Lets Encrypt Zertifikat erstellen/erneuern
- Ersteller PetA90
- Erstellt am
:-( dumm gelaufen...
Ich habe jetzt Methode BRUTAL angewendet und habe das Zertifikat auf der Syno gelöscht, also zurück zum Syno-Zertifikat. Als ich dann das Zertifikat bei Let's Encrypt neu beantragt habe, kam wieder der altbekannte Fehler - beim ersten Versuch...
Beim zweiten Versuch kam jetzt die Fehlermeldung "zu viele Versuche für die Domain" von Let's Encrypt.
Mist!
Was kann ich jetzt tun? Wie lange muss ich warten?
Ich habe jetzt Methode BRUTAL angewendet und habe das Zertifikat auf der Syno gelöscht, also zurück zum Syno-Zertifikat. Als ich dann das Zertifikat bei Let's Encrypt neu beantragt habe, kam wieder der altbekannte Fehler - beim ersten Versuch...
Beim zweiten Versuch kam jetzt die Fehlermeldung "zu viele Versuche für die Domain" von Let's Encrypt.
Mist!
Was kann ich jetzt tun? Wie lange muss ich warten?
Kann mir einer dazu was sagen? Ist das eine mögliche Ursache oder ist das eine kalte Spur?
Ich meine einige Tage oder ne Woche. Auf jeden Fall ziemlich lang.
Edit:
Also ich habe ja auch eine Domain bei Strato (example.com), aber keine Subdomains, sondern jede Menge CNAMEs (Aliase) darauf (subx.example.com). Per DDNS aktualisiert wird nur example.com, die CNAMEs wechseln ja automatisch mit. Natürlich braucht man für sowas entweder je ein Zertifikat für jeden der Namen oder ein Zertifikat, dass alle Namen abdeckt (*.example.com). Letzteres geht auf der Syno mit Bordmitteln nur bei synology.me als Provider. Ich hab mir da mit ACME was gescriptet, dann geht das auch mit Strato. Ganz vollautomatisch hab ich's aber noch nicht hinbekommen, weil Strato keine DNS-API zur Aktualisierung der DNS-TXT-Records (DNS-Challenge) anbietet.
Edit2: Da hat sich wohl mein Edit und der Beitrag von @Fusion zeitlich etwas überschnitten.
Zuletzt bearbeitet:
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Example.com ist eine offizielle Beispieldomain die man benutzen sollte für.... Beispiele. Die von dir gewählten Beispiele (mydomain) sind offiziell vergebene Domains die jemand Drittem aktuell gehören. Das sollte man vermeiden. Entweder die realen Domains die dir gehören, oder offizielle Beispiele.
Alle Domains die in EINEM Zertifikat als Common Name oder Subject Alternative Name (CN, SAN) angegeben sind müssen ALLE erreichbar sein auf Port 80 für die Validierung mit http-01.
Wenn für jede Domain ein eigenes Zertifikat erstellt wurde muss nur diese auch für die Erneuerung dieses einen Zertifikats erreichbar sein.
Wildcard Domains via dns-01 Validierung kann die Syno nur für Synology.me Domains erstellen.
Nur hier hat die DS über Umwege den notwendigen Zugriff auf die DNS Server VON Synology um die notwendigen TXT records abzulegen.
Aktuell geht es für eigene Domains nur über Umwege wie ein manuell installiertes acme.sh auf der Konsole.
Es reicht jede Subdomain bei Strato per CNAME auf EINE (ein und dieselbe) dynDNS bei Strato zu setzen. Das ändert zwar nix am Wildcard Problem (siehe oben), aber es braucht halt nicht X dynDNS.
Zu Rate Limits von Let's Encrypt
https://letsencrypt.org/de/docs/rate-limits/
Alle Domains die in EINEM Zertifikat als Common Name oder Subject Alternative Name (CN, SAN) angegeben sind müssen ALLE erreichbar sein auf Port 80 für die Validierung mit http-01.
Wenn für jede Domain ein eigenes Zertifikat erstellt wurde muss nur diese auch für die Erneuerung dieses einen Zertifikats erreichbar sein.
Wildcard Domains via dns-01 Validierung kann die Syno nur für Synology.me Domains erstellen.
Nur hier hat die DS über Umwege den notwendigen Zugriff auf die DNS Server VON Synology um die notwendigen TXT records abzulegen.
Aktuell geht es für eigene Domains nur über Umwege wie ein manuell installiertes acme.sh auf der Konsole.
Es reicht jede Subdomain bei Strato per CNAME auf EINE (ein und dieselbe) dynDNS bei Strato zu setzen. Das ändert zwar nix am Wildcard Problem (siehe oben), aber es braucht halt nicht X dynDNS.
Zu Rate Limits von Let's Encrypt
https://letsencrypt.org/de/docs/rate-limits/
@Fusion @Benares: vielen Dank für Eure ausführlichen Antworten.
Ich werde mich also mal in die Konfiguration des CNAME der Subdomains bei Strato (was muss ich da eintragen) und in ACME einarbeiten. Bei beidem kenne ich mich noch nicht aus. Gibt es einen guten Link für Newbies?
Eine Anmerkung noch zu "mydomain.de": die hatte ich manuell für meine reale Domain eingesetzt.
Ich werde mich also mal in die Konfiguration des CNAME der Subdomains bei Strato (was muss ich da eintragen) und in ACME einarbeiten. Bei beidem kenne ich mich noch nicht aus. Gibt es einen guten Link für Newbies?
Eine Anmerkung noch zu "mydomain.de": die hatte ich manuell für meine reale Domain eingesetzt.
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
"mydomain.de" ist eine reale Domain, die gehört eben jemand bzw. einer Firma. Nur nicht dir. 
sub.example.com mit CNAME auf deine.dyndns.tld in den DNS Einstellungen der Subdomain. Mehr nicht.
Fortan sind beide mit derselben IP verbunden.
Welcome to the rabbit hole...
Kenne leider kein Silbertablett für Anfänger.
Bare Metal:
https://github.com/acmesh-official/acme.sh
https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide
https://github.com/acmesh-official/acme.sh/wiki/deployhooks#20-deploy-the-cert-into-synology-dsm
Docker:
https://www.christosgeo.com/2022/02/03/renew-lets-encrypt-certificates-on-synology-using-acme-sh/
Für die Automatisierung muss man sich mindestens einen der Hoster zur Hilfe nehmen für die acme.sh auch die DNS Einträge direkt manipulieren kann. Dann kann man mit einem Domain Alias / Challenge Alias arbeiten. Damit kann man dann auch Zertifikate ausstellen für Domains bei Hostern für die keine API verfügbar ist (z.B. Strato), und auch auf Servern die überhaupt nicht aus dem Internet erreichbar sind. Und man kann den einen Alias für wo man die DNS-API bedienen kann auch für beliebig viele andere Domains abfrühstücken. Bsp DNS-API / web-wrapper bei Hurricane Electric und Domains bei Strato, 1Blu oder sonst wo, wo man keinen remote Zugriff auf die DNS API hat und nur statische Einträge braucht.
Bsp., nicht unbedingt die optimale Beispielseite, aber als Anfang ...
https://www.my-it-brain.de/wordpres...g-des-dns-alias-modus-mit-dem-acme-sh-client/
Und für die Spitze noch mit 2FA, TOTP
https://github.com/acmesh-official/acme.sh/issues/2727#issuecomment-1039308674
sub.example.com mit CNAME auf deine.dyndns.tld in den DNS Einstellungen der Subdomain. Mehr nicht.
Fortan sind beide mit derselben IP verbunden.
Welcome to the rabbit hole...
Kenne leider kein Silbertablett für Anfänger.
Bare Metal:
https://github.com/acmesh-official/acme.sh
https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide
https://github.com/acmesh-official/acme.sh/wiki/deployhooks#20-deploy-the-cert-into-synology-dsm
Docker:
https://www.christosgeo.com/2022/02/03/renew-lets-encrypt-certificates-on-synology-using-acme-sh/
Für die Automatisierung muss man sich mindestens einen der Hoster zur Hilfe nehmen für die acme.sh auch die DNS Einträge direkt manipulieren kann. Dann kann man mit einem Domain Alias / Challenge Alias arbeiten. Damit kann man dann auch Zertifikate ausstellen für Domains bei Hostern für die keine API verfügbar ist (z.B. Strato), und auch auf Servern die überhaupt nicht aus dem Internet erreichbar sind. Und man kann den einen Alias für wo man die DNS-API bedienen kann auch für beliebig viele andere Domains abfrühstücken. Bsp DNS-API / web-wrapper bei Hurricane Electric und Domains bei Strato, 1Blu oder sonst wo, wo man keinen remote Zugriff auf die DNS API hat und nur statische Einträge braucht.
Bsp., nicht unbedingt die optimale Beispielseite, aber als Anfang ...
https://www.my-it-brain.de/wordpres...g-des-dns-alias-modus-mit-dem-acme-sh-client/
Und für die Spitze noch mit 2FA, TOTP
https://github.com/acmesh-official/acme.sh/issues/2727#issuecomment-1039308674
Fehler gefunden! Problem gelöst!
Auf der Syno war in Systemsteuerung>Externer Zugriff>DDNS im Record zur Meldung meiner Domain bei Strato das Feld Externe Adresse (IPv4) von "automatisch" auf eine feste (manuelle), nicht mehr gültige IP umgesprungen.
Wieder auf "automatisch" umgestellt, aktualisiert und Zertifikat bei Let's Encrypt neu abgerufen - voilà!
Weiß der Teufel, wie sich das Ding auf eine veraltete IP festgegraben hat =:-o
Vielen Dank nochmal für die Unterstützung.
Auf der Syno war in Systemsteuerung>Externer Zugriff>DDNS im Record zur Meldung meiner Domain bei Strato das Feld Externe Adresse (IPv4) von "automatisch" auf eine feste (manuelle), nicht mehr gültige IP umgesprungen.
Wieder auf "automatisch" umgestellt, aktualisiert und Zertifikat bei Let's Encrypt neu abgerufen - voilà!
Weiß der Teufel, wie sich das Ding auf eine veraltete IP festgegraben hat =:-o
Vielen Dank nochmal für die Unterstützung.
@Fusion: Ganz herzlichen Dank für die Links und die ausführlichen Erklärungen!
Das mit dem CNAME habe ich bereits umgesetzt. Funzt! Damit ist DynDS zwischen Strato und Synobox schonmal viel aufgeräumter. Mit DynDNS könnte ich sogar, weil es jetzt nur noch ein Record ist, auf die Fritz!Box umziehen.
Jetzt geht's noch ans Lesen des Materials ran.
Viele Grüße!
Das mit dem CNAME habe ich bereits umgesetzt. Funzt! Damit ist DynDS zwischen Strato und Synobox schonmal viel aufgeräumter. Mit DynDNS könnte ich sogar, weil es jetzt nur noch ein Record ist, auf die Fritz!Box umziehen.
Jetzt geht's noch ans Lesen des Materials ran.
Schon klar. Um meine eigene Domain nicht zu zeigen habe ich mir willkürlich diese genommen, ohne zu wissen, dass sie reserviert ist. Mein Fehler!"mydomain.de" ist eine reale Domain, die gehört eben jemand bzw. einer Firma. Nur nicht dir.
Viele Grüße!
heavy
Benutzer
- Mitglied seit
- 13. Mai 2012
- Beiträge
- 3.749
- Punkte für Reaktionen
- 152
- Punkte
- 129
Hallo,
ich klinke mich mal mit ein, da ich zu meinem Thema/Problem nichts finde.
Ich habe zwei Synology NAS im Netzwerk...hinter einer FritzBox. Beide sind mit einem Let's Encrypt Zertifikat ausgestattet, welche sich via Aufgabenscript erneuern. Dazu muss ja der Port 80 freigegeben werden, was aber ja nur für eine NAS so in der FritzBox funktioniert.
Bei der Zweiten Synology NAS meckert er ja nun immer rum, dass er dies nicht erneuern kann...außer ich stelle kurz den Port manuell darauf um.
Gibt es eine Möglichkeit, dies doch irgendwie so einzustellen, sodass die zweite NAS (ohne Port 80/433) Freigabe sich das Zertifikat selbst erneuert, bzw. fest bleibt?
Für Lösungen bin ich sehr dankbar!
ich klinke mich mal mit ein, da ich zu meinem Thema/Problem nichts finde.
Ich habe zwei Synology NAS im Netzwerk...hinter einer FritzBox. Beide sind mit einem Let's Encrypt Zertifikat ausgestattet, welche sich via Aufgabenscript erneuern. Dazu muss ja der Port 80 freigegeben werden, was aber ja nur für eine NAS so in der FritzBox funktioniert.
Bei der Zweiten Synology NAS meckert er ja nun immer rum, dass er dies nicht erneuern kann...außer ich stelle kurz den Port manuell darauf um.
Gibt es eine Möglichkeit, dies doch irgendwie so einzustellen, sodass die zweite NAS (ohne Port 80/433) Freigabe sich das Zertifikat selbst erneuert, bzw. fest bleibt?
Für Lösungen bin ich sehr dankbar!
Hallo,
ganz normal über die Synology...bei beiden.
Also ein ...synology.me Zertifikat und ein Subdomain-Zertifikat ...meine-domain.com.
Wie geschrieben, betrifft es logischerweise nur die ohne Portfreigabe.
ganz normal über die Synology...bei beiden.
Also ein ...synology.me Zertifikat und ein Subdomain-Zertifikat ...meine-domain.com.
Wie geschrieben, betrifft es logischerweise nur die ohne Portfreigabe.
Für die Erneuerung der Hauseigenen (z.b. synology.me( DynDNS Lets Encrypt Zertifikate benötigst Du keinen Port 80 und auch keinen 443.
Schließ die und erneuere die Zertifikate mal manuell und berichte.
Schließ die und erneuere die Zertifikate mal manuell und berichte.
Hallo,
dies klappt leider eben nicht mit dieser Synology NAS, die keine 80/433 Portfreigabe hat, was ja auch so dasteht und ich so auch aus der Vergangenheit kenne, bzw. die andere NAS (mit 80. Portfreigabe) ja problemlos durchführt.
dies klappt leider eben nicht mit dieser Synology NAS, die keine 80/433 Portfreigabe hat, was ja auch so dasteht und ich so auch aus der Vergangenheit kenne, bzw. die andere NAS (mit 80. Portfreigabe) ja problemlos durchführt.
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 5.987
- Punkte für Reaktionen
- 2.009
- Punkte
- 259
Eigentlich klappt das schon, ich habe keine offenen Ports und auf allen meiner DS verlängern sich die Example.synology.me Zertifikate selbstständig. Egal ob Wildcard, Subdomain oder das Standart Zertifikat.
Irgendwo, evtl. Firewall hakt da bei Dir etwas.
OK, das "Problem" kenne ich nicht anders und mit der geschätzt 20 Synology NAS in unterschiedlichen Konfigurationen (Router/Firewall/etc.).
Ist der Port nicht offen, funktioniert es nicht.
Also bleibt nur der Weg, dies immer wieder manuell zu machen.
Trotzdem danke...
Ist der Port nicht offen, funktioniert es nicht.
Also bleibt nur der Weg, dies immer wieder manuell zu machen.
Trotzdem danke...
- Mitglied seit
- 13. Mai 2021
- Beiträge
- 2.604
- Punkte für Reaktionen
- 758
- Punkte
- 154
Um welche Domain geht es dir denn mit den Ports? Um die synology.me oder um deine .com Domain? Für deine .com brauchst du offene Ports. Nur für die synology.me nicht.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
