Lets Encrypt funktioniert nicht /.well-known nicht erreichbar

[KnuMu]

Hallo Ihr Spezialisten!
Habe seit Längerem folgendes Problem. Früher funktionierte mein Lets Encrypt Zertifikat inklusive Verlängerung perfekt.
Damit war es irgendwann vorbei. Ich habe viel rumprobiert, ohne Erfolg. Ich kann auch kein neues Zertifikat erstellen.
Wenn ich das manuell machen will, scheitert es daran, dass nur /.well-known von außen nicht erreichbar ist. ein z.B. /..well-known oder ein /well-known geht. daher scheitert die Überprüfung der Dateien.
Was kann das sein? Ich komme wie gesagt von außen an Alles ran, nur nicht an dieses Verzeichnis (inclusive. Unterverzeichnisse)
Hat jemand eine Idee??
Über den normalen Weg kommt ne Fehlermeldung mit Port80, der aber weitergeleitet ist.

LG
Knut

 

[Ulfhednir]

Ich meine, dass Port 80 wie auch 443 für die Verlängerung geöffnet sein muss.

 

[KnuMu]

Ja, ich habe natürlich beide Ports freigeschaltet. Ich komme ja von außen auf den Webserver, nur auf .well-known eben nicht.
LG
Knut

 

[bastians]

Hast Du zufällig noch DSM 5.x?

 

[KnuMu]

Nein. Ich habe die aktuelle Firmware drauf und leider keinen Plan mehr, wie ich weiter vorgehen soll.
Ich habe irgendwo gelesen, dass /.well-known/acme-challenge in der Synology auf einen andern Unterordner umgeleitet wird. Das würde erklären, warum NUR dieser Unterordner eben nicht erreicht werden kann.
LG
Knut

 

[tproko]

Hm, ähnliche Probleme gab es leider schon ein paar mal. ZB. hier
Passen die Leseberechtigungen für den Ordner noch? Ein anderer User hat dann mit VirtualHost-Umweg hinbekommen.

Grundsätzlich muss lediglich Port 80 muss von außen offen sein.
Port 443 und Webstation sind eigentlich auch nicht (mehr) nötigt. Hast du Webstation installiert/aktiviert bzw. mit welchen Webserver fährst du (nginx, apache httpd)? Falls du Webstation nicht brauchst, hilft hier vielleicht auch mal ein deinstallieren.
Habe es so jetzt seit einiger Zeit am laufen, und auch die aktualisierung klappt. Betreibe selber keine Webstation und default Webserver.

 

[bastians]

Was steht denn in /etc/httpd/logs/user-error_log? Oder wie auch immer das passenden logfile in DSM 6.x heißt? Da müßte doch eine Fehlermeldung auftauchen, wenn Du auf den Ordner zugreifst...
Insbesondere, wenn Du nicht auf das Directory, sondern eine (beliebige) Datei darin zugreifst (die muß natürlich existieren, also testweise mal eine anlegen).

Bastian

 

[dodo-dk]

Ich hatte auch Probleme gehabt.
Ich habe in der FritzBox IPv6 deaktiviert, Port 80 freigegeben und die Synology Firewall deaktiviert.

Dann hat es geklappt. Wenn man es zu oft probiert bekommt man auch eine zeitliche Sperre, dann geht es nicht auch wenn alles richtig ist.

Mit diesem Befehl kannst du die Zertifikate verlängern und bekommst eine ausführliche Ausgabe:

/usr/syno/sbin/syno-letsencrypt renew-all -vv