Deiner Subdomain/Domain bei Deinem Anschluss landest - denn der DNS-Server löst einen CNAME-Eintrag bis zu einer IP-Adresse (also der aktuellen WAN-Adresse Deines Anschlusses) auf. Was dann passiert, legst Du mit den vhost-Einstellungen Deines Webservers fest.
 
Frogman schrieb:
Bei der Fritzbox kann man bspw. in der aktuellen Firmware ein Zertifikat importieren
Zum Vergrößern anklicken....
Die Fritzbox will von mir eine PEM Datei. Ich habe die von StartSSL, aber das klappt nicht. Wie kann ich aus meinem Schlüssel und dem Zertifikat eine PEM Datei erstellen?
 
Die Dateien von StartSSL sind üblicherweise Dateien im PEM-Format. Ändere einmal die Endung auf *.pem
 
Frogman schrieb:
Die Dateien von StartSSL sind üblicherweise Dateien im PEM-Format. Ändere einmal die Endung auf *.pem
Zum Vergrößern anklicken....
Ist es schon. Der Dateiname lautet sub.class1.server.ca.pem. Aber die Fritzbox will ihn nicht schlucken.

Frogman schrieb:
der DNS-Server löst einen CNAME-Eintrag bis zu einer IP-Adresse (also der aktuellen WAN-Adresse Deines Anschlusses) auf. Was dann passiert, legst Du mit den vhost-Einstellungen Deines Webservers fest.
Zum Vergrößern anklicken....
Das heißt es gibt einen einfachen Weg, dass ich auf die Ports in der URL verzichten kann?
Wo kann ich diese Einstellungen des vhost vornehmen?
Dann könnte ich z.B. auch sub.eigenedomain.de/dsm festlegen anstatt sub.eigenedomain.de:5001 ?
 
umbrella schrieb:
Ist es schon. Der Dateiname lautet sub.class1.server.ca.pem. Aber die Fritzbox will ihn nicht schlucken.
Zum Vergrößern anklicken....
Das ist nur das Intermediate-Zertifikat. Du musst - wenn Deine Fritzbox keine Eingabe eines Intermediates zulässt - dieses zusammen mit dem eigentlichen Serverzertifikat in eine Datei zusammenpacken und dann der Fritzbox geben.
 
Einfach in der Textdatei übereinander schreiben?
Reihenfolge? Leerzeile?
 
Nun möchte ich die Sache mal wieder zum Forenthema hinlenken.
Es ist ja schön dass ich nun die Photostation über meine eigene Domain erreichen kann ohne Zertifikatswarnung. Leider hilft mir das in der Sache aber noch nicht weiter, denn wenn ich irgendwelche Bilder in einem privaten Album markiere und diese teilen will, dann wird wieder ein Link über xy.selfhost.eu generiert, was natürlich wieder zur Zertifikatswarnung führt.

Wie sage ich der Photostation, dass sie ab jetzt die Links über meine Domain teilen soll?
 
Dafür musst Du - wie andernorts, bspw. hier, bereits oft besprochen - Deine Subdomain/Domain für den externen Zugriff eintragen.
 
Leider konnte ich aus dem Forenbeitrag und aus der DSM-Hilfe nicht entnehmen, was ich da genau eintragen soll.
Es gibt die Felder
Hostname oder statische IP-Adresse Hier soll wohl meine Domain rein, aber mit welcher Schreibweise? inkl. Subdomain? inkl. https://? Der Eintrag von sub.meinedomain.de hat momentan keine Änderung bewirkt.
DSM (HTTP) - freilassen?
DSM (HTTPS) - freilassen?
 
Zuletzt bearbeitet:
Ja, leider keine Änderung!? Link geht immer noch über Selfhost
 
Schau mal in die Einstellungen der Photo Station - hab das nicht im Kopf, ob es dort eine weitere Einstellung dieser Art gibt...
 
Jaaaahahaa
natürlich, dort werden Hostname und Port hinterlegt und jetzt klappt es!!!
Da hätte ich auch selber drauf kommen können, sorry...
Freue mich! Endlich einfach Fotos teilen mit einfachem Link, ohne neue oder doppelte Ordner, ohne Zertifikatsprobleme... perfekt, 1000 Dank!
 
Ich habe nun in der DSM unter Systemsteuerung/Externer Zugriff/Erweitert den Eintrag wieder rausgenommen (und neu gestartet). Öffentliche Links von der Photo-Station werden trotzdem über meine Domain generiert. Der Eintrag scheint hierzu also nicht nötig zu sein?
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten