DSM 6.x und darunter Lets Encrypt Zertifikat erneuert sich nicht

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

bl3d2death

Benutzer
Mitglied seit
19. Dez 2015
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Ich habe seit knapp einem Jahr eine eigene Domain und entsprechend via Lets Encrypt ein Zertifikat erstellt. Die sind ja immer 3 Monate gültig. Nun hab ich kürzlich aber eine Mail bekommen, dass das Zertifikat ausläuft (zuvor nie) und nun gehts nicht mehr. Erneuert sich das denn zeitig selbst oder wie mache ich das jetzt? Ist leider alles schon so lange her. Die Ports 80 +43 habe ich auch nie freigegeben... dennoch bisher keine Probleme gehabt. Möchte die Ports aufgrund der Sicherheit auch nicht öffnen. Weiß jemand einen Rat :(?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
Port 80 öffnen und auf der Konsole als root
syno-letsencrypt renew-all
eingeben.

Gruß Götz
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Hier möchte ich kurz einhaken.
Bei mir werden die auch nicht (mehr) verlängert.
Weder über den Aufgabenplaner noch wenn ich es über die Konole probiere.
Ports 80 sowie 443 sind sowohl im Router als auch der FW der DS frei.
Es erfolgt keinerlei Rückmeldung noch eine Verlängerung der Zertifikate.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
hab es gerade vorhin per Konsole problemlos verlängert. Hängt mal -vv hinten dran um die Ursache zu finden.

Gruß Götz
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Rich (BBCode):
root@DS415Plus:~# syno-letsencrypt renew-all -vv
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/2vcQ2K/]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/2vcQ2K/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/3XUNI5/]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/3XUNI5/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/DEFAULT]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/DEFAULT]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/INFO]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/INFO]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/OHyG9C/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/OHyG9C/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/Q6mWVJ/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/Q6mWVJ/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/kEXSsx/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/kEXSsx/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/kcpDrm/]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/kcpDrm/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/nbYiFy/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/nbYiFy/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/renew.json]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/renew.json]
root@DS415Plus:~#

Natürlich werden notwendigerweise jetzt keine verlängert, weil ich sie kürzlich alle gelöscht und neu angelegt habe.
Nur aus dem Grund weil sie nicht mehr verlängert wurden.
Der Support möchte Fernzugriff, das möchte ich aber nicht unbedingt.
Zuimindest nicht wenn ich es mit eurer Hilfe lösen kann.
 

Scirocco3

Benutzer
Mitglied seit
29. Dez 2016
Beiträge
324
Punkte für Reaktionen
2
Punkte
0
genau wie bei mir...

root@DS916:~# syno-letsencrypt renew-all -vv
DEBUG: check need to renew. [/usr/syno/etc/certificate/_archive/D7ST1u/]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/D7ST1u/]
DEBUG: check need to renew. [/usr/syno/etc/certificate/_archive/DEFAULT]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/DEFAULT]
DEBUG: check need to renew. [/usr/syno/etc/certificate/_archive/INFO]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/INFO]
DEBUG: check need to renew. [/usr/syno/etc/certificate/_archive/pd0JGU/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/pd0JGU/]

Ich habe Sie zwar auch erst vor ein paar Tagen gemacht, aber müsste er nicht trotzdem erneuern und neue ab heute ausstellen?
 

neuwi

Benutzer
Mitglied seit
31. Mrz 2014
Beiträge
704
Punkte für Reaktionen
3
Punkte
38
Habe vorhin mit dem Automatischen Script ein Zertifikat verlängert.
Es werden effektiv nur die Zertifikate verlängerrt, welche auch Orange sind, also kurz vor dem Ablaufen (4 Wochen vorher).

Der rest bleibt sich gleich!

Gruess
 

bl3d2death

Benutzer
Mitglied seit
19. Dez 2015
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
also was mach ich jetzt mit meinem, wenns über die verlängerung (per konsole) nicht mehr geht?
 

neuwi

Benutzer
Mitglied seit
31. Mrz 2014
Beiträge
704
Punkte für Reaktionen
3
Punkte
38
@Rednag hatte es dem Support gemeldet.

Als Workaround hat er das Zertifikat gelöscht und neu Erstellt.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134

bl3d2death

Benutzer
Mitglied seit
19. Dez 2015
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Also die ZIP hochladen?!
Ich kenne mich da leider nicht so sehr mit aus und war froh das ich das letztes Jahr iwie hinbekommen habe.
Kann mir das jemand eventuell genauer erklären :)?
 

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
446
Punkte für Reaktionen
7
Punkte
18
Moin,
ich hänge mich hier mal dran.

Ich habe mir eine neue DS 916+ zugelegt und habe mein bestehendes Zertifikat auf meiner alten
DS216+II exportiert und dann auf meiner DS916+ importiert.

Ich nutze dazu eine eigene Domain bzw. Subdomain (nas.meinedomain.de), die bei Allinkl liegt.

Ursprünglich wollte ich das Zertifikat einfach neu anlegen, doch da bekomme ich immer den
Fehler Vorgang fehlgeschlagen, bitte melden Sie sich neu an.

Also habe ich importiert.

Privater Schlüssel = privkey.pem
Zertifikat = cert.pem
Zwischenzertifikat = chain.pem

In meiner Fritz!Box 7490 sind die Ports 80 und 443 auf die DS 916+ 80 und 443 weitergeleitet.

Zusätzlich habe ich testweise ein LetsEncrypt Zertifikat erstellt mit meiner zusätzlichen dynamischen Domain. (dynamischeDomain.dynvpn.de)
Das funktioniert einwandfrei.

Mein importiertes Zertifikat läuft Anfang April aus. Eine Verlängerung per Konsole funktioniert leider nicht.
Das Zertifikat löschen und neu anlegen funktioniert leider auch nicht.
Fehlermeldung: "Vorgang fehlgeschlagen, bitte melden Sie sich neu an. "

Was kann ich denn jetzt am besten machen, damit ich das Zertifikat entweder verlängere bzw. erneuere.

Ich habe ja die Vermutung, dass das mit meiner persönlichen Domain zusammenhängt, das ich das Zertifikat nicht erneuern kann.
Kann mir jemand helfen?

viele Grüße

Huhie
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Stimme ich zu, rednag. Ist wie oben erwähnt ein Workaround.

Eine systeminterne und saubere Lösung wird nach wie vor angestrebt!
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Was mich halt auch etwas stört ist:

Rich (BBCode):
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/renew.json]

Kann das mal wer überprüfen bei dem sich die Zertifikate verlängern?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Leg dir mal ein Neues LE an, wähle Ersatz des Alten als Option, nimm dieselben Domain Namen beim Ausfüllen und schaue danach, ob die renew.json dann wieder existiert.

Die Datei von Hand anzulegen, den Inhalt hatte ich dir ja letztes Mal zukommen lassen, hatte ja auch ohne weitere debug Ausgabe ebenfalls nicht funktioniert.

Durfte sich der Support nicht auf deine Maschine einloggen, oder was war der Grund wieso sie das nicht klären konnten bis jetzt?
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Derzeit sieht der Ordner so bei mir aus:

Unbenannt.PNG

Wobei hier nur bei den letzten 4 Ordner eine renew.json drin befindet.
In den ersten drei Ordnern befindet sich je eine cert.pem, fullchain.pem und privkey.pem
 

bl3d2death

Benutzer
Mitglied seit
19. Dez 2015
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
habe jetzt doch mal die portfreigabe (80er) probiert. hat auf anhieb geklappt, zertifikat geht wieder.

aber den 80er port sollte man doch sicherlich nicht offen lassen?! .. was macht man denn jetzt am besten?
 

neuwi

Benutzer
Mitglied seit
31. Mrz 2014
Beiträge
704
Punkte für Reaktionen
3
Punkte
38
Manche haben den Port 80 mehrheitlich offen, andere Öffnen Ihn einfach kurz zur verlängerung.

Wenn du Ihn nicht permanent offen willst, gillt es vor jeder verlängerung den Port 80 zu öffnen und wieder zu schliessen.

Gruess
 

Scirocco3

Benutzer
Mitglied seit
29. Dez 2016
Beiträge
324
Punkte für Reaktionen
2
Punkte
0
@rednag

mit welcher App bist Du denn da drau das Du mit GUI in den root ordner was sehen kannst?
Ich muss da immer ohne gui drauf, mit meinen Apps die ich versucht habe sehe ich leider immer nur die Freigaben.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat