tweaker.ch Forum
Registrierung RSS Feed Selector Kalender Mitgliederliste Marktplatz Userbewertung Teammitglieder Suche Häufig gestellte Fragen Zur Startseite

tweaker.ch Forum » Allgemeine Diskussionsforen » Netzwerke » Syno Zertifikat Lets Encrypt » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Syno Zertifikat Lets Encrypt
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
hellvetier
Windowkit Käufer


Dabei seit: 20.08.2006
Beiträge: 109

Syno Zertifikat Lets Encrypt Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo Zusammen


Ich habe hier ein eigenartiges Problem das ich nicht verstehe.

Irgendwann im Dezember 2018 habe ich mein Syno eingerichtet und ein Zertifikat von lets Encrypt ausstellen lassen. Das hat dann auch geklappt, und so bilde ich mir ein, war das Zerti immer gültig und auch "grün".

Es scheint nun seit dem 04.03 das sich das Zerti erneuert hat, (automatisch?) und seither ist es irgendwie Fehlerhaft, zeigt zumindest jeweils nicht Sicher an.

Jetzt bin ich verunsichert...

Wenn ich das Zerti löschen oder erneuern will im DSM kommt jeweils Vorgang fehlgeschlagen.
Bevor ich das Zerti erneuern will, funktioniert auch im DSM alles, nach dem Erneuerungsversuch kommt bei einigen Menüpunkten Vorgang fehlgeschlagen oder keine Verbindung...

DAs einzige was mir einfällt, ist das ich kürzlich das Netzwerkkabel vom Router zum PC gewechselt habe.. aber das ist doch dem Zertifikat egal...

Hat jemand eine Erklärung oder einen Tipp zur Lösung des Problems?

Dateianhänge:
png 2019-03-14 05_10_23-Window.png (243,01 KB, 199 mal heruntergeladen)
png 2019-03-14 05_10_36-Window.png (118,33 KB, 203 mal heruntergeladen)
png 2019-03-14 05_10_44-Window.png (16 KB, 200 mal heruntergeladen)
png 2019-03-14 05_10_57-Window.png (17,16 KB, 197 mal heruntergeladen)
png 2019-03-14 05_11_03-Window.png (9 KB, 197 mal heruntergeladen)
14.03.2019 05:32 hellvetier ist offline E-Mail an hellvetier senden Beiträge von hellvetier suchen Nehme hellvetier in deine Freundesliste auf
Lintu   Zeige Lintu auf Karte
Grafikkarten Overclocker


Dabei seit: 26.12.2005
Beiträge: 220
Ort: Buchs SG

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Da du die Domain geschwärzt hast, passt das Zertifikat auch zur Domain mit welcher du auf das DSM zugreifst?

Ich habe bei mir neben dem LE Zertifikat auch noch ein "allgemeines" von Synology

__________________
Workstation: Shuttle HTPC, i5 7400, 8 GB RAM, Gigabyte GeForce GTX 1050 Ti WindForce, 256 GB m.2 SSD, 500 GB SATA SSD
Daten/Backup: Synology DS1215+ 5x 10TB als SHR
Multimedia: Samsung UE-46ES7080, Samsung BD-E5500, ATV 4. Gen., Onkyo TX NR 616, 2x Canton ERGO 80 DC, Canton AV 950, Canton AS 10, 2x KEF Picoforte 1
Mobile: MacBook Air 13" Mid2012, i5 1,8 GHz, 8 GB RAM, 256 GB SSD; iPhone SE 128 GB Silver
Foto: Olympus E-M10 mit ED 12-50mm 3.5-6.3 EZ und ED 9-18mm 4.0-5.6

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Lintu: 14.03.2019 09:18.

14.03.2019 09:18 Lintu ist offline E-Mail an Lintu senden Homepage von Lintu Beiträge von Lintu suchen Nehme Lintu in deine Freundesliste auf
hellvetier
Windowkit Käufer


Dabei seit: 20.08.2006
Beiträge: 109

Themenstarter Thema begonnen von hellvetier
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hm, nein der Zugriff war in diesem Fall von zuhause... also im internen Netzwerk mit der 192.168... Adresse zugegriffen...


Das aktuelle Zertifikat ist aber eigentlich für den Zugriff von Extern gelöst (entsprechende URL).

D.h. ich müsste auch noch ein Zertifikat einspielen für das lokale netzwerk?
14.03.2019 09:45 hellvetier ist offline E-Mail an hellvetier senden Beiträge von hellvetier suchen Nehme hellvetier in deine Freundesliste auf
seng   Zeige seng auf Karte
Delta Gehörgeschädigter


Dabei seit: 28.05.2002
Beiträge: 629
Ort: Aargau

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Das wird nicht funktionieren, wieso greifst du von intern nicht mit dem gleichen Namen auf das NAS zu?
14.03.2019 12:24 seng ist offline E-Mail an seng senden Homepage von seng Beiträge von seng suchen Nehme seng in deine Freundesliste auf
GP   Zeige GP auf Karte
Artefakte-Anschauer


Dabei seit: 16.05.2003
Beiträge: 1.262

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Und das dann alle 3 Monate. Ich würd für internen Zugriff einfach mit dem roten "nicht sicher" leben, ist weniger Aufwand.
14.03.2019 12:25 GP ist offline E-Mail an GP senden Beiträge von GP suchen Nehme GP in deine Freundesliste auf
cockroach   Zeige cockroach auf Karte
Untertakter

images/avatars/avatar-2635.gif

Dabei seit: 13.06.2005
Beiträge: 56
Ort: Bern

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Zitat:
Original von seng
Das wird nicht funktionieren, wieso greifst du von intern nicht mit dem gleichen Namen auf das NAS zu?


Ich würde das so machen, ist die saubere Lösung.

Alternativ kannst Du Dir selber eine CA einrichten und damit eigene Zertifikate ausstellen, die dann sowohl auf den externen Namen, wie auch auf die interne Adresse passen (und ewig gültig sind). Das ist aber halt ein wenig aufwendiger und nur eine Option, wenn Du keine "fremden" User hast.

__________________
Lian-Li PC-V1100B / Eizo FlexScan S2133 x 2 / Intel Core 2 Duo E7400 / Asus P5Q / Asus STRIX R7 370
14.03.2019 12:48 cockroach ist offline E-Mail an cockroach senden Beiträge von cockroach suchen Nehme cockroach in deine Freundesliste auf
Mannyac   Zeige Mannyac auf Karte
tweaker.ch Admin


images/avatars/avatar-2309.gif

Dabei seit: 29.01.2002
Beiträge: 5.642
Ort: Hinterm Stausee

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Ein Zertifikat ist immer für ein Domänenname (oder mehrere), niemals für eine IP. Somit völlig normal das du eine Fehlermeldung erhälst via IP. Vielleicht hast du früher intern nicht via HTTPS zugegriffen, somit braucht es das Zertifikat nicht und du erhälst auch keine Fehlermeldung.

Ich habe auf meinem internen DNS die externe Synology URL mit der internen IP eingetragen. Somit geht der Verkehr intern nicht noch extra über den Router. So kann ich einfach intern Zugreifen mit der gleichen URL zugreifen ohne Fehlermeldung.

@GP:
Die Erneuerung erledigt das Synology automatisch. So wie es mit Lets Encrypt sein soll. Ansonsten wäre das nicht brauchbar.

__________________
Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Mannyac: 14.03.2019 16:37.

14.03.2019 16:36 Mannyac ist offline E-Mail an Mannyac senden Homepage von Mannyac Beiträge von Mannyac suchen Nehme Mannyac in deine Freundesliste auf Füge Mannyac in deine Kontaktliste ein
cockroach   Zeige cockroach auf Karte
Untertakter

images/avatars/avatar-2635.gif

Dabei seit: 13.06.2005
Beiträge: 56
Ort: Bern

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Zitat:
Original von Mannyac
Ein Zertifikat ist immer für ein Domänenname (oder mehrere), niemals für eine IP


Ich bin mir ziemlich sicher dass man ein Zertifikat auch auf eine IP ausstellen kann, es wird sich einfach keine öffentliche CA finden, welche das signiert. Bei einer eigenen CA ist das aber kein Hindernis...

__________________
Lian-Li PC-V1100B / Eizo FlexScan S2133 x 2 / Intel Core 2 Duo E7400 / Asus P5Q / Asus STRIX R7 370
14.03.2019 16:41 cockroach ist offline E-Mail an cockroach senden Beiträge von cockroach suchen Nehme cockroach in deine Freundesliste auf
rovster
squabbler


images/avatars/avatar-1773.jpg

Dabei seit: 21.01.2005
Beiträge: 3.630
Ort: Rotkreuz

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Man kann Certs nicht auf eine IP ausstellen, wär ja absoluter Schwachsinn...

Mannyacs Lösung ist absolut richtig und wird auch normalerweise so gemacht...

__________________
Mobile-Workstation: Apple MacBook Pro 15 2017 // 16GB // Pro 555 // 1TB SSD // VMWare Fusion

Gaming-Station: i7-8700k @ 4.7GHz // 32GB // GTX 1080 // 1TB 960 EVO M.2 // Windows 10 Professional

Datengrab: Synology DS415+ // 18TB


14.03.2019 19:54 rovster ist offline E-Mail an rovster senden Beiträge von rovster suchen Nehme rovster in deine Freundesliste auf
cockroach   Zeige cockroach auf Karte
Untertakter

images/avatars/avatar-2635.gif

Dabei seit: 13.06.2005
Beiträge: 56
Ort: Bern

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Kann man sehr wohl, siehe Anhang.

Dateianhang:
png screen.png (46 KB, 116 mal heruntergeladen)


__________________
Lian-Li PC-V1100B / Eizo FlexScan S2133 x 2 / Intel Core 2 Duo E7400 / Asus P5Q / Asus STRIX R7 370

Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von cockroach: 14.03.2019 20:15.

14.03.2019 20:12 cockroach ist offline E-Mail an cockroach senden Beiträge von cockroach suchen Nehme cockroach in deine Freundesliste auf
rovster
squabbler


images/avatars/avatar-1773.jpg

Dabei seit: 21.01.2005
Beiträge: 3.630
Ort: Rotkreuz

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

https://de.m.wikipedia.org/wiki/X.509
RFC ist ebenfalls verwiesen...

__________________
Mobile-Workstation: Apple MacBook Pro 15 2017 // 16GB // Pro 555 // 1TB SSD // VMWare Fusion

Gaming-Station: i7-8700k @ 4.7GHz // 32GB // GTX 1080 // 1TB 960 EVO M.2 // Windows 10 Professional

Datengrab: Synology DS415+ // 18TB


14.03.2019 21:35 rovster ist offline E-Mail an rovster senden Beiträge von rovster suchen Nehme rovster in deine Freundesliste auf
cockroach   Zeige cockroach auf Karte
Untertakter

images/avatars/avatar-2635.gif

Dabei seit: 13.06.2005
Beiträge: 56
Ort: Bern

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

https://tools.ietf.org/html/rfc3779

Und was soll das? Ich werde ja wohl wissen, ob ich so ein Zertifikat im Einsatz habe oder nicht.

__________________
Lian-Li PC-V1100B / Eizo FlexScan S2133 x 2 / Intel Core 2 Duo E7400 / Asus P5Q / Asus STRIX R7 370
14.03.2019 22:09 cockroach ist offline E-Mail an cockroach senden Beiträge von cockroach suchen Nehme cockroach in deine Freundesliste auf
hellvetier
Windowkit Käufer


Dabei seit: 20.08.2006
Beiträge: 109

Themenstarter Thema begonnen von hellvetier
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Zitat:
Original von seng
Das wird nicht funktionieren, wieso greifst du von intern nicht mit dem gleichen Namen auf das NAS zu?



Naja, weil es ja halt intern wäre... ansonsten gehe ich ja übers Internet... macht zwar nix, aber ist irgendwie auch komisch Happy



Zitat:
Und das dann alle 3 Monate. Ich würd für internen Zugriff einfach mit dem roten "nicht sicher" leben, ist weniger Aufwand.


Da bin ich mir gerade nicht sicher. Auf jedenfall erneuert sich das Zertifikat alle 3 Monate automatisch.
Muss ich da eigentlich erwarten, weil das Zertifikat ja ändert, das da jeweils beim 1 mal aufrufen die Geräte jeweils meckern wegen dem neuen / veränderten Zertifikat?


Zitat:
ch würde das so machen, ist die saubere Lösung. Alternativ kannst Du Dir selber eine CA einrichten und damit eigene Zertifikate ausstellen, die dann sowohl auf den externen Namen, wie auch auf die interne Adresse passen (und ewig gültig sind). Das ist aber halt ein wenig aufwendiger und nur eine Option, wenn Du keine "fremden" User hast.


So wie ich verstehe, meinst du ein selbst ausgestelltes Zertifikat oder?



Zitat:
Ich habe auf meinem internen DNS die externe Synology URL mit der internen IP eingetragen. Somit geht der Verkehr intern nicht noch extra über den Router. So kann ich einfach intern Zugreifen mit der gleichen URL zugreifen ohne Fehlermeldung.


Das ist eine gute idee. Kriege ich das auf einer Fritzbox auch hin? Konnte gerade nix dazu finden darauf...


Zitat:
Ich bin mir ziemlich sicher dass man ein Zertifikat auch auf eine IP ausstellen kann, es wird sich einfach keine öffentliche CA finden, welche das signiert. Bei einer eigenen CA ist das aber kein Hindernis...



Aja, jetzt verstehe ich es, logisch. Man kann ein eigenes CA erstellen für die IP, welche jedoch nie von irgend einem öffentlichen signiert wird...




Danke für eure Antworten...

Die Lösung scheint wie vorgeschlagen, einfach immer über die gleiche Adresse zuzugreifen, am besten jedoch am internen DNS diese Adresse gleich auf die interne IP weiterzuleiten, dann geht man nicht sinnloserweise raus und wieder rein, da man ja lokal im Netzwerk ist.
15.03.2019 05:44 hellvetier ist offline E-Mail an hellvetier senden Beiträge von hellvetier suchen Nehme hellvetier in deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
tweaker.ch Forum » Allgemeine Diskussionsforen » Netzwerke » Syno Zertifikat Lets Encrypt

Impressum


Powered by Burning Board 2.3.6 © WoltLab GbR

Server sponsored by