Hyper Backup Keine Verbindung mehr zum Hyper Backup Vault nach Zertifikatsänderung

[theexciter]

Es liegt am Zertifikat!

Ich habe jetzt wieder eines via Synology DDNS auf der DS220+ erstellen lassen und damit ist das Ziel sofort wieder online - sehr weird...

 

[theexciter]

Habe jetzt 2 Zertifikate drin, und nutze nur das von Synology für HyperVault..

Kann es vielleicht hiermit zusammenhängen:

https://www.synology-forum.de/threads/zertifikat-laesst-sich-nicht-erneuern.91522/post-1054684

 

[theexciter]

So, ich habe jetzt noch einiges getestet, und kann zumindest für mein Szeanrio sagen, dass es am Let's Encrypt Zertifikat welches via DNS-01 challenge "gezogen" wurde, liegt.

Hier liegt scheinbar eine Imkompatibilität mit HyperBackup vor:

1. LE ACME Zertifikat via DNS-01 challenge für DnyV6 Domain --> Ziel für HyperVault Ofline
2. LE Zertifikat via HTTP-01 challenge für DnyV6 Domain --> Ziel für HyperVault Online

 

[EDvonSchleck]

Scheinbar kann durch ECC-Zertifikat es zu Kompatibilitätsproblemen auf den Geräten kommen. Hintergrund dazu war das Problem mit dem Importieren des Zertifikates in der Fritz!Box. Da das Importieren auch manuell nicht funktionieren wollte, habe ich die unterschiedliche Key-Länge der beiden Zertifikate festgestellt.

Man kann mit dem Befehl -k 2048 den Standard wieder herstellen. Das erstellte Zertifikat ist wieder ein „herkömmliches“ (ohne ECC) und in bekannter Länge.

Der komplette Code sieht denn wie folgt aus:

acme.sh --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de -k 2048 --dnssleep 300

Für alle User, die Dynv6.com nutzen, können auch auf den Befehl --dnssleep 300 verzichten:

acme.sh --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de -k 2048

Im Gegensatz zu anderen Provider wie Netcup ist dieser hier nicht notwendig. Das Zertifikat fliegt innerhalb von 1 Minute (mehrfach getestet ca. 45 Sekunden) direkt auf den NAS. Natürlich schadet es nicht, den Befehl trotzdem einzusetzen, die Beantragung dauert nur eben länger.

Mit dem neuen, alten Zertifikat konnte ich ohne Probleme den Deploy-Hook für die Fritz!Box nutzen und das Zertifikat installieren.

Wer also Probleme mit einer Hard- und Software hat, möge sich erst einmal das entsprechende Zertifikat (alt, neu oder beide) herunterladen, bis das System angepasst ist. Um beide Zertifikate zu beantragen, führt man den Befehl einmal mit -k 2048 und danach ohne -k 2048 aus.

Setze deine Zertifikate zurück und beantrage diese entsprechend neu. Ich denke das dieses Problem so ordentlich gelöst ist!

 

[theexciter]

Sehr interessant, komischerweise war das via HTTP-01 challenge bezogene Zertifikat auch ein ECC Zertifikat, zusätzlich stand dort noch RSA in der Übersicht beim Zertifikat - dies war beim bezogenen Zertifikat über den Synology DNS Dienst ebenso - mit dem lief es ja...

Lange Rede kurzer Sinn: Habe jetzt ein Zertifikat via ACME mit dem Paramater -keylength 2048 angefordert und auf die DS220+ gepusht - wird als Zertifikat ohne ECC und RSA angezeigt, und es klappt mit HyperVault...

Sobald ich wieder mit ACME das ECC Zertifikat ohne Paramater, was ja -keylength ec-256 entspricht angefordert und gepusht habe, ist das Ziel in HyperBackup wieder offline...

Scheinbar kann ich via ACME kein Zertifikat welches als Eigenschaften in der Übersicht ECC und RSA angibt erzeugen - denn in den Eigenschaften war kein Unterschied zwischen dem ACME ECC und dem Syno ECC, RSA Zertifikat ersichtlich...

Nun nutze ich als Standardzertifikat ein ACME ECC Zertifikat und werde übermorgen (too many cert issues) wieder ein "normales" beantragen damit erstmal Ruhe ist...

stay tuned...

 

[EDvonSchleck]

Ich habe zum Spaß beide Zertifikate (RSA & ECC) hintereinander beantragt. Somit waren beide Zertifikate im acme-Ordner gespeichert, mit und ohne: :_ECC. Jetzt importierst du das Zertifikat mit der gleichen Domain. Man hat ja nicht die Auswahl, welches an importieren will. Was wird dann angezeigt? RSA, ECC oder beide?

 

[theexciter]

Es ist nur ein Zertifikat im Dockerordner vorhanden, das mit ECC und dies wird auch angezeigt und funktioniert wie bekannt nicht mit HyperVault...

Ist ja die Frage, ob ich via ACME überhaupt das entsprechende Zertifikat (RSA + ECC) anfordern kann, falls nicht, wird es halt das reine RSA Zertifikat was ja dann für HyperVault funktioniert

 

[EDvonSchleck]

Nicht gleichzeitig, aber hintereinander. Bei der Fritz!Box habe ich getestet, dort wird das ECC-Zertifikat nicht angenommen. Wenn beide Zertifikate heruntergeladen sind, funktioniert das importieren auch ohne Probleme. Beim Importieren wird ja nicht unterschieden. Dabei müssen die Zertifikate (Namen) bis auf die Keylänge gleich sein.

Also bei Dynv6:

acme.sh --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de
acme.sh --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de -k 2048

Während man den Befehl ansonsten nach Beantragung nicht noch einmal ausführen kann, funktioniert es mit einer anderen (weiteren) Keylänge ohne Probleme.

 

[theexciter]

Ich glaube wir schreiben aneinander vorbei

Ich meinte mit ECC+RSA ein einzelnes Zertifikat, welches beide "Eigenschaften" aufweist - hintereinander beantragen ist ohne Probleme möglich, importieren kann ich auf der Syno immer nur eines

 

[EDvonSchleck]

Nein, das geht nicht und wurde auch vom Entwickler so publiziert. Sollte auch eher egal sein, da die richtigen Ansprechpartner Synology und AVM sind. Das passiert, wenn man halt die Trends verschläft. Andere Anwendungen haben kein Problem mit dem ECC-Zertifikat. Im Hyperbackup/Vault muss das anscheinend angepasste werden. Auch sind die ECC-Zertifikate erst mit DSM 7 auf die DS gekommen. Vielleicht gibt es bei DSM 7.2 ja schon einen fix.

Ansonsten steht es jedem frei sich an Synology zu wenden (Ticket) oder Synology Quickconnect, DynDNS oder die DS-Zertifizierung zu nutzen. Natürlich mit den entsprechenden Einschränkungen. Man kann halt nicht alles haben.

Wegen eines fehlenden Accounts kann ich kein Ticket erstellen. Das wird auch so bleiben. Mir reicht schon das an AVM zu melden. Aktuell wieder 3 wahrscheinliche Fehler gefunden.

 

[EDvonSchleck]

Du kannst aber probieren, beide Befehle zu kombinieren. Die Beantragung funktioniert auf jeden Fall. Ich kann es aber aktuell nicht importieren, eventuell später.

acme.sh --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de -k 2048

Teste es aus und berichte.

 

[theexciter]

Probiere ich wenn ich wieder darf

 

[EDvonSchleck]

Du kannst ja einfach zum Testen eine andere Subdomain nehmen oder dir eine andere Zone bei Dynv6 einrichten. Für die Zertifikatserstellung muss man nicht ändern und einrichten, weil beide auf den gleichen Account laufen.

 

[theexciter]

Habe es jetzt für meine andere Domain mit deinem Befehl getestet, es ist dann wieder nur ein Standardzertifikat mit RSA - wird iner der Übersicht aber nicht angezeigt...

#warten auf den Fix von Synology

 

[EDvonSchleck]

Hast du das Problem denn schon bei Synology gemeldet? Letztendlich gibt es keine Vor- und Nachteile zwischen RSA und ECC. Selbst ein Wechseln der Zertifikate ist mit 2 Befehlen schnell gemacht.

 

[theexciter]

Nein, noch nicht - ich habe jetzt auf der DS220+ ein RSA Zertifikat mit ACME abgerufen und installiert, damit läuft HyperBackup wieder wie gewohnt..:

Vielleicht ist es ja mit DSM 7.2 gefixt, falls nicht, mache ich ein Ticket auf

Edit: Kann ich hier den Threadtitel auch nachträglich anpassen?

 

[EDvonSchleck]

Nein, das geht nicht. Du kannst den Beitrag nicht nachträglich editieren.

Und wenn es nicht in DSM 7.2 gefixt ist, ist das Gejammer wieder groß. Richtig wäre die Probleme vorher zu benennen, damit sie im nächsten Release mit veröffentlicht werden. Da das Release Q1 noch erscheinen soll, würde ich mich beeilen. Immerhin hast du ein starkes Interesse daran. Diese 5 Minuten wirst du wohl Zeit haben, unabhängig wie lange ich mich schon mit der Problemlösung beschäftigt habe!

 

[theexciter]

#Ticket erstellt

 

[theexciter]

Sehr geehrter Herr XXX,

vielen Dank, dass Sie den Technischen Support von Synology kontaktieren.

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Einheit erstellt und signiert wird, deren Identität von ihr selbst zertifiziert wird (in diesem Fall Ihr Synology Router/NAS). Selbstsignierte Zertifikate werden mit dem von Ihrem Synology Gerät erzeugten privaten Schlüssel signiert. Da selbstsignierte Zertifikate nicht von Drittanbieter-Zertifizierungsstellen ausgestellt werden, bieten sie einen geringeren Nachweis für die Identität eines Host-Geräts und werden normalerweise nur verwendet, um Kanäle zwischen dem Host-Gerät und einer Gruppe bekannter Benutzer zu sichern.

Die ACME-Version2 wird weiterhin von DSM 6.2.2 Update 3 aufwärts unterstützt. Let't Encrypt hat bereits das End of Life für die ACMEv1 im November 2019 erklärt.
Seit der Einführung von DSM7 verwendet Synology nun RSA- und ECC-Zertifikate gemeinsam.

Für weitere Fragen, stehe ich Ihnen gerne jederzeit wieder zur Verfügung.

Mit freundlichen Grüßen,

O. XXX
Technical Support Engineer

Es zeichnet sich mittlerweile oft das gleiche Bild beim "Herstellersupport" - kannst du auch sein lassen, nur Zeitverschwendung..

 

[EDvonSchleck]

Scheinbar wissen sie es selbst nicht besser.