Guten Morgen Beim Zugriff auf NAS kriege ich die Meldung "nicht sicher" obwohl Zertifikate eingerichtet sind. [upl-image-preview uuid=bd2ff874-3f2b-47bb-8b3c-10444fa8e577 url=https://community.sunrise.ch/assets/files/2026-03-16/1773670835-158678-1773218655-877693-image.png alt={TEXT?}] Freundliche Grüsse Edouard

hallo @"Marski"#p305044 Das Zertifikat ist auf eine Klartext-Adresse ausgestellt. Eine lokale IP-Adresse kann nicht öffentlich zertifiziert werden. [upl-image-preview uuid=68d2857f-b5fd-4f45-833c-85bf12fcc735 url=https://community.sunrise.ch/assets/files/2026-03-11/1773220269-642443-fail.jpg alt={TEXT?}] Und hier das Resultat bei Zugriff über die Klartext-Adresse: [upl-image-preview uuid=b393a1de-8dc3-49b5-8cdc-ce13dc8f0dbb url=https://community.sunrise.ch/assets/files/2026-03-11/1773220326-282761-true.jpg alt={TEXT?}] Im lokalen Netzwerk besteht die Möglichkeit über http ohne Zertifikat auf das NAS zu zugreifen. Die Verwendung eines öffentlichen Zertifikats gestaltet sich relativ schwierig. Dazu benötigt man einen lokalen DNS, der die Klartext-Adresse in eine lokale IP-Adresse übersetzt. Bei unbeweglichen Computern kann man das mit der hosts-Datei erledigen. Bei Rechnern die das Netzwerk verlassen können, geht dieser Trick mit der hosts-Datei nicht. Diese müsste ständig angepasst werden.

@"Marski"#p305421 Grundsätzlich hast du mindestens drei Probleme. * **Problem 1**: Die Adresse ***xxxxxx.diskstation.me*** wird mit einer öffentlichen IP. Während die Adresse vom Internet aus erreichbar ist, funktioniert der Zugriff vom lokalen Heimnetz aus nicht, weil der Sunrise Router dies nicht zulässt, wie ich in meiner letzten Antwort erwähnt habe. * **Problem 2**: Auch wenn der Sunrise Router den Zugriff erlauben würde, käme es zu einem SSL-Fehler. Beim Verbindungsaufbau (SSL-Handshake) wird ein Serverzertifikat für den Servername ***edouard.xxxxxxbluewin.ch*** zurückgegeben. Dieser Servername und die aufgerufene Adresse ***xxxxxx.diskstation.me*** stimmen nicht überein, was den SSL-Fehler auslösen wird. Dies deutet auf ein Konfigurationsfehler hin. * **Problem 3:** Da der Zugriff auf die Adresse ***xxxxxx.diskstation.me*** vom lokalen Heimnetz aus nicht möglich ist, bleiben nur die IP oder ein lokaler Hostname Zugriffsadresse übrig. Um den SSL-Fehler zu vermeiden, müsste man ein privates Zertifikat für diese zwei Adressen erstellen und installieren. Allerdings ist im Synology DSM nicht möglich (zumindest soviel ich weiss), zwei verschiedene Zertifikate für die gleiche Applikation zu verwenden. Um diese Probleme zu vermeiden, gibt es mehrere mögliche Ansätze. Alle sind legitim und haben ihre Vor- und Nachteile. Meine Empfehlung wäre, es mit Split-DNS zu lösen (die Angaben in dieser Beschreibung sind nur als Beispiel anzusehen und müssen im tatsächlichem Anwendungsfall entsprechend angepasst werden): * **Schritt 1:** Eine eigene Domäne (z. B. mydomain.ch) bei einem Registrar (z. B. Hostpoint, Swizzonic usw.) kaufen. * **Schritt 2:** Im DNS-Server des Registrars einen Eintrag für die Domäne mydomain.ch, sodass dieser auf "deine" öffentliche IP zeigt (A Record). Dann einen Alias für die tatsächliche Adresse (z. B. mysite.mydomain.ch), der auf die Domäne mydomain.ch zeigt (CNAME). So wird sichergestellt, dass die Adresse vom Internet aus auffindbar ist. * **Schritt 3:** Eigenen DNS-Server im Heimnetz einrichten und die Domäne konfigurieren. Da die Clients diesen DNS-Server verwenden sollen, empfiehlt sich ebenfalls einen eigenen DHCP-Server einzurichten und den DHCP-Server der Connect Box zu deaktivieren. * **Schritt 4:** Einen Eintrag im eigenen DNS-Server für die Adresse mysite.mydomain.ch erstellen, der auf die lokale IP Adresse zeigt. So wird sichergestellt, dass die Adresse auch im lokalen Netz auffindbar ist. * **Schritt 5:** Zertifikat für die Adresse mysite.mydomain.ch erstellen (z. B. mit Let's Encrypt) und für die entsprechenden Applikationen im NAS einrichten. Auf diese Weise ist der Service sowohl im lokalen Heimnetz als auch vom Internet aus mit der gleichen Adresse erreichbar und der SSL-Fehler wird behoben. Man könnte das Design mit dem Einsatz eines Reverse Proxys verbessern, aber dies würde den Rahmen dieser Diskussion sprengen 😉 Ich hoffe, dass ich es verständlicher erklären konnte Viele Grüsse [Update] PS: Aus Sicherheitsgründen würde ich nicht empfehlen, den Zugriff auf das Management der Diskstation vom Internet aus erlauben. Dieser Service sollte unbedingt nur vom lokalen Heimnetz aus erreichbar sein!

Zugrifff auf NAS, "Nicht sicher"

Marski

Guten Morgen

Beim Zugriff auf NAS kriege ich die Meldung “nicht sicher” obwohl Zertifikate eingerichtet sind.

Freundliche Grüsse

Edouard

Xydocq

hallo Marski

Das Zertifikat ist auf eine Klartext-Adresse ausgestellt. Eine lokale IP-Adresse kann nicht öffentlich zertifiziert werden.

Und hier das Resultat bei Zugriff über die Klartext-Adresse:

Im lokalen Netzwerk besteht die Möglichkeit über http ohne Zertifikat auf das NAS zu zugreifen. Die Verwendung eines öffentlichen Zertifikats gestaltet sich relativ schwierig. Dazu benötigt man einen lokalen DNS, der die Klartext-Adresse in eine lokale IP-Adresse übersetzt. Bei unbeweglichen Computern kann man das mit der hosts-Datei erledigen. Bei Rechnern die das Netzwerk verlassen können, geht dieser Trick mit der hosts-Datei nicht. Diese müsste ständig angepasst werden.

Belegnor

Als Ergänzung zu den Angaben von Xydocq, es besteht die Möglichkeit, eigene Zertifikate für die IP einzurichten. Hierfür kann man Tools wie xca (X - Certificate and Key management) verwenden.

Hier gibt es wiederum zwei Ansätze:

Eine eigenes CA Zertifikat einrichten (best practice)

Dieses Zertifikat erlaubt, eine eigene PKI aufzubauen und Server-Zertifikate für die einzelnen Geräte (NAS, Router, Firewall usw.) zu generieren bzw. zu signieren. Alle von dieser CA ausgestellten Zertifikate werden dann immer vertraut, sofern das CA Zertifikat auf den Endgeräten installiert wurde. Bei einigen Geräten (z. B. iOS) muss das CA Zertifikat explizit vertraut werden.
Ein eigenes selfsigned Zertifikat einrichten (Quick & Dirty)

Dieses Zertifikat gilt in der Regel nur ein Gerät und muss auch auf jedem Endgerät installiert und ggf. vertraut werden. Dieser Ansatz scheint (theoretisch) schneller und einfacher, aber hat einige Nachteile

Wenn man bedenkt, dass gewisse Systeme (z. B. iOS) nur Zertifikate akzeptiert, die maximal zwei Jahre lang gültig sind, ist ein selfsigned Zertifikat nicht die beste Option, es wieder auf jedem Endgerät installiert werden muss, wenn es erneuert wird. Beim Einsatz einer eigenen PKI hat man diese Problem nicht. Man kann man neue Server-Zertifikate ausstellen und sie werden auch automatisch vertraut.

Um ein Zertifikat für eine IP zu erstellen (egal ob selfsigned oder PKI), müssen zuerst die nötigen Basisinformationen angegeben und ein privater Schlüssel generiert werden:

Danach müssen der Zertifikattyp (Server oder CA), die Gültigkeit (max. 2 Jahre) und die alternativen Namen unter den Erweiterungen angegeben werden

Die alternativen Namen können unterschiedliche Typen (DNS, IP, URI usw.) haben:

Hostname (Typ DNS), z. B. myhost.mydomain.local
Wildcard (Typ DNS), z. B. *.mydomain.local
IP-Adresse (Typ IP), z. B. 192.1268.1.100

Zum Thema DNS: Du hast scheinbar ein Synology NAS System. Synology DSM erlaubt, einen eigenen DHCP/DNS Server für das lokale Netzwerk einzurichten. Dadurch könntest du Hostnamen anstelle von IPs aufrufen😉

Ich hoffe, dass diese Informationen weiterhelfen.

Grüsse

Marski

Hallo Xydocq

Danke für die ausführliche Antwort. Ich habe 3 NAS in meinem localen Netzwerk.

Ich habe für jeden NAS ein hostname Siehe Bild

Für diesen NAS habe ich auch Zertifikate heruntergeladen, seihe das 2. Bild

Leider beim Zugriff auf den erwähnten NAS, erhalte ich stets diese rote Meldung “nicht sicher”

Was mache ich falsch!

Danke Marski

Xydocq

hallo Marski

Zuerst einmal habe ich deine Bilder anonymisiert.

Ich verwende ein Zertifikat von Let’s Encrypt R12. Dieses Zertifikat wird für verschiedene Dinge verwendet.

Das Zertifikat ist für 2 Klartext-Adressen angelegt hxxxxx.com und www.hxxxxx.com. Bei mir sind das meine Domain und der www-Alias. Das Zertifikat sorgt dafür, dass https-Zugriffe über die Klartext-Adressen möglich sind.

Bei einem Zugriff mit der lokalen IP-Adresse kann das Zertifikat diese Aufgabe nicht erfüllen. Weil die IP-Adresse nicht die Klartext-Adresse ist. Auch die Verwendung der öffentlichen IP-Adresse würde zu diesem Fehler führen. Der Webserver ist jedoch so eingestellt, dass jegliche Anfrage, egal ob http oder https, auf die https://url umgeleitet wird. Ausser dem Webserver Port:80 und Port:443, ist aus dem Internet nichts zu erreichen. Die DSM-Ports sind von Aussen nicht erreichbar.

Ich kann https im lokalen Netzwerk verwenden. Das ist aber nur möglich, weil bei mir ein anderes Problem vorgeherrscht hat. Mein eigener Webserver war auf Grund der Zwangsumleitung nicht aus dem lokalen Netzwerk zu erreichen. Es musste ein lokaler DNS-Server her, der die Namensauflösung nur für den eigenen Webserver macht.

Aus diesem Grund funktioniert bei mir das Zertifikat. Die IP-Adresse ist dem Zertifikat total egal.

Alle anderen lokalen Zugriffe laufen nur über http-Verbindungen. “Ich” weiss ja wer “ich” bin und muss mich “mir” gegenüber nicht ausweisen. Mit ich und mir sind die diversen NAS-Systeme gemeint, die ich betreibe.

Nur das Webserver-NAS ist mit dem Zertifikat ausgestattet. Auf diesem NAS gibt es nur Webstation und die Daten der Webseite. Das NAS befindet sich zudem in einem abgeschotteten VLAN.

Belegnor

Marski

Wie greifst du auf den NAS-Server, lokal oder vom Internet aus? Was genau rufst du auf, den Hostname oder die IP-Adresse?

Ich habe den Zugriff vom Internet aus getestet (sorry, du hast nicht alle Angaben übermalt 😉) und ich erhalte eine Warnmeldung (“Nicht Sicher”). Das Zertifikat habe ich ebenfalls überprüft. Es zeigt auf einen anderen DNS-Name.

Dies deutet auf eine Fehlkonfiguration hin (evtl. falsches Zertifikat oder falsche Weiterleitung). Auf jeden Fall stimmt der “Common Name” des Zertifikats mit der aufgerufene URL nicht überein und ein “CN mismatch” Fehler wird ausgelöst.

Damit der Zugriff korrekt funktioniert, müssen der im Zertifikat registrierte DNS-Name und die aufgerufene URL (Hostname) gleich sein. Dass gleiche gilt für eine IP: Diese muss ebenfalls im Zertifikat entsprechend eingetragen sein (Subject Alternative Name).

Wenn du versuchst auf die “externe” URL (whatever.diskstation.me) vom lokalen Netz aus zuzugreifen, dann wird es vermutlich nicht funktioniert, da der Sunrise Router dies in der Regel nicht zulassen wird (Hairpin-Problem).

Ein Zugriff auf die interne IP wird ebenfalls mit einer Warnmeldung quittiert werden, da es wieder zu einem “CN mismatch” Fehler kommt.

Die elegantere Lösung wäre eine eigene Domäne (z. B. mydomain.net) zusammen mit einem eigenen DNS-Server einzusetzen. Dies erlaubt dir Split-DNS (z. B. für myhost.mydomain.net) zu verwenden, sodass ein Zugriff aus dem Internet auf die externe IP während ein Zugriff aus dem lokalen Netz auf die interne IP zeigt. Mit der “diskstation.me” Domäne wird es nicht funktionieren.

Ich hoffe, dies hilft weiter.

Grüsse

Marski

Belegnor

Danke für deine Antwort. Leider ich verstehe deine Antwort nicht.

Freundliche Grüsse

Marski

Belegnor

Marski

Grundsätzlich hast du mindestens drei Probleme.

Problem 1: Die Adresse xxxxxx.diskstation.me wird mit einer öffentlichen IP. Während die Adresse vom Internet aus erreichbar ist, funktioniert der Zugriff vom lokalen Heimnetz aus nicht, weil der Sunrise Router dies nicht zulässt, wie ich in meiner letzten Antwort erwähnt habe.
Problem 2: Auch wenn der Sunrise Router den Zugriff erlauben würde, käme es zu einem SSL-Fehler. Beim Verbindungsaufbau (SSL-Handshake) wird ein Serverzertifikat für den Servername edouard.xxxxxxbluewin.ch zurückgegeben. Dieser Servername und die aufgerufene Adresse xxxxxx.diskstation.me stimmen nicht überein, was den SSL-Fehler auslösen wird. Dies deutet auf ein Konfigurationsfehler hin.
Problem 3: Da der Zugriff auf die Adresse xxxxxx.diskstation.me vom lokalen Heimnetz aus nicht möglich ist, bleiben nur die IP oder ein lokaler Hostname Zugriffsadresse übrig. Um den SSL-Fehler zu vermeiden, müsste man ein privates Zertifikat für diese zwei Adressen erstellen und installieren. Allerdings ist im Synology DSM nicht möglich (zumindest soviel ich weiss), zwei verschiedene Zertifikate für die gleiche Applikation zu verwenden.

Um diese Probleme zu vermeiden, gibt es mehrere mögliche Ansätze. Alle sind legitim und haben ihre Vor- und Nachteile. Meine Empfehlung wäre, es mit Split-DNS zu lösen (die Angaben in dieser Beschreibung sind nur als Beispiel anzusehen und müssen im tatsächlichem Anwendungsfall entsprechend angepasst werden):

Schritt 1: Eine eigene Domäne (z. B. mydomain.ch) bei einem Registrar (z. B. Hostpoint, Swizzonic usw.) kaufen.
Schritt 2: Im DNS-Server des Registrars einen Eintrag für die Domäne mydomain.ch, sodass dieser auf “deine” öffentliche IP zeigt (A Record). Dann einen Alias für die tatsächliche Adresse (z. B. mysite.mydomain.ch), der auf die Domäne mydomain.ch zeigt (CNAME). So wird sichergestellt, dass die Adresse vom Internet aus auffindbar ist.
Schritt 3: Eigenen DNS-Server im Heimnetz einrichten und die Domäne konfigurieren. Da die Clients diesen DNS-Server verwenden sollen, empfiehlt sich ebenfalls einen eigenen DHCP-Server einzurichten und den DHCP-Server der Connect Box zu deaktivieren.
Schritt 4: Einen Eintrag im eigenen DNS-Server für die Adresse mysite.mydomain.ch erstellen, der auf die lokale IP Adresse zeigt. So wird sichergestellt, dass die Adresse auch im lokalen Netz auffindbar ist.
Schritt 5: Zertifikat für die Adresse mysite.mydomain.ch erstellen (z. B. mit Let’s Encrypt) und für die entsprechenden Applikationen im NAS einrichten.

Auf diese Weise ist der Service sowohl im lokalen Heimnetz als auch vom Internet aus mit der gleichen Adresse erreichbar und der SSL-Fehler wird behoben.

Man könnte das Design mit dem Einsatz eines Reverse Proxys verbessern, aber dies würde den Rahmen dieser Diskussion sprengen 😉

Ich hoffe, dass ich es verständlicher erklären konnte

Viele Grüsse

[Update] PS: Aus Sicherheitsgründen würde ich nicht empfehlen, den Zugriff auf das Management der Diskstation vom Internet aus erlauben. Dieser Service sollte unbedingt nur vom lokalen Heimnetz aus erreichbar sein!

Marski

Hallo Xydocq

Danke für deine Antwort. Leider ich verstehe sie nicht-

Freundliche Grüsse

Marski

Xydocq

Marski

Das Zertifikat ist in deinem Fall nutzlos und führt zu dem Zertifikat-Fehler.

Das Zertifikat ist auf eine Adresse ausgestellt, als Beispiel: xyz.quickconnect.to.

Wenn du im Browser https://192.168.1.250 eingibst, wird eine Anfrage an die IP gesendet. Diese Anfrage lautet: Browser will eine sichere Verbindung mit 192.168.1.250, bitte authentifiziere dich. Das NAS antwortet auf diese Anfrage mit folgender Meldung: Ich bin xyz.quickconnect.to, hier ist das Zertifikat als Beweis. Nun wird vom Browser die Anfrage mit der Antwort verglichen: Ist 192.168.1.250 das Selbe wie xyz.quickconnect.to? Resultat = Falsch, Reaktion = Fehlermeldung unsichere Verbindung

Wenn du in deinem Browser https://xyz.quickconnect.to eingibst, kommt keine Verbindung zu Stande. Dies passiert auf Grund des DNS. Die Klartext-Adresse xyz.quickconnect.to wird in die öffentliche IP-Adresse des Internet-Anschlusses übersetzt. Die Connect Box schafft es nicht eine Anfrage an die eigene öffentliche IP-Adresse zu verarbeiten. Es erscheint die Fehlermeldung: Hmmm…diese Seite ist leider nicht erreichbar

Damit eine Anfrage erfolgreich währe, benötigt man einen lokalen DNS Server. Dieser muss dann auch angefragt werden können. Der lokale DNS Server würde die Klartext-Adresse wie folgt übersetzen: xyz.quickconnect.to = 192.168.1.250.

Wenn du jetzt die IP-Adresse 192.168.1.250 eingibst, passiert das Gleiche wie zuvor. Fehlermeldung unsicher Verbindung

Nur wenn du https://xyz.quickconnect.to eingibst kommt eine sichere Verbindung zu Stande.

Ehrlich gesagt, viel zu viel Aufwand für Null Sicherheitsgewinn. Verbinde dich im lokalen Netzwerk über http. Dann wird kein Zertifikat verlangt, weil sich die Geräte gegenseitig vertrauen.

Ich hoffe du verstehst nun weshalb das Zertifikat fehlschlägt. Die Anfrage und die Antwort muss zwingend das Selbe beinhalten. Nur weil etwas Gleich ist, ist es nicht das Selbe.

Marski

Belegnor

Hallo Belegnor

Vielen Dank für die ausführliche Erklärung.

Jetzt ist klar.

Ich lasse es wie es ist.

Gruss Marski