DSM 6.x und darunter Let´s Encrypt Zertifikat erneuern

[Hartmann]

Hallo Leute!

Seit einigen Stunden ist mein Let´s Encrypt Zertifikat abgelaufen.

Nachdem ich dieses bislang nicht erneuern musste, ist mir der Erneuerungsprozess bis dato erspart geblieben.
Nun habe ich mich an die Arbeit gemacht..Ich bekomme entweder eine Fehlermeldung oder ich werde aufgefordert ein Zertifikat downzuoaden (???).

Könnte mir jemdand von euch behilfilich sein und mir den Ablauf etwas erläutern?

Besten Dank!

Mfg

 

[trust_no1]

Hallo,

ich habe das gleiche Problem und habe in diesem Thread herausgelesen, dass wohl ein nicht geöffneter Port 80 für die betreffende DiskStation die automatisierte Erneuerung des Zertifikats blockiert.
Da ich zwei DiskStations gleichzeitig betreibe, kann ich naturgemäß nur für eine von beiden den Port 80 routen. Bei der anderen DS hat deswegen die automatische Erneuerung des Zertifikats auch ohne Probleme funktioniert.

Jetzt habe ich den 80'er einfach mal zur nicht aktualisierten DS geroutet und hoffe, dass die automatische Routine von Let's Encrypt das Prozedere in den nächsten Stunden/Tagen erfolgreich abschließen kann. Das manuelle Anschubsen über die CSR-Funktion scheint wohl auch nicht zu funktionieren.

 

[Roland_kb]

Hallo, ich hatte das gleiche Problem. Wenn man aber den Port 80 am Router aufmacht kommt man wenn man die DYNDNS oder die IP Adresse hat auf die Web Oberfläche. ich meine nicht den Admin Login da ist der Port ja 5001. Hat Jemand eine Idee wie man das einerseits aufmachen kann damit sich das Zertifikat erneuert aber andereseits verhindert, dass die man auf alle im Webserver laufenden Applikationen zugreifen kann.

Grüsse und Danke

 

[rednag]

Du musst ja Port 5000 oder 5001 nicht im Router freigeben.

 

[Roland_kb]

Es geht doch gar nicht um Port 5000 und 5001
Wenn ich Port 80 frei gebe wegen dem Zertifikat gebe ich alles frei was im Ordner web liegt! Also z.B. phpmyadmin und genau das will ich verhindern.

 

[rednag]

phpmyadmin kannst Du mit einer htaccess sperren. Eigentlich sollte das mit anderen Anwendungen auch funktionieren.

 

[blinddark]

Ich meine auch in einem changelog von dem spk von Synology mal gelesen zu haben, dass sie die Möglichkeit zum sperren von phpMyAdmin geben, gefunden habe ich aber noch Nichts.

 

[rednag]

Gut zu wissen @blinddark.

Ic habe mein phpMyAdmin vor geraumer Zeit mit einer Änderung auf das lokale Netz beschränkt. Diese Änderungen scheinen aber nicht von Dauer zu sein. Die Einträge sind in der Konfigurationsdatei wieder verschwunden.

 

[Roland_kb]

ausserdem schütze ich mit htaccess meines Erachtens den Zugang zur directory nicht aber die Möglichkeit den Anmeldeschirm der Anwendungen aufzurufen.
Genau das will ich nicht, dass Jemand überhaupt mal so weit kommt den Anmeldeschirm zu bekommen, Das Problem ist nämlich auch, dass man die Anzahl der
Anmeldeversuche bei vilene der Webanwenungen die man auf der Syno hat nicht beschränken kann. Die meisten der Dinge sollen eh nur im internen Netz sichtbar sein.
Daher ist htaccess n.E. keine Lösung

 

[rednag]

Eine .htaccess schützt einen definierten Bereich mit einem Passwort. So kannst Du DynDNS/phpMyAdmin aufrufen, bekommst aber nur eine zusätzliche Abfrage zu Gesicht, und nicht das Login von phpMyAdmin.

 

[Fusion]

Man kann auch den Webserver anweisen auf Port 80 NUR die acme-challenges von Lets Encrypt durchzulassen und sonst nix.
Das ging via nginx directive (nginx, DSM 6) oder htaccess bei Apache. Leider finde ich gerade den Thread nicht mehr hier, wo das schon geposted wurde.

Und Dienste die nicht erreichbar sind kann man auch nicht nutzen. Und ob die jetzt über 80 oder 443 erreichbar sind ist auch egal, die Sicherheit für den Dienst liegt ja bei Nutzer/Passwort und nicht bei der Verschlüsselung des Zugriffs.

 

[rednag]

Mit Deinem letzten Absatz hast Du schon Recht @Fusion. Hier möchte ich aber noch kurz anmerken, daß nicht ALLE Dienste (wie eben phpMyAdmin) aus dem www zugänglich sein sollten. In meinem Szenario sehe ich keinerlei Bedarf um von extern administrativ auf die Datenbanken zugreifen zu müssen. Aus diesem Grunde möchte ich die Möglichkeit haben die Dienste meinetwegen auf das lokale Netz zu beschränken. Und das finde ich persönlich von Synology schwach hier keine Lösung anzubieten, bzw. die Blockierung der IP auf das gesamte /web auszudehnen.

 

[Fusion]

Das war jetzt auch nicht direkt auf dich bezogen @rednag. Ich hatte nur das Gefühl, dass der Kollege die Dienste halt via 443 oder anders verfügbar hat, bei denen er sich jetzt über Port 80 sorgen macht. Von daher wäre da keine Sicherheitsverlust zu vorher. Aber vielleicht habe ich da auch zu viel hineingelesen, is ja schon spät.

 

[bastians]

Moin,

als Hinweis an Leute die noch DSM 5.2 benutzen. Ich habe am Freitag auch versucht mein Letsencrypt Zertifikat zu erneuern (so wie immer per Ubuntu VirtualMachine und die Webroot vom Synology per cifs gemounted). Ich habe dabei immer Fehlermeldungen bei der Authentifizierung bekommen und irgendwann rausgefunden das der Webserver auf der Synology wirklich einen Zugriff auf den /.wellknown Ordner blockiert.

In der /etc/httpd/conf/httpd.conf-user steht nämlich seit kurzem(?) ein Alias der diesen Pfad auf einen nicht existierenden lokalen Ordner /var/lib/letsencrypt umlenkt,

Ich vermute ds ist Synology mit einem der letzten updates etwas in 5.2 reingerutscht ist was da nicht hingehört!?
Am 1.5 ging es nämlich noch.

ciao
Bastian