7
Verständnisproblem SSL Zertifikat mit CNAME für Synology
Hallo 
Ich habe gerade meine Synology NAS erfolgreich mit Docker und NextCloud eingerichtet. Alles läuft reibungslos. Für den Remote-Zugriff habe ich einen DDNS von Synology verwendet und die Subdomain Muster.synology.me konfiguriert. Das Zertifikat wurde auch eingerichtet und ist von Lets Encrypt.
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.
Jedoch tritt ein Problem auf, wenn ich versuche, auf remote.nextcloud.beispiel.de zuzugreifen. Die Seite lädt endlos und zeigt eine weiße Seite an. Das Zertifikat wird als ungültig angezeigt, und beim genaueren hinschauen steht beim Zertifikatfehlers: Das es sich um das Zertifikat von Muster.synology.me handelt.
Könnt Ihr mir mitteilen, welchen Denkfehler ich möglicherweise gemacht habe?
Vielen Dank und Grüße.
Ich habe gerade meine Synology NAS erfolgreich mit Docker und NextCloud eingerichtet. Alles läuft reibungslos. Für den Remote-Zugriff habe ich einen DDNS von Synology verwendet und die Subdomain Muster.synology.me konfiguriert. Das Zertifikat wurde auch eingerichtet und ist von Lets Encrypt.
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.
Jedoch tritt ein Problem auf, wenn ich versuche, auf remote.nextcloud.beispiel.de zuzugreifen. Die Seite lädt endlos und zeigt eine weiße Seite an. Das Zertifikat wird als ungültig angezeigt, und beim genaueren hinschauen steht beim Zertifikatfehlers: Das es sich um das Zertifikat von Muster.synology.me handelt.
Könnt Ihr mir mitteilen, welchen Denkfehler ich möglicherweise gemacht habe?
Vielen Dank und Grüße.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4252851371
Url: https://administrator.de/contentid/4252851371
Printed on: May 3, 2024 at 11:05 o'clock
7 Comments
Latest comment
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.
Wildcard-Zertifikate gelten nur für eine Subdomain-Ebene vor dem Domainnamen!
- Wenn du also remote.nextcloud.beispiel.de als Zugriffs-Domain nutzen willst dann muss das Zertifikat entweder auf
oder als Wildcard auf
*.nextcloud.beispiel.de
ausgestellt sein.
- Wenn du als Zugriff die Domain
nutzen willst dann muss das Zertifikat entweder auf
nextcloud.beispiel.de
oder als Wildcard auf
*.beispiel.de
ausgestellt sein.
Always read the fucking manual before going to practice and doing things you are not totally aware of!
https://en.m.wikipedia.org/wiki/Wildcard_certificate
A single wildcard certificate for https://*.example.com will secure all these subdomains on the https://*.example.com domain:
Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:
test.login.example.com
- payment.example.com
- contact.example.com
- login-secure.example.com
- www.example.com
Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:
test.login.example.com
☠️
2
Zitat von @abamakabra:
Always read the fucking manual bevor going to practice and doing things you are not totally aware of!
Always read the fucking manual bevor going to practice and doing things you are not totally aware of!
before
aber muss ich mir merken…cooler Spruch
Ja ja die vermaledeite Smartphone-Tippse hält mal wieder nicht ihre Klappe und meint alles ins Deutsche übersetzen zu müssen 🤪.
Zitat von @abamakabra:
Wildcard-Zertifikate gelten nur für eine Subdomain-Ebene vor dem Domainnamen!
oder als Wildcard auf
*.nextcloud.beispiel.de
ausgestellt sein.
nutzen willst dann muss das Zertifikat entweder auf
nextcloud.beispiel.de
oder als Wildcard auf
*.beispiel.de
ausgestellt sein.
Always read the fucking manual before going to practice and doing things you are not totally aware of!
https://en.m.wikipedia.org/wiki/Wildcard_certificate
☠️
Nun habe ich, mit meiner gekaufte Domain Beispiel.de , eine Subdomain erstellt: nextcloud.beispiel.de Anschliessend einen CNAME mit remote.nextcloud.beispiel.de erstellt und mit Muster.synology.me als ziel konfiguriert. Dazu habe ich noch ein Lets Encrypt Wildcard-Zertifikat für Beispiel.de erstellt.
Wildcard-Zertifikate gelten nur für eine Subdomain-Ebene vor dem Domainnamen!
- Wenn du also remote.nextcloud.beispiel.de als Zugriffs-Domain nutzen willst dann muss das Zertifikat entweder auf
oder als Wildcard auf
*.nextcloud.beispiel.de
ausgestellt sein.
- Wenn du als Zugriff die Domain
nutzen willst dann muss das Zertifikat entweder auf
nextcloud.beispiel.de
oder als Wildcard auf
*.beispiel.de
ausgestellt sein.
Always read the fucking manual before going to practice and doing things you are not totally aware of!
https://en.m.wikipedia.org/wiki/Wildcard_certificate
A single wildcard certificate for https://*.example.com will secure all these subdomains on the https://*.example.com domain:
Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:
test.login.example.com
- payment.example.com
- contact.example.com
- login-secure.example.com
- www.example.com
Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops),[2] these domains would not be valid for the certificate:
test.login.example.com
☠️
Vielen Dank für deine Nachricht.
Evt. habe ich es nicht verständlich geschrieben:
Folgende Domain haben Zertifikate:
Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:
nextcloud.beispiel.de
Dannach alles wieder gelöscht und folgende Subdomain erstellt:
remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.
Beides hatt nicht funktioniert. Ich rechechier bei Nextcloud weiter. Laut Nslookup zeigt es auch die richtige IP an, nähmlich die Public Adresse von der Synology.
Vielen Dank
Gruss
Zitat von @Polikos:
Vielen Dank für deine Nachricht.
Evt. habe ich es nicht verständlich geschrieben:
Folgende Domain haben Zertifikate:
Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:
nextcloud.beispiel.de
Dannach alles wieder gelöscht und folgende Subdomain erstellt:
remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.
Beides hatt nicht funktioniert.
Hast du denn die Domänennamen auch in der Synology entsprechend angepasst?Vielen Dank für deine Nachricht.
Evt. habe ich es nicht verständlich geschrieben:
Folgende Domain haben Zertifikate:
Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:
nextcloud.beispiel.de
Dannach alles wieder gelöscht und folgende Subdomain erstellt:
remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.
Beides hatt nicht funktioniert.
Virtual Hosts benötigen diesen Eintrag zwingend damit der richtige davon antworten kann.
Ich rechechier bei Nextcloud weiter. Laut Nslookup zeigt es auch die richtige IP an, nähmlich die Public Adresse von der Synology.
Ist das denn überhaupt eine öffentliche Adresse und nicht nur eine CarrierGrade NAT IP aus 100.64.x.x/10 oder RFC1918?Prüfe die IP aber bitte nur direkt auf dem Default GW, wenn dort eine dieser Adressbereiche steht bleibt dir aus Prinzip nur der Zugriff über IPv6!
Bedenke das die CG NAT IP die dir wieistmeineip etc. anzeigt dann auch nicht weiterhilft!
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade dieser Embedded Krams wird sehr schnell Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo solche ThridParty-Teile gehören nur per VPN im Zugriff zugelassen!
Zitat von @abamakabra:
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!
Man darf nicht vergessen, daß die Inventarbots im Internet jeden Dienst inklusive Version katalogisieren und bei Bekanntwerden eines Exploits sofort innerhalb von Minuten zuschlagen können.
lks
Zitat von @11078840001:
Virtual Hosts benötigen diesen Eintrag zwingend damit der richtige davon antworten kann.
Prüfe die IP aber bitte nur direkt auf dem Default GW, wenn dort eine dieser Adressbereiche steht bleibt dir aus Prinzip nur der Zugriff über IPv6!
Bedenke das die CG NAT IP die dir wieistmeineip etc. anzeigt dann auch nicht weiterhilft!
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade dieser Embedded Krams wird sehr schnell Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo solche ThridParty-Teile gehören nur per VPN im Zugriff zugelassen!
Zitat von @Polikos:
Vielen Dank für deine Nachricht.
Evt. habe ich es nicht verständlich geschrieben:
Folgende Domain haben Zertifikate:
Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:
nextcloud.beispiel.de
Dannach alles wieder gelöscht und folgende Subdomain erstellt:
remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.
Beides hatt nicht funktioniert.
Hast du denn die Domänennamen auch in der Synology entsprechend angepasst?Vielen Dank für deine Nachricht.
Evt. habe ich es nicht verständlich geschrieben:
Folgende Domain haben Zertifikate:
Beispiel.de hatt ein Wildcard und es wurde folgende Subdomain erstellt und versucht:
nextcloud.beispiel.de
Dannach alles wieder gelöscht und folgende Subdomain erstellt:
remote.nextcloud.beispiel.de und hier wurde ein Zertifikat erstellt.
Beides hatt nicht funktioniert.
Virtual Hosts benötigen diesen Eintrag zwingend damit der richtige davon antworten kann.
Ich rechechier bei Nextcloud weiter. Laut Nslookup zeigt es auch die richtige IP an, nähmlich die Public Adresse von der Synology.
Ist das denn überhaupt eine öffentliche Adresse und nicht nur eine CarrierGrade NAT IP aus 100.64.x.x/10 oder RFC1918?Prüfe die IP aber bitte nur direkt auf dem Default GW, wenn dort eine dieser Adressbereiche steht bleibt dir aus Prinzip nur der Zugriff über IPv6!
Bedenke das die CG NAT IP die dir wieistmeineip etc. anzeigt dann auch nicht weiterhilft!
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade dieser Embedded Krams wird sehr schnell Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo solche ThridParty-Teile gehören nur per VPN im Zugriff zugelassen!
Vielen Dank für die Info.
Ja, ist eine öffentliche IP. In der FW steht bei Gateway die öffentliche IP. Werde hier sowiso nur öffentliche Infos eintragen bzw speichern also keine Geschäfts / Privat relevanten Daten.
Zitat von @Lochkartenstanzer:
Man darf nicht vergessen, daß die Inventarbots im Internet jeden Dienst inklusive Version katalogisieren und bei Bekanntwerden eines Exploits sofort innerhalb von Minuten zuschlagen können.
lks
Zitat von @abamakabra:
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!
By the way würde ich mir das stark überlegen die Synology öffentlich ins Internet zu exponieren, gerade diese Embedded Teile werden sehr oft Ziel von Angriffen wenn die Patches mal ein paar Stunden fehlen.
Ergo so was gehört nur per VPN im Zugriff zugelassen!
Man darf nicht vergessen, daß die Inventarbots im Internet jeden Dienst inklusive Version katalogisieren und bei Bekanntwerden eines Exploits sofort innerhalb von Minuten zuschlagen können.
lks
Vielen Dank für die Info.
Ja, das ist so. Werden aber keine Relevanten Daten gespeichert.
Ich habe es nun so gelöst keine ahnung wieso es jetzt funktioniert, ich tippe auf ein DNS Problem vom Hostinganbieter.
Subdomain erstellt -> Die öffentiche IP mit A Record in der Namezone eingetragen.
Port Forwarding mit Port 80 und 443 auf die Syno erstellt.
Reverse Proxy erstellt mit dem Eintrag -> Subdomain mit Port 443 zeigt auf localhost
Bei Nextcloud in der Config noch die erlaubte Domain hinzugefügt.
Zertifikat bei Synology erstellt (letsencrypt).
Vielen Dank an alle!
Gruss
