HTTPS-Zugriff auf Heimserver via CNAME-Eintrag

      HTTPS-Zugriff auf Heimserver via CNAME-Eintrag

      Ich hoffe, dass noch immer einige Mitglieder als Admins arbeiten und mir bei diesem Problem helfen bzw. Anregungen liefern können:

      Ich betreibe zuhause ein NAS. Um von ausserhalb darauf zugreifen zu können, habe ich beim DDNS des NAS-Hersteller ein entsprechenden DDNS-EDintrag zugelegt (nennen wir ihn mal meinnas.ddns.com). In meinem Router habe ich Weiterleitungen für den Port 80 (HTTP) und 5001 (HTTPS) eingetragen. Zugriffe von ausserhalb auf "http://meinnas.ddns.com" und "https://meinnas.ddns.com:5001" landen beim NAS und dort bei den jeweiligen Diensten. Beim HTTPS-Zugriff natürlich erstmals die Warnungen wegen fehlerhaftem Zertifikat, aber nach dem Weckklicken der Fehler- und "sind-sie-sicher"-Meldungen bin ich am Ziel.
      Da ich jedoch kein offizielles Zertifikat für "ddns.com" ausstellen kann (bin ja nicht der Besitzer dieser Domäne) habe ich Anleitungen gefunden, wie ich mittels einer bei einem Hoster angemieteten produzierten Domäne und dem Dienst startssl mir ein einfaches Zertifikat erstellen kann. Hierzu habe mir eine Domäne besorgt (nennen wir sie "www.meinedomain.de"), mir dort eine Subdomain angelegt (nennen wir sie subdomain.meinedomain.de) und dafür einen CNAME-Eintrag anlegen lassen, der auf meinnas.ddns.com verweist. Die Antwort des Nameserver meines Hosters lautet somit "subdomain.meinedomain.de IN CNAME meinnas.ddns.com 3600s (1h)".
      Die o.g. Zugriffe von aussen klappen noch immer. Ein Zugriff von aussen auf "http://subdomain.meinedomain.de" landen wie erwartet zuhause auf meinem NAS. Beim Zugriff von aussen über "https://subdomain.meinedomain.de:5001" erhält der Browser jedoch keine Antwort und meldet nach einer Weile "Operation Time-Out".
      Versuchsweise habe ich mal die Aufrufe "http://www.meinedomain.de" und "https://www.meinedomain.de" eingegeben. Im ersten Fall lande ich auf der entsprechenden HP. Im zweiten Fall erhalte ich, anhängig vom Browser, unterschiedliche Fehlermeldung: Der IE sagt nur "diese Seiten kann nicht angezeigt werden", FF beschwert sich mit "ssl-error: ... too long" und der Standardbrowser meines Samsung Smartphone verkündet einen allgemeinen SSL-Fehler.
      Da ich nur ein Billigangebot nutze, muss ich meinem Hoster via Webformular kontaktieren. Und hier bräuchte ich ein paar Anregungen, was muss ich ihm mitteilen?
      Für mich als Laie sieht die Lage so aus:
      Die Dienste auf dem NAS laufen. Sie sind von aussen erreichbar (Aufrufe über IP-Adresse und DDNS-Namen funktionieren). Die CNAME-Weiterleitung funktioniert für HTTP, aber nicht für HTTPS.
      Bisher war ich der Meinung, dass letztendlich der Zugriff über die IP-Adresse erfolgt. Entsprechende Nameserver verwalten diese Zuordnung "logischer Name" <-> IP-Adresse. Ein Aufruf im Browser läuft nach meinem Verständnis so ab (grob vereinfacht):
      Eingabe "http://www.meinedomain.de" => Anfrage an Nameserver: wie lautet die IP => Antwort: IP =>Umsetzung des Aufrufs in http:IP
      Eingabe "http://subdomain.meinedomain.de" => Anfrage an Nameserver: wie lautet die IP => Antwort: CNAME meinnass.ddns.com => Anfrage an Nameserver: wie lautet IP => Antwort: IP => Umsetzung des Aufrufs in IP
      Ob hierbei das Prokoll HTTP oder ein anderes verwendet wird, spielt keine Rolle; habe ich jedenfalls bisher geglaubt. Aber in diesem Fall gibt es Unterschiede: HTTP funktioniert; HTTPS nicht.
      Oder gibt es für einen Hoster technische Möglichkeiten, Aufrufe für HTTPS zu blockieren/ignorieren? Was muss ich meinem Hoster mitteilen, damit ich auch HTTPS verwenden kann?
      Live long and prosper!
      R.I.P. Mr. Spock
      Hallo,

      was dein "Hoster" wahrscheinlich macht ist den DNS Eintrag für dich anzulegen. (deswegen "hoster", er hostet nichts)

      Es könnte sein, dass die SSL Fehlermeldungen zurück kommen, da du über den Port 5001 kommunizieren willst. Dies ist kein Standardport für HTTPS. Probier stattdessen bitte einmal alles auf Port 443 umzustellen (Falls du 443 nicht möchtest ist 8443 noch eine Option).

      Bitte überprüfe von einer externen IP aus, ob die Adressen richtig aufgelöst werden. Dazu eigen sich solche Websiten:
      comlex.de/?pid=ping


      Gruß
      Danke für die Antwort. Die IP-Adressen hatte ich bereits überprüft; alle logischen Namen "subdomain.meinedomain.de", "meinnas.ddns.com" und "meinefritzbox.myfritz.net" haben auf die selbe IP-Adresse aufgelöst (wie ich schrieb: HTTP-Aufrufe funktionierten). Und auch die HTTPS-Zugriffe auf den Port 5001 funktionierten für die 2 logischen Namen der DDNS-Domänen und der IP-Adresse. Nur nicht über den logischen Namen meiner Subdomain; jedenfalls bis heute. Heute funktioniert es plötzlich wie erwartet. Was hat sich geändert: Ich habe meinen Hoster am Freitag nochmals beauftragt, den CNAME-Eintrag zu überprüfen, da nur die HTTP-Weiterleitung funktioniert. Als Reaktion bekam ich die obligatorische Antwortmail "Auftrag erledigt" und nun funktioniert es. Gleichzeitig hatte ich im Frontend die Möglichkeit gefunden einen "SSL-Proxy" für eine meiner Domänen einzuschalten (was auch immer das bedeuten soll). Dies habe ich getan und nachdem es keine Wirkung zeigte wieder rückgängig gemacht. Lange Rede kurzer Sinn: Keine Ahnung was jetzt die Ursache war, es funktioniert jetzt.
      Live long and prosper!
      R.I.P. Mr. Spock