Verständnisproblem SSL Zertifikat mit CNAME für Synology
Hallo
Ich habe gerade meine Synology NAS erfolgreich mit Docker und NextCloud eingerichtet. Alles läuft reibungslos. Für den Remote-Zugriff habe ich einen DDNS von Synology verwendet und die Subdomain Muster.synology.me konfiguriert. Das Zertifikat wurde auch eingerichtet und ist von Lets Encrypt.
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.
Jedoch tritt ein Problem auf, wenn ich versuche, auf remote.nextcloud.beispiel.de zuzugreifen. Die Seite lädt endlos und zeigt eine weiße Seite an. Das Zertifikat wird als ungültig angezeigt, und beim genaueren hinschauen steht beim Zertifikatfehlers: Das es sich um das Zertifikat von Muster.synology.me handelt.
Könnt Ihr mir mitteilen, welchen Denkfehler ich möglicherweise gemacht habe?
Vielen Dank und Grüße.
Ich habe gerade meine Synology NAS erfolgreich mit Docker und NextCloud eingerichtet. Alles läuft reibungslos. Für den Remote-Zugriff habe ich einen DDNS von Synology verwendet und die Subdomain Muster.synology.me konfiguriert. Das Zertifikat wurde auch eingerichtet und ist von Lets Encrypt.
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.
Jedoch tritt ein Problem auf, wenn ich versuche, auf remote.nextcloud.beispiel.de zuzugreifen. Die Seite lädt endlos und zeigt eine weiße Seite an. Das Zertifikat wird als ungültig angezeigt, und beim genaueren hinschauen steht beim Zertifikatfehlers: Das es sich um das Zertifikat von Muster.synology.me handelt.
Könnt Ihr mir mitteilen, welchen Denkfehler ich möglicherweise gemacht habe?
Vielen Dank und Grüße.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4252851371
Url: https://administrator.de/forum/verstaendnisproblem-ssl-zertifikat-mit-cname-fuer-synology-4252851371.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
7 Kommentare
Neuester Kommentar
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.
Wildcard-Zertifikate gelten nur für eine Subdomain-Ebene vor dem Domainnamen!
- Wenn du also remote.nextcloud.beispiel.de als Zugriffs-Domain nutzen willst dann muss das Zertifikat entweder auf
oder als Wildcard auf
*.nextcloud.beispiel.de
ausgestellt sein.
- Wenn du als Zugriff die Domain
nutzen willst dann muss das Zertifikat entweder auf
nextcloud.beispiel.de
oder als Wildcard auf
*.beispiel.de
ausgestellt sein.
Always read the fucking manual before going to practice and doing things you are not totally aware of!
https://en.m.wikipedia.org/wiki/Wildcard_certificate
A single wildcard certificate for https://*.example.com will secure all these subdomains on the https://*.example.com domain:
Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:
test.login.example.com
- payment.example.com
- contact.example.com
- login-secure.example.com
- www.example.com
Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:
test.login.example.com
☠️
Ja ja die vermaledeite Smartphone-Tippse hält mal wieder nicht ihre Klappe und meint alles ins Deutsche übersetzen zu müssen 🤪.
Zitat von @Polikos:
Vielen Dank für deine Nachricht.
Evt. habe ich es nicht verständlich geschrieben:
Folgende Domain haben Zertifikate:
Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:
nextcloud.beispiel.de
Dannach alles wieder gelöscht und folgende Subdomain erstellt:
remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.
Beides hatt nicht funktioniert.
Hast du denn die Domänennamen auch in der Synology entsprechend angepasst?Vielen Dank für deine Nachricht.
Evt. habe ich es nicht verständlich geschrieben:
Folgende Domain haben Zertifikate:
Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:
nextcloud.beispiel.de
Dannach alles wieder gelöscht und folgende Subdomain erstellt:
remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.
Beides hatt nicht funktioniert.
Virtual Hosts benötigen diesen Eintrag zwingend damit der richtige davon antworten kann.
Ich rechechier bei Nextcloud weiter. Laut Nslookup zeigt es auch die richtige IP an, nähmlich die Public Adresse von der Synology.
Ist das denn überhaupt eine öffentliche Adresse und nicht nur eine CarrierGrade NAT IP aus 100.64.x.x/10 oder RFC1918?Prüfe die IP aber bitte nur direkt auf dem Default GW, wenn dort eine dieser Adressbereiche steht bleibt dir aus Prinzip nur der Zugriff über IPv6!
Bedenke das die CG NAT IP die dir wieistmeineip etc. anzeigt dann auch nicht weiterhilft!
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade dieser Embedded Krams wird sehr schnell Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo solche ThridParty-Teile gehören nur per VPN im Zugriff zugelassen!
Zitat von @abamakabra:
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!
Man darf nicht vergessen, daß die Inventarbots im Internet jeden Dienst inklusive Version katalogisieren und bei Bekanntwerden eines Exploits sofort innerhalb von Minuten zuschlagen können.
lks