DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

[mle_ch]

Hallo Zusammen

Hatte auch das Problem, dass die Erneuerung des Zertifikates nicht automatisch ablief. Bei der manuellen Erneuerung habe ich auch die Fehlermeldung erhalten, dass der Port 80 nicht geöffnet sei. Dies ist jedoch nicht der fall, da die Test-HP verfügbar ist. Nach langem suchen habe ich festgestellt, dass es an der Firewall der Diskstation hängt. Habe ich doch bei der Quell-IP nur sehr wenige zugelassen. So ist nebst China, Russland, etc auch die USA nicht zugelassen. Nach kurzfristiger Zulassung der USA oder ausschalten der Firewall hat die Erneuerung jeweils funktioniert.
Für mich stellt sich nur die Frage wieso die Quell-IP aus der USA stammt. Die Verbindung wird ja vom heimischen Client aufgebaut/angefordert. Mache ich hier ein Denkfehler?

 

[Fusion]

Die Lets Encrypt Server versuchen auf die Anfrage hin deine DS bzw, die Domains zu erreichen. Das ist technisch eine neue separate Verbindung die von der Firewall geblockt wird, wenn Geo-Blocker aktiv sind.

 

[TheGardner]

Die Lets Encrypt Server stehen in den USA - zumindest hab ich mir das kurzerhand so erklärt!

 

[bifer]

Also bei Kabel ist der Bereich Zugangsdaten deaktiviert und ich bekomme IPV6 ob ich will oder nicht.

@iLion. Es hatte ja Ende April noch wunderbar funktioniert bei der letzten Erneuerung der Zertifikate.
Ich habe sogar geschaut ob ich IPV6 Portweiterleitung machen kann. Allerdings weigert sich die Fritzbox die Regel dafür anzunehmen mit dem Hinweis die IInterface ID gäbe es schon.

Knapp 4 Wochen später und Synology hat die Erneuerung der Let's Encrypt Zertifikate noch nicht wieder im Griff. Gleiche Fehlermeldungen wie zuvor.

 

[Matthieu]

Wieso Synology? Der Client stammt mit von LE und die Infrastruktur gehört auch denen.

MfG Matthieu

 

[TeXniXo]

@bifer: hast du da mal händisch via Script (irgendwo auf Seite 2 oder so?) probiert?

 

[bifer]

Nein. Aber das könnte ich definitiv tun, nur wenn das die Lösung ist, dann würde es bedeuten es hat doch Synology etwas verändert dass es plötzlich bei so vielen Leuten mit der gleichen Fehlermeldung nicht mehr tut. Bzw. eine nötige Funktionalität noch nicht in den GUI übernommen.

Und wenn ich dann doch mit Skripten herumwerkeln muß, dann kann ich mir gleich eine Zertifikatsanfrage erstellen und bei einem anderen Anbieter ein Zertifikat erstellen (gegen Kosten). Aber am Ende ist es was kostet mich meine Zeit mit den Skripten herumzuwerkeln im Vergleich zu Zertifikaten kaufen. Ich bin noch am Überlegen ...

 

[Matthieu]

Die Frage ist schlicht: Was sagt der Client bzw. welche Fehlermeldung gibt er aus. Ohne diese Info ist Feedback nahezu unmöglich.

MfG Matthieu

 

[nilsen123]

Bei mir ist das Problem nun gelöst. Habe eine Domain über do.de mit FlexDNS genutzt. Nachdem ich deren Anleitung zur FlexDNS - Einrichtung komplett befolgt habe, konnte ich anschliessend wieder ein LE Zertifikat neu erstellen...

 

[Ha34Meiner]

Nun habe ich auch endlich das Problem das sich Let's Encrypt nicht mehr selbst aktualisiert. Natürlich habe ich nichts verändert am System )))) Letztes Jahr hat es wunderbar zweimal mit dem aktualisieren funktioniert. Jetzt am 15.01 nicht mehr. PORT 80 ist in der FB immer noch freigeschaltet.
DSM 6.1.4-15217 Update 5

Was mache ich wiedermal falsch oder soll ich das Zertifikat einfach löschen und ein neues Anlegen?

 

[HATI]

Moin Moin,

Also ich hatte das Problem, wie hier zu lesen, bei jeder Aktualisierung. Bei mir gehts wenn ich Port 80 und 443 in der Fritzbox freigebe. Ich gebe die kurz frei, aktualisiere und blocke die dann direkt wieder. Zudem sollte man natürlich das die DSM Firewall die Ports nicht blockt.

Auf dem Weg funzt das bei mir ohne Probleme!

 

[Ha34Meiner]

Moi HATI, danke für Deine Antwort. Ich habe eben noch einmal nachgeschaut, in der DSM firewall sind die Ports 80 und 443 "offen", genauso in der Fritzbox. Im letzten Jahr hat es ja auch automatisch funktioniert. Wie kann ich es denn manuell aktualisieren oder warte ich noch eine Nacht?

 

[HATI]

Manuell geht das so: Aktuelles Zertifikat auswählen und dann oben rechts auf CSR. Hier dann den zweiten Punkt "Zertifikat erneuern" wählen. Wenn du mehr als das eine hast musst du im Dropdown natürlich das richtige Zertifikat bzw. die richtige Domain wählen.

Wenn es funzt ist es danach aktualisiert. Wenn nicht dann nicht

Neu anlegen hatte ich mir beim ersten mal auch gedacht aber das ist ja voll gay das immer wieder zu machen. Und es muss ja einen Grund geben warum es nicht geht... Hab dann wie wild ohne DSM Firewall und mit "entscheide selbst" in der Fritzbox getestet. Ging auch aber so mit die zwei Ports mal kurz auf, aktualisieren und fix wieder zu fühle ich mich natürlich deutlich besser!

 

[TeXniXo]

Oder auf CSR dort auf den 3. Punkt gehen und die URL zu deinem SSL-Anbieter eingeben und die DS holt die nötigen Infos von dort.

 

[Ha34Meiner]

Dann bekomme ich immer die Möglichkeit eine archive.zip herunterzuladen. In der sind dann 2 Dateien für das Zertifikat.
Bei Punkt 3 auch, da kann ich gar keine URL zu meinem SSL-Anbieter Let's Encrypt eintragen.

 

[TeXniXo]

Wenn du die 2 Schlüsseln (crt und key) hast, ist es eh richtig - damit kannst du dann im nächsten Dialogfenster das CRT hochladen.

 

[HATI]

Naja, richtig würde ich jetzt mal in "" setzen. Bei mir ist richtig, dass er das Zertifikat direkt von alleine aktualisiert. Und das macht er bei mir über Punkt 2 eben. Wenn er das nicht kann (aus welchen Gründen auch immer) gibts bei mir auch den Download. Normal sollte er das aber über Punkt 2 automatisch und ohne zutun (manuellen Upload oder so) machen.

So macht er das bei mir zumindest. Wenn die Ports zu sind gibts auch "nur" den Download und das Zertifikat bliebt abgelaufen.

 

[Ha34Meiner]

Wenn die Ports zu sind gibts auch "nur" den Download und das Zertifikat bliebt abgelaufen.

Dann muß ja hier mein Fehler liegen, aber ich habe die PORTS offen in der FB und auch in der DS.Durch ein Update der DS? Ich weiß langsam nicht mehr. Nun habe ich aber das Zertifikat neu angelegt und jetzt funktioniert es wieder bis zum April 2018. Dann werde ich Euch wieder ner..., äh fragen.

Beim 1. Archive.zip fehlte mir aber das Zwischenzertifikat. Ich brauche ja 3 und in der zip waren nur 2,

 

[Swiss-MAD]

Wie kann ich es denn manuell aktualisieren oder warte ich noch eine Nacht?

Bei mir funktioniert es mittlerweile nur noch mit dem Befehl syno-letsencrypt renew-all
Port 443 habe ich immer offen, aber dafür muss ich 80 schnell öffnen. Ich habe den Befehl im Aufgabenplaner, da kann ich ihn bei Bedarf schnell aufrufen.

 

[HATI]

Nun habe ich aber das Zertifikat neu angelegt und jetzt funktioniert es wieder bis zum April 2018.

Na dann haste ja erstmal Ruhe. Kacke ist es natürlich trotzdem. Sowas sollte von ganz alleine funktionieren. Da könnte Synology ruhig mal was machen.....