Synology Port-Weiterleitung

[morcego]

Nein, das geht meines Wissens nach nicht. LE kann nur validieren was es erreichen kann. Und eine .home Domain würde der Validierungsdienst von LE nicht erreichen können.
Was du vorhast hängt mit deinem anderen Beitrag zusammen. Für gewöhnlich sorgt man in solchen Netzen dafür, dass die Dienste unter der offiziellen Domain auch intern zu erreichen sind.

Du könntest also eine gleichnamige Zone oxaler.de auf deinem Synology anlegen und dann trägst du dort alle Subdomains die du benötigst wie bei Strato ein, halt nur auf die interne IP in deinem lokalen Netzwerk anstatt die öffentliche DynDNS. Sofern der Dienst über die korrekte Subdomain aufrust, prüft der Browser ob das Zertifikat passt. Und das wäre ja dann so.

 

[Hot Dog]

Du könntest also eine gleichnamige Zone oxaler.de auf deinem Synology anlegen und dann trägst du dort alle Subdomains die du benötigst wie bei Strato ein, halt nur auf die interne IP in deinem lokalen Netzwerk anstatt die öffentliche DynDNS. Sofern der Dienst über die korrekte Subdomain aufrust, prüft der Browser ob das Zertifikat passt. Und das wäre ja dann so.

Okay verstehe, werde ich mal ausprobieren. Danke dir!

PS: Warum genau verwendest du dann eigentlich POSH-ACME für die Windows Powershell?
Nur um den Port 80 nicht zu öffnen? Ist doch sowieso ein Standard-Port für das www und sollte damit kein Problem sein, den offen zu halten. Zur Not öffnet man den halt nur alle 3 Monate zur Aktualisierung des Zertifikats, dann spart man sich das manuelle importieren.
Oder hab ich einen wichtigen Vorteil vernachlässigt?

 

[morcego]

Weil ich früher auch Windows Server hatte auf denen ein Zertifikat notwendig war. Das heißt Wildcard um alle Dienste abzudecken, deshalb DNS Validierung, und die Notwendigkeit für cer und pfx Zertifikattypen im Netzwerk. Und da war das recht praktisch alles in einem Ordner erzeugt zu bekommen.
Aktuell könnte ich das NAS auch selbstständig mit einem SAN Zertifikat werkeln lassen.

 

[Hot Dog]

Weil ich früher auch Windows Server hatte auf denen ein Zertifikat notwendig war.

ahh okay verstehe. Ja gut, das ist bei mir nicht der Fall. Dann spar ich mir das und lass das über Port 80 werkeln.

Zum anderen Thema:
Leider werden die Mail-Dienste nur intern abgerufen. Also Thunderbird meldet sich bei oxaler.home und fragt dann beim NAS nach einem Zertifikat, welches offensichtlich nicht vorhanden ist.
Von extern ruf ich meine Mails eigentlich nicht ab.
Aber gut, intern braucht es ja eigentlich auch keine Zertifikate. Dann werde ich eben weiterhin dauerhafte Ausnahmen für Thunderbird intern hinzufügen. Falls ich jemals Mails von extern abrufen sollte, mach ich das ebenfalls über Reverse Proxy und die offizielle Domain mit Zertifikat oder schalte falls nötig noch ein VPN dazwischen.

EDIT: Reverse Proxy läuft einwandfrei. Ports 80 und 443 sind nun die einzigen nach außen hin geöffneten.
LE-Zertifkate für die main domain, sowie die Subdomain, laufen ebenfalls und werden erfolgreich abgefragt (zumindest für extern).
Danke nochmal!