polikos
Goto Top

Verständnisproblem SSL Zertifikat mit CNAME für Synology

Hallo face-smile

Ich habe gerade meine Synology NAS erfolgreich mit Docker und NextCloud eingerichtet. Alles läuft reibungslos. Für den Remote-Zugriff habe ich einen DDNS von Synology verwendet und die Subdomain Muster.synology.me konfiguriert. Das Zertifikat wurde auch eingerichtet und ist von Lets Encrypt.

Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.

Jedoch tritt ein Problem auf, wenn ich versuche, auf remote.nextcloud.beispiel.de zuzugreifen. Die Seite lädt endlos und zeigt eine weiße Seite an. Das Zertifikat wird als ungültig angezeigt, und beim genaueren hinschauen steht beim Zertifikatfehlers: Das es sich um das Zertifikat von Muster.synology.me handelt.

Könnt Ihr mir mitteilen, welchen Denkfehler ich möglicherweise gemacht habe?

Vielen Dank und Grüße.

Content-ID: 4252851371

Url: https://administrator.de/contentid/4252851371

Printed on: October 10, 2024 at 04:10 o'clock

11078840001
Solution 11078840001 Jan 27, 2024 updated at 15:35:18 (UTC)
Goto Top
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.

Wildcard-Zertifikate gelten nur für eine Subdomain-Ebene vor dem Domainnamen!

  • Wenn du also remote.nextcloud.beispiel.de als Zugriffs-Domain nutzen willst dann muss das Zertifikat entweder auf
remote.nextcloud.beispiel.de
oder als Wildcard auf
*.nextcloud.beispiel.de
ausgestellt sein.

  • Wenn du als Zugriff die Domain
nextcloud.beispiel.de
nutzen willst dann muss das Zertifikat entweder auf
nextcloud.beispiel.de
oder als Wildcard auf
*.beispiel.de
ausgestellt sein.

Always read the fucking manual before going to practice and doing things you are not totally aware of!
https://en.m.wikipedia.org/wiki/Wildcard_certificate

A single wildcard certificate for https://*.example.com will secure all these subdomains on the https://*.example.com domain:

  • payment.example.com
  • contact.example.com
  • login-secure.example.com
  • www.example.com
Instead of getting separate certificates for subdomains, you can use a single certificate for all main domains and subdomains and reduce cost.[1]

Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:

test.login.example.com

☠️
tech-flare
tech-flare Jan 27, 2024 updated at 18:20:12 (UTC)
Goto Top
Zitat von @abamakabra:

Always read the fucking manual bevor going to practice and doing things you are not totally aware of!

before face-smile aber muss ich mir merken…cooler Spruch
11078840001
11078840001 Jan 27, 2024 updated at 17:51:42 (UTC)
Goto Top
Ja ja die vermaledeite Smartphone-Tippse hält mal wieder nicht ihre Klappe und meint alles ins Deutsche übersetzen zu müssen 🤪.
Polikos
Polikos Jan 28, 2024 at 10:51:50 (UTC)
Goto Top
Zitat von @abamakabra:

Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.

Wildcard-Zertifikate gelten nur für eine Subdomain-Ebene vor dem Domainnamen!

  • Wenn du also remote.nextcloud.beispiel.de als Zugriffs-Domain nutzen willst dann muss das Zertifikat entweder auf
remote.nextcloud.beispiel.de
oder als Wildcard auf
*.nextcloud.beispiel.de
ausgestellt sein.

  • Wenn du als Zugriff die Domain
nextcloud.beispiel.de
nutzen willst dann muss das Zertifikat entweder auf
nextcloud.beispiel.de
oder als Wildcard auf
*.beispiel.de
ausgestellt sein.

Always read the fucking manual before going to practice and doing things you are not totally aware of!
https://en.m.wikipedia.org/wiki/Wildcard_certificate

A single wildcard certificate for https://*.example.com will secure all these subdomains on the https://*.example.com domain:

  • payment.example.com
  • contact.example.com
  • login-secure.example.com
  • www.example.com
Instead of getting separate certificates for subdomains, you can use a single certificate for all main domains and subdomains and reduce cost.[1]

Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:

test.login.example.com

☠️

Vielen Dank für deine Nachricht.

Evt. habe ich es nicht verständlich geschrieben:

Folgende Domain haben Zertifikate:

Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:

nextcloud.beispiel.de

Dannach alles wieder gelöscht und folgende Subdomain erstellt:

remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.


Beides hatt nicht funktioniert. Ich rechechier bei Nextcloud weiter. Laut Nslookup zeigt es auch die richtige IP an, nähmlich die Public Adresse von der Synology.

Vielen Dank
Gruss
11078840001
Solution 11078840001 Jan 28, 2024 updated at 11:38:55 (UTC)
Goto Top
Zitat von @Polikos:
Vielen Dank für deine Nachricht.

Evt. habe ich es nicht verständlich geschrieben:

Folgende Domain haben Zertifikate:

Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:

nextcloud.beispiel.de

Dannach alles wieder gelöscht und folgende Subdomain erstellt:

remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.


Beides hatt nicht funktioniert.
Hast du denn die Domänennamen auch in der Synology entsprechend angepasst?
Virtual Hosts benötigen diesen Eintrag zwingend damit der richtige davon antworten kann.


Ich rechechier bei Nextcloud weiter. Laut Nslookup zeigt es auch die richtige IP an, nähmlich die Public Adresse von der Synology.
Ist das denn überhaupt eine öffentliche Adresse und nicht nur eine CarrierGrade NAT IP aus 100.64.x.x/10 oder RFC1918?
Prüfe die IP aber bitte nur direkt auf dem Default GW, wenn dort eine dieser Adressbereiche steht bleibt dir aus Prinzip nur der Zugriff über IPv6!
Bedenke das die CG NAT IP die dir wieistmeineip etc. anzeigt dann auch nicht weiterhilft!

By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade dieser Embedded Krams wird sehr schnell Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo solche ThridParty-Teile gehören nur per VPN im Zugriff zugelassen!
Lochkartenstanzer
Solution Lochkartenstanzer Jan 28, 2024 at 11:38:15 (UTC)
Goto Top
Zitat von @abamakabra:

By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!

Man darf nicht vergessen, daß die Inventarbots im Internet jeden Dienst inklusive Version katalogisieren und bei Bekanntwerden eines Exploits sofort innerhalb von Minuten zuschlagen können.

lks
Polikos
Solution Polikos Feb 15, 2024 at 17:22:18 (UTC)
Goto Top
Zitat von @11078840001:

Zitat von @Polikos:
Vielen Dank für deine Nachricht.

Evt. habe ich es nicht verständlich geschrieben:

Folgende Domain haben Zertifikate:

Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:

nextcloud.beispiel.de

Dannach alles wieder gelöscht und folgende Subdomain erstellt:

remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.


Beides hatt nicht funktioniert.
Hast du denn die Domänennamen auch in der Synology entsprechend angepasst?
Virtual Hosts benötigen diesen Eintrag zwingend damit der richtige davon antworten kann.


Ich rechechier bei Nextcloud weiter. Laut Nslookup zeigt es auch die richtige IP an, nähmlich die Public Adresse von der Synology.
Ist das denn überhaupt eine öffentliche Adresse und nicht nur eine CarrierGrade NAT IP aus 100.64.x.x/10 oder RFC1918?
Prüfe die IP aber bitte nur direkt auf dem Default GW, wenn dort eine dieser Adressbereiche steht bleibt dir aus Prinzip nur der Zugriff über IPv6!
Bedenke das die CG NAT IP die dir wieistmeineip etc. anzeigt dann auch nicht weiterhilft!

By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade dieser Embedded Krams wird sehr schnell Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo solche ThridParty-Teile gehören nur per VPN im Zugriff zugelassen!

Vielen Dank für die Info.

Ja, ist eine öffentliche IP. In der FW steht bei Gateway die öffentliche IP. Werde hier sowiso nur öffentliche Infos eintragen bzw speichern also keine Geschäfts / Privat relevanten Daten.


Zitat von @Lochkartenstanzer:

Zitat von @abamakabra:

By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!

Man darf nicht vergessen, daß die Inventarbots im Internet jeden Dienst inklusive Version katalogisieren und bei Bekanntwerden eines Exploits sofort innerhalb von Minuten zuschlagen können.

lks

Vielen Dank für die Info.

Ja, das ist so. Werden aber keine Relevanten Daten gespeichert.


Ich habe es nun so gelöst keine ahnung wieso es jetzt funktioniert, ich tippe auf ein DNS Problem vom Hostinganbieter.

Subdomain erstellt -> Die öffentiche IP mit A Record in der Namezone eingetragen.
Port Forwarding mit Port 80 und 443 auf die Syno erstellt.
Reverse Proxy erstellt mit dem Eintrag -> Subdomain mit Port 443 zeigt auf localhost
Bei Nextcloud in der Config noch die erlaubte Domain hinzugefügt.
Zertifikat bei Synology erstellt (letsencrypt).

Vielen Dank an alle!
Gruss