Syno Zertifikat Lets Encrypt

  • Hallo Zusammen



    Ich habe hier ein eigenartiges Problem das ich nicht verstehe.


    Irgendwann im Dezember 2018 habe ich mein Syno eingerichtet und ein Zertifikat von lets Encrypt ausstellen lassen. Das hat dann auch geklappt, und so bilde ich mir ein, war das Zerti immer gültig und auch "grün".


    Es scheint nun seit dem 04.03 das sich das Zerti erneuert hat, (automatisch?) und seither ist es irgendwie Fehlerhaft, zeigt zumindest jeweils nicht Sicher an.


    Jetzt bin ich verunsichert...


    Wenn ich das Zerti löschen oder erneuern will im DSM kommt jeweils Vorgang fehlgeschlagen.
    Bevor ich das Zerti erneuern will, funktioniert auch im DSM alles, nach dem Erneuerungsversuch kommt bei einigen Menüpunkten Vorgang fehlgeschlagen oder keine Verbindung...


    DAs einzige was mir einfällt, ist das ich kürzlich das Netzwerkkabel vom Router zum PC gewechselt habe.. aber das ist doch dem Zertifikat egal...


    Hat jemand eine Erklärung oder einen Tipp zur Lösung des Problems?

  • Da du die Domain geschwärzt hast, passt das Zertifikat auch zur Domain mit welcher du auf das DSM zugreifst?


    Ich habe bei mir neben dem LE Zertifikat auch noch ein "allgemeines" von Synology

    Workstation: Shuttle HTPC, i5 7400, 16GB RAM, Gigabyte GeForce GTX 1050 Ti WindForce, 256GB m.2 SSD, 4TB SATA HDD

    Homelab: Intel NUC8i3BEH2, i3-8109U, 32GB RAM, 2x 500B SSD (PiHole, Plex-Server, Proxy, Bitwarden, Mailcow)
    Daten: Synology DS1813+ 5x 10TB als SHR, 2x 4TB als SHR
    Media: LG OLED65C8, Playstation 4, Nintendo Switch, Sonos Playbar inkl. 2x Symfonisk Rear + Sub
    Mobile: MacBook Air 13" Mid2019, i5 1,6 GHz, 16GB RAM, 500GB SSD; iPhone 13 Pro 128 GB Spacegrey

    Einmal editiert, zuletzt von Lintu ()

  • Hm, nein der Zugriff war in diesem Fall von zuhause... also im internen Netzwerk mit der 192.168... Adresse zugegriffen...



    Das aktuelle Zertifikat ist aber eigentlich für den Zugriff von Extern gelöst (entsprechende URL).


    D.h. ich müsste auch noch ein Zertifikat einspielen für das lokale netzwerk?

  • Und das dann alle 3 Monate. Ich würd für internen Zugriff einfach mit dem roten "nicht sicher" leben, ist weniger Aufwand.

  • Zitat

    Original von seng
    Das wird nicht funktionieren, wieso greifst du von intern nicht mit dem gleichen Namen auf das NAS zu?


    Ich würde das so machen, ist die saubere Lösung.


    Alternativ kannst Du Dir selber eine CA einrichten und damit eigene Zertifikate ausstellen, die dann sowohl auf den externen Namen, wie auch auf die interne Adresse passen (und ewig gültig sind). Das ist aber halt ein wenig aufwendiger und nur eine Option, wenn Du keine "fremden" User hast.

    Lian-Li PC-V1100B / Eizo FlexScan S2133 x 2 / Intel Core 2 Duo E7400 / Asus P5Q / Asus STRIX R7 370

  • Ein Zertifikat ist immer für ein Domänenname (oder mehrere), niemals für eine IP. Somit völlig normal das du eine Fehlermeldung erhälst via IP. Vielleicht hast du früher intern nicht via HTTPS zugegriffen, somit braucht es das Zertifikat nicht und du erhälst auch keine Fehlermeldung.


    Ich habe auf meinem internen DNS die externe Synology URL mit der internen IP eingetragen. Somit geht der Verkehr intern nicht noch extra über den Router. So kann ich einfach intern Zugreifen mit der gleichen URL zugreifen ohne Fehlermeldung.


    GP:
    Die Erneuerung erledigt das Synology automatisch. So wie es mit Lets Encrypt sein soll. Ansonsten wäre das nicht brauchbar.

    Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!

    Einmal editiert, zuletzt von Mannyac ()

  • Zitat

    Original von Mannyac
    Ein Zertifikat ist immer für ein Domänenname (oder mehrere), niemals für eine IP


    Ich bin mir ziemlich sicher dass man ein Zertifikat auch auf eine IP ausstellen kann, es wird sich einfach keine öffentliche CA finden, welche das signiert. Bei einer eigenen CA ist das aber kein Hindernis...

    Lian-Li PC-V1100B / Eizo FlexScan S2133 x 2 / Intel Core 2 Duo E7400 / Asus P5Q / Asus STRIX R7 370

  • Man kann Certs nicht auf eine IP ausstellen, wär ja absoluter Schwachsinn...


    Mannyacs Lösung ist absolut richtig und wird auch normalerweise so gemacht...

  • Zitat

    Original von seng
    Das wird nicht funktionieren, wieso greifst du von intern nicht mit dem gleichen Namen auf das NAS zu?



    Naja, weil es ja halt intern wäre... ansonsten gehe ich ja übers Internet... macht zwar nix, aber ist irgendwie auch komisch =)




    Zitat

    Und das dann alle 3 Monate. Ich würd für internen Zugriff einfach mit dem roten "nicht sicher" leben, ist weniger Aufwand.


    Da bin ich mir gerade nicht sicher. Auf jedenfall erneuert sich das Zertifikat alle 3 Monate automatisch.
    Muss ich da eigentlich erwarten, weil das Zertifikat ja ändert, das da jeweils beim 1 mal aufrufen die Geräte jeweils meckern wegen dem neuen / veränderten Zertifikat?



    Zitat

    ch würde das so machen, ist die saubere Lösung. Alternativ kannst Du Dir selber eine CA einrichten und damit eigene Zertifikate ausstellen, die dann sowohl auf den externen Namen, wie auch auf die interne Adresse passen (und ewig gültig sind). Das ist aber halt ein wenig aufwendiger und nur eine Option, wenn Du keine "fremden" User hast.


    So wie ich verstehe, meinst du ein selbst ausgestelltes Zertifikat oder?




    Zitat

    Ich habe auf meinem internen DNS die externe Synology URL mit der internen IP eingetragen. Somit geht der Verkehr intern nicht noch extra über den Router. So kann ich einfach intern Zugreifen mit der gleichen URL zugreifen ohne Fehlermeldung.


    Das ist eine gute idee. Kriege ich das auf einer Fritzbox auch hin? Konnte gerade nix dazu finden darauf...



    Zitat

    Ich bin mir ziemlich sicher dass man ein Zertifikat auch auf eine IP ausstellen kann, es wird sich einfach keine öffentliche CA finden, welche das signiert. Bei einer eigenen CA ist das aber kein Hindernis...



    Aja, jetzt verstehe ich es, logisch. Man kann ein eigenes CA erstellen für die IP, welche jedoch nie von irgend einem öffentlichen signiert wird...





    Danke für eure Antworten...


    Die Lösung scheint wie vorgeschlagen, einfach immer über die gleiche Adresse zuzugreifen, am besten jedoch am internen DNS diese Adresse gleich auf die interne IP weiterzuleiten, dann geht man nicht sinnloserweise raus und wieder rein, da man ja lokal im Netzwerk ist.