SSL-Zertifikat in QNAP
Guten Abend in die Runde,
Folgende Problemstellung: Ich betreibe ein QNAP-NAS welches ich (und auch Bekannte) gerne von außerhalb benutzen möchten unter qnap.example.de.
Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Folgende Problemstellung: Ich betreibe ein QNAP-NAS welches ich (und auch Bekannte) gerne von außerhalb benutzen möchten unter qnap.example.de.
Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 636119
Url: https://administrator.de/forum/ssl-zertifikat-in-qnap-636119.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
8 Kommentare
Neuester Kommentar
Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Da du eine Sophos im Einsatz hast, wäre es gut zu wissen, ob du die WAF aktiv hast... wenn ja, musst das Zertifikat auch dort hinterlegt sein
Davon mal abgesehen gilt ein Zertifikat „normal“ nur für eine „Domain“. Ein Wildcard auch für alle Subdomains.
Beispiel:
Zertifikat
Qnap.meinedomain.de
oder
*.meinedomain.de
Geht:
meinqnap.meinedomain.de
Geht nicht:
Meinqnap.dyndns.de
Zertifikat und CNAME verträgt sich nicht richtig in Verbindung mit „einfachen“ dyndns
Für solche Fälle haben richtige Hoster bzw. richtige DomainAnbieter einen eigene dyndns Service, welcher die eigene subdomain als dyndns anbietet.
Zb.:
meindyndns.meinedomain.de (um beim Beispiel von oben zu bleiben).
——
Nichtsdestotrotz würde ich kein QNAP blank ins Internet stellen. Auch nicht über SSL. Die hatten mir schon zuviele Sicherheitslücken
Zitat von @Welly92:
Vielen Dank für die schnelle Antwort.
So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:
1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet?
ja...definitiv.Vielen Dank für die schnelle Antwort.
So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:
1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet?
Strato bietet dies an und inwx.de als klassicher Domainhoster auch...diese haben sogar eine API, womit sich problemlos LetsEncrypt Wildcard Certs erstellen lassen können.
2. Lieber alles über VPN realisieren? Ich denke hier an die Einfachheit für meine Bekannten und Freunde welche mit qnap.example.de und Benutzer und Passwort besser zurecht kommen als mit Installation eines VPN-Clients. Wirklich vertrauliche Dateien sollen darüber eh nicht ausgetauscht werden, aber der Sicherheitsaspekt spielt natürlich trotzdem eine Rolle.
Dann würde ich nur ein VPN realisieren und keinen direkten Zugang. Gerade mit einer Sophos ist dies ja eine Fingerübung und da kannst dort SSL VPN aktivieren, welches sich mit den klassischen OpenVPN Programmen verwenden lässt.
Nur 2 Beispiele, was passieren kann, wenn das NAS (sei es QNAP, Synology oder was auch immer) direkt im Netz hängen
QNAP Sicherheitswarnung vor eCh0raix-Ransomware
AgeLocker-Ransomware stiehlt Daten von QNAP-NAS
Wenn es dir nur um Dateiaustausch geht, lässt sich das QNAP als "HybridMount" z.B. mit einer Cloud verbinden (z.B. Nextcloud)....das heißt, dass die Nextcloud im QNAP gemountet ist....du greifst darüber ganz normal über deine QNAP Laufwerke zu und deine Bekannt über den NextCloud / die Nextcloud App.
Aber.....viele Wege führen nach Rom
@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
Was zeigt denn der Browser für ein Zertifikat an? Ist das auch das LE-Zertifikat oder irgendein anderes?
Ansonsten wäre meine Empfehlung aber auch: Stelle das NAS nicht direkt ins Netz (da gibt es aktuell wieder sehr vorzeigbare Gründe) sondern sorge dafür, dass die Sophos Reverse-Proxy spielt und eine simple Kennwort-Abfrage vorschaltet, wenn es auch ohne VPN erreichbar sein soll.
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
Was zeigt denn der Browser für ein Zertifikat an? Ist das auch das LE-Zertifikat oder irgendein anderes?
Ansonsten wäre meine Empfehlung aber auch: Stelle das NAS nicht direkt ins Netz (da gibt es aktuell wieder sehr vorzeigbare Gründe) sondern sorge dafür, dass die Sophos Reverse-Proxy spielt und eine simple Kennwort-Abfrage vorschaltet, wenn es auch ohne VPN erreichbar sein soll.
Zitat von @LordGurke:
@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
ja war etwas ungünstig formuliert.
Wenn er qnap.meinedomain.de per CNAME auf qnap.dyndns.de leitet, bleibt qnap.meinedomain.de im Browser stehen und es MUSS das Zertifikat zu qnap.meinedomain.de passen.
Daher meine Frage, ob er die WAF in der Sophos Aktiv hat und auch dort das richtige Zertifikat eingebunden hat.