Toggle sidebar

Lets Encrypt Zertifikat erstellen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
B

Ben2013

Benutzer
Registriert
01. Nov. 2021
Beiträge
127
Reaktionspunkte
13
Punkte
18
Hallo,

bisher sind auf dem NAS 4 Lets Encrypt Zertifikate erfolgreich erstellt worden. Die nächste Aktualisierung steht erst im Juli an.

Nun sollte noch ein neues Lets Encrypt Zertifikat dazu kommen. Nach der Eingabe deder Angaben wird die Überprüfung der Daten durchgeführt... Nach eine Ewigkeit wird folgende Fehlermeldung angezeigt:

"LetsEncrypt kann diesen Domainnamen nicht überprüfen. Stellen Sie sicher, dass auf Ihrem Synology NAS und Router Port 80 für die Internet-Domainüberprüfung durch Lets Encrypt geöffnet ist. Jegliche sonstige Kommunikation mit Lets Encrypt läuft zum Schutz Ihres Synology NAS über HTTPS."

Im Router sind Port 80 und 443 auf die NAS weitergeleitet.

Gibt es irgendwo im NAS eine LOG-Datei mit weiteren Details zum Hergang des Fehlers?

Habe die Befürchtug, dass auch die nächste automatische Aktualisierung der Lets Encrypt Zertifikate fehl schlagen wird.

Hat jemand einen Tip?

Nachtrag:

In der Datei /var/log/messages wird eine Fehlermeldung protokolliert:

2023-05-21T08:51:12+02:00 Diskstation1621 syno-letsencrypt[12340]: client_v2-base.cpp:603 Failed to do new authorization, may retry with another type. [{"error":101,"file":"client_v2-base.cpp","msg":"217.195.149.46: Fetching http://test.domain.de/.well-known/acme-challenge/7OzUMQVqq0MjEjZ0bEzItroXEpwlfbqVdD1vXv2GcWo: Timeout during connect (likely firewall problem)"}

Die Anfrage läuft auf ein Timeout. Muss dafür erst ein WebServer installiert werden, der auf die neue Test-Domain reagiert?
 
Zuletzt bearbeitet:
Punkt 1: DS-Firewall aktiv?
Punkt 2: Der Domainname muss auf deinen Router (IPv4) oder dein NAS (IPv6) zeigen.
Falls das Zertifikat für eine *.synology.me Domain gebraucht wird, brauchst du gar keine Portweiterleitungen machen
 
Hallo,

die DS-Firewall ist nicht aktiv.

Der Domainname zeigt schon auf das NAS. Via Reverse Proxy wird auf den eigentlichen Webserver im LAN verwiesen.

Es handelt sich nicht um eine *.synology.me Domain.
 
Mach mal testweise den Reverse Proxy Eintrag aus
 
Wenn Du mir mitteilen kannst, wie man den ReverseProxy deaktivieren kann, würde ich es gerne machen. Oder muss man dafür alle Einträge entfernen?
 
Zuletzt bearbeitet von einem Moderator:
Grundsätzlich musst du die Einträge löschen. Wenn du aber mit Subdomains arbeitest, dürfte es eigentlich kein Problem geben
 
Auch nach dem Entfernen aller Reverse Proxy Einträge tritt der gleiche Fehler auf:
Der Domainname konnte nicht überprüft werden ...
client_v2-base.cpp:603 Failed to do new authorization, may retry with another type. [{"error":101,"file":"client_v2-base.cpp","msg":"000.000.000.000: Fetching http://test.domain.de/.well-known/acme-challenge/ucyWL93KTUUkg-Fee6l65qoYFn4JHqJFM_ljEgXuYlo: Timeout during connect (likely firewall problem)"}

Allerdings ist im Messages-Protokoll eine weiterer Eintrag:
syno-letsencrypt[4787]: client_v2-disk.cpp:117 Failed to open port

Welcher Port kann gemeint worden sein?
 
Du versuchst das Zertifikat aber schon über die Systemsteuerung zu erstellen, oder?
Der DDNS löst auch tatsächlich korrekt auf? DS-Lite ist nicht im Spiel?
 
Ja, das Zertifikat wird über den Assistent in der Systemsteuerung erstellt:

1684869517026.png
Die Domain wird beim Zugriff über http://test.domain.de korrekt aufgelöst. Es wird auch die richtige Webseite angezeigt.
 
Zuletzt bearbeitet:
Hm. Das habe ich so noch nicht gehört. Wie gesagt, bei mir klappt das ganze auch ohne Portweiterleitungen. Das klingt nach einem Ticket bei Synology
Ben2013 schrieb:
Failed to open port
Zum Vergrößern anklicken....
Wenn er es über http versucht, ist wohl Port 80 gemeint.
 
Im DSM über das Support Center
 
Habe nun ein Support Ticket eröffnet. Die Fachleute sind schon bei der Arbeit. Mal sehen, ob die was finden.
 
Ben2013 schrieb:
Habe nun ein Support Ticket eröffnet. Die Fachleute sind schon bei der Arbeit. Mal sehen, ob die was finden.
Zum Vergrößern anklicken....

Hallo!

Gibt es auf das Ticket bereits eine Antwort? Ich habe heute festgestellt, dass ich genau das gleiche Problem habe. Zertifikate lassen sich nicht mehr erstellen. Der Zugriff via Reverse Proxy funktioniert und die (Sub) Domain löst korrekt auf…
 
Bartl schrieb:
Gibt es auf das Ticket bereits eine Antwort?
Zum Vergrößern anklicken....
Bisher noch nicht. Das Ticket ist noch in Bearbeitung. Es schaut wohl so aus, als wenn mehrere Systeme von dem Problem betroffen sind.

Sobald eine Antwort auf das Problem eingegangen ist, werde ich es hier kommunizieren.
 
  • Like
Reaktionen: Bartl
Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Die Fehlermeldung "Failed to open port" in der Log-Datei bezieht sich auf den Zugriff aus dem Internet. Der LetsEncrypt Server muss demnach aus einem Gebiet kommen, der in der Firewall geblockt wurde.

Zusätzlich wurden auch die ICMP Datenpakete freigegeben.

Es lag also nicht an Synology, wie ich irrtümlich angenommen habe.
 
Ben2013 schrieb:
Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.
Zum Vergrößern anklicken....

Danke für die Rückmeldung. Leider kann das mir nicht die Ursache sein, denn selbst mit ausgeschalteter Firewall geht‘s nicht.
 
Ben2013 schrieb:
Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Die Fehlermeldung "Failed to open port" in der Log-Datei bezieht sich auf den Zugriff aus dem Internet. Der LetsEncrypt Server muss demnach aus einem Gebiet kommen, der in der Firewall geblockt wurde.

Zusätzlich wurden auch die ICMP Datenpakete freigegeben.

Es lag also nicht an Synology, wie ich irrtümlich angenommen habe.
Zum Vergrößern anklicken....
Der Lets Encrypt Server steht in den USA. Hier könntest du den Rest wieder blockieren.
 
  • Like
Reaktionen: Ben2013
Vielen Dank für den Hinweis. Die Gebietsbeschränkung hat eh nicht so richtig funktioniert. Damit sollten an erster Stelle BruteForce-Angriffe, die überwiegend aus asiatischen Ländern gekommen sind, abgeblockt werden.
 
Zuletzt bearbeitet von einem Moderator:
Bartl schrieb:
Danke für die Rückmeldung. Leider kann das mir nicht die Ursache sein, denn selbst mit ausgeschalteter Firewall geht‘s nicht.
Zum Vergrößern anklicken....
Dann hilft in der Tat nur ein Ticket beim Synology Support weiter.

Alternativ kann man versuchen, einen simplen WebServer mit Port 80 zu verbinden und sehen, ob da die Anfragen überhaupt ankommen.

Der Webserver kann auch auf einem völlig anderem System testweise laufen; wenn es auch da nicht läuft, liegt die Ursache möglicherweise ausserhalb des eigenen Netzes.

Mir hat es geholfen, einen Online-Portscanner (z.B. https://dnschecker.org/port-scanner.php ) einzusetzen.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten