DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

[frogtwist]

Seit letzter Woche ist mein Zertifikat auch abgelaufen. Bisher haben jegliche Versuche es zu erneuern fehlgeschlagen. Alle Ports sind offen. In der Fritzbox sowie in der Firewall der DS. Ein kleiner hinweis in der Facebook Synology gruppe hat mir dann geholfen. Da schrieb ein user das bei ihm die interne Firewall nicht richtig funktionierte und er das Zertifikat dadurch auch nicht erneuert bekam. Also habe ich jetzt in der Firewall der DS alle regeln deaktiviert und einen neuen versuch über --> Hinzufügen --> Ersetzen --> Abrufen ... gestartet. hat sofort funktioniert und das Zertifikat wurde erneuert. Danach alle regeln wieder aktiviert.
ich habe eine eigene Domain über selfhost.

 

[umbrella]

Die Firewall der DS ist bei mir aus. Ich finde es auch irgendwie unbefriedigend, nicht zu wissen, was dann eigentlich der Fehler war. Außerdem hat man ja dann beim nächsten Mal das gleiche Theater.
In der FritzBox könnte ich die Diskstation vorübergehend auf Exposed Host setzen. Das Risiko kann ich aber nicht einschätzen.

 

[Outlaw]

Bei mir funzt die Aktualisierung seit Monaten problemlos.

Wichtig ist halt, dass bei Firewalls und im Router Port 80 extra freigegeben werden muss, denn nur darüber geht die Aktualisierung.

 

[umbrella]

Port 80 ist in der FritzBox auf. Firewall auf der DS ist aus. Die DSM lässt aber nicht zu, dass ich Port 80 als Standard für HTTP setze (falls man das überhaupt muss) - der Port sei für das System reserviert.

 

[Fusion]

Ich formulieren nochmal anders, nein, ist nicht nötig.
Systemsteuerung > Netzwerk > DSM Einstellungen sind NUR die Portangaben für den DSM.
Auf Port 80/443 lauscht der system-webserver schon vorher, deshalb kann man auch den DSM nicht dorthin verlegen.

Ohne debug Angaben ala -vv oder realer Domain-Namen (kannst du einem von uns ja per PN schicken), so daß man mal von außen testen kann, kommen wir nicht weiter.

 

[MikeZulu]

Ich verwende die Web Station und habe dort die Ports 80 und 443 für zwei VLANs definiert, denen von aussen erreichbare Subdomains (subdomain.doman.tld) zugewiesen sind. Die Zuweisung der Ports wie auch der Zugriff aus dem Internet funktioniert problemlos und auch das Let's Encrypt Zertifikat wird automatisch nach 90 Tagen erneuert. Selbstredend sind im Router die entsprechenden Port-Forwards (80 und 443) eingerichtet.

Mit dem Befehl sudo netstat -tulpn kannst Du dir die offenen Ports anzeigen lassen. Bei mir wird der Port 80 und 443 auf der Adresse 0.0.0.0 bzw. :::: von ngninx/master belegt. Darüber dürfte die Let's Encrypt Erneuerung laufen. Der Port der DSM kann deshalb nicht auf 80/443 gesetzt werden da diese bereits ausserhalb eines VLANs von ngninx/master belegt sind.

Vielleicht muss der Port 443 auf der Firewall ebenfalls geöffnet sein. Auszug aus der Synology-Hilfe: Jegliche sonstige Netzwerkkommunikaiton mit Let's Encrypt erfolgt zum Schutz Ihrer Synology NAS über HTTPS. Funktioniert natürlich nur, wenn Port 443 in der Firewall offen und an die Syno weitergeleitet wird.

 

[umbrella]

Problem endlich gelöst!
Musste den Port 80 in der FritzBox löschen und neu anlegen, dann hat es endlich geklappt, das Zertifikat neu zu erstellen.
Jetzt mal sehen ob es beim nächsten Mal mit der automatischen Erneuerung bzw. mit dem beschriebenen Befehl klappt.

 

[frankyst72]

danke für Eure Lösungswege, bin von dem Problem auch betroffen. Hat monatelang funktioniert und geht jetzt nicht mehr ohne bewusste Veränderungen an der Konfiguration der DS oder FritzBox.

(wobei ich jetzt seit gestern ein ganz anderes Problem habe, die DS1815+ fährt gar nicht mehr hoch, kein Lichtlein mehr, vermutlich Netzteil hin, Ticket ist eröffnet)

 

[toro]

Hallo Matthieu,
ich hatte etwas viel um die Ohren, daher leider erst jetzt die Antwort. Das Zertifikat ist mittlerweile abgelaufen.
Was muss ich denn machen, damit das Skript das Zertifikat erneuert? Ich bin jetzt kurz davor, das Zertifikat zu löschen und neu anzulegen.

 

[toro]

Also habe ich jetzt in der Firewall der DS alle regeln deaktiviert und einen neuen versuch über --> Hinzufügen --> Ersetzen --> Abrufen ... gestartet. hat sofort funktioniert und das Zertifikat wurde erneuert. Danach alle regeln wieder aktiviert.

Danke für den Hinweis - das hat funktioniert. Ich wundere mich allerdings, dass dieser Weg 'gewünscht' ist - warum behindert sich Synology mit der eigenen Firewall? Verstehen kann ich das nicht so ganz.

 

[Matthieu]

Was muss ich denn machen, damit das Skript das Zertifikat erneuert? Ich bin jetzt kurz davor, das Zertifikat zu löschen und neu anzulegen.

Sorry für die späte Antwort. Ein abgelaufenes Zertifikat lässt sich nicht verlängern, sondern muss gelöscht und neu angelegt werden.

MfG Matthieu

 

[nilsen123]

Ich habe diesen Thread nun komplett durch und komme leider immer noch nicht weiter. Bis zum letzten Ablaufdatum des Let's Encrypt Zertifikats hat die automatische Erneuerung immer problemlos funktioniert.
Mein Port 80 (auch 443) ist frei, die Syno-Firewall deaktiviert (auch testweise die Windows-FW), es geht aber trotzdem nicht...

Nun bekomme ich folgende Meldung:


Löschen kann ich das Zertifikat auch nicht:


Hat jemand eine Idee, was ich noch tun kann?
Danke!

 

[mördock]

Du wirst es nicht mehr verlängern können. Abgelaufene Zertifikate müssen neu ausgestellt werden.

 

[nilsen123]

Du wirst es nicht mehr verlängern können. Abgelaufene Zertifikate müssen neu ausgestellt werden.

Dann bekomme ich aber auch die erste Meldung von oben ("Verbindung zu Let's Encrypt konnte nicht hergestellt werden...").
Was soll ich tun?

 

[Crashandy]

@nilsen123
Das Zertifikat löschen geht erst, wenn es nicht das Standard-Zertifikat ist.
Dazu muss erst ein anderes Zertifikat z.B. das originale "synology.com" als Standard gesetzt werden.
Ich hoffe Du hast diese Zertifikat gesichert und nicht voreilig gelöscht.
Betreffend der nicht mehr funktionierenden Verlängerung der Zertifikate habe ich auch die negative Erfashrung machen müssen und bis heute noch keine Lösung gefunden.
Genau wie bei Dir, hatte ich auch ein Zertifikat mit "domain.tld", welches auch bis heute nicht mehr neu angelegt werden konnte.
Erst ein Zertifikat mit "sub.domain.tld" war bei mir sofort erfolgreich.

Gruß
Crashandy

 

[NSFH]

Ich habe heute LE in den Wind geschossen und mir für 36€ ein Comodo Zertifikat für 3 Jahre zugelegt.
LE habe ich einfach nicht mehr erneuert bekommen, musste es immer über den Umweg der richtigen Domain bei Strato machen, nervig alle 3 Monate.
War innerhalb von 15 Minuten bestellt, erhalten, installiert. LÄUFT! Klare Empfehlung! Ein Cert für 1 Jahr kostet ca 15€.
Gekauft habe ich es hier: https://www.interssl.com/de/cart.php?gid=2
Anleitung für die Syno gibt's da auch: https://www.interssl.com/de/knowledgebase.php?action=displayarticle&id=814

 

[nilsen123]

@nilsen123
Das Zertifikat löschen geht erst, wenn es nicht das Standard-Zertifikat ist.
Dazu muss erst ein anderes Zertifikat z.B. das originale "synology.com" als Standard gesetzt werden.

Eigentlich logisch....

Ich hoffe Du hast diese Zertifikat gesichert und nicht voreilig gelöscht.
Crashandy

Natürlich nicht.... Dachte ja zukünftig immer das LE Zertifikat nutzen zu können und ging ja auch eine Zeit lang....

Gibt's eine Notlösung?
Vielen Dank für die Hilfe!

 

[Fusion]

Erstelle ein neues selbst-signiertes und mach es zum Standard

 

[nilsen123]

Habe ich nach dieser Anleitung bereits erfolglos versucht:

https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS#t4

Wenn ich die server.key und server.csr einfüge, erhalte ich die Meldung ungültiges Zertifikat...

 

[Fusion]

Du sollst auch keinen Certificate Signing Request erstellen sondern ein selbst signiertes Zertifikat. Dafür musst du keinerlei Dateien anfassen (also weder irgendwas ex/importieren etc).

Systemsteuerung > Sicherheit > Zertifikat
Hinzufügen > Neues Zertifikat hinzufügen
Selbst signiertes Zertifikat erstellen
Dann die Felder sinnvoll ausfüllen
fertig.

Dann noch unter "Konfigurieren" schauen, dass dieses Zertifikat für "default" oder "Standard" zuständig ist.
Zudem kann man noch unter "Bearbeiten" das Zertifikat als Standard setzen.