Toggle sidebar

Zertifikat für Portainer lässt sich nicht mehr erneuern

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Holger1974

Holger1974

Benutzer
Registriert
16. Juli 2016
Beiträge
704
Reaktionspunkte
34
Punkte
54
Guten Morgen,
ich habe ein kleines Problem:

Seither konnte ich nach Ablauf eines SSL-Zertifikats für Portainer dieses ohne Probleme erneuern.

Portainer läuft über SSL, zb. https://domainname.de:9443

Nun neues Zertifikat über die Synology NAS erneuert (von lets encrypt abgerufen), klappte auch, ist nun gültig bis 06.04.26.

Möchte ich aber nun das entsprechende ECC-Zertifikat und den zugehörigen Privkey installieren, erhalte ich folgende Meldung:
 

Anhänge

  • Problem1.png
    Problem1.png
    13,4 KB · Aufrufe: 12
Ja was soll man dir dazu sagen? Poste doch auch mal die relevanten Sachen. Wie du es eingerichtet hast. Die Pfade wären ja schon relevant.
Wieso nutzt du nicht einfach einen Reverse Proxy und sparst dir das Zertifikat bei Portainer?
 
  • Like
Reaktionen: maxblank
Servus, hattest du vorher RSA genutzt? Prüfe mal, was in dem angegebenen Verzeichnis vorhanden ist.

Viele Grüße
maxblank
 
Vielleicht ist die Reverse-Proxy-Lösung gar nicht so verkehrt, kenne das ja von anderen Anwendungen, die unter Portainer laufen, z.b. pingvin, da lautet der link z.b. pingvin.yourdomain.i234.me, da könnte ich es ja versuchen portainer.yourdomain.i234.me:9443.
Wobei dann auch die Warnmeldung kommt, https:// und das kleine Dreieck, mit dem Hinweis die Verbindung ist unsicher.

Seither lief es einwandfrei wenn das Zertifikat erneuert und hochgeladen wurde. Nur jetzt nicht mehr. Zertifikat wurde erneuert,
ich kann es auch als Archiv downloaden, und die Cert- und privkey-dateien bei portainer entsprechend hochladen. Dann kommt o.g. Meldung.

@maxblank: was ist mit RSA gemeint?

Alle anderen Anwendungen sind über eine gesicherte Verbindung ohne Fehlermeldung erreichbar. Es muss also mit Portainer zusammenhängen.
 
@Holger1974 Wenn Du auf Portainer über RP zugreifen möchtest und die Einstellungen richtig vornimmst, darfst Du beim Aufruf keinen Port mitgeben. Sonst geht es ja nicht auf 443 auf den der RP lauscht sondern an dem RP vorbei. Und da kann gar kein Zertifikat greifen.

Das gilt übrigens für alle Verbindungen die vom RP gemanaged werden. Niemals einen Port mitgeben der nicht auf :443 lautet!

Ich habe schon seit Jahren alle Internetverbindungen zuerst über den Synology Reverse Proxy und seit längerem über Caddy laufen. Das ist phantatisch weil mann außer dem Port 443 nichts offen haben muss. OK, kleine Ausnahmen gibt es immer, aber wirklich sehr sehr sehr sehr wenige!
 
Es sieht wohl so aus, als wenn ein nicht benutzter Container von Docker irrtümlich gelöscht wurde, nach dem letzten Versionsupdate.

Mal eben mit putty.de mich eingeloggt und die Pfade angeschaut

volume1/docker/portainer-ee/certs ist vorhanden, da sind auch die beiden alten cert.pem und key.pem vom Oktober 2025 vorhanden.

einen Pfad mit /data gibt es weder im Verzeichnis portainer-ee noch im Verzeichnis docker. Könnte höchstens passiert sein, dass neulich beim Portainer-Update ein paar alte, unbenutzte Images / Volumes irrtümlich gelöscht wurden.
 
Übersehe oder verstehe ich was nicht?

Aber eigentlich ist die Fehlermeldung doch recht eindeutig mit Zertifikatsdatei xy nicht gefunden
 
Du musst im Container die Pfade bzw. die Mounts prüfen. Aber ich gebs auf. Fragen werden nicht wirklich beantwortet....
 
Was bedeutet eigentlich RSA? mit der Abkürzung fange ich nichts an.
Die Pfade habe ich geprüft, das Verzeichnis /data/ bzw. Unterverzeichnis certs fehlt seltsamerweise.

Und das mit dem Reverse Proxy probiere ich nachher mal aus, ich mach nen Screenshot, wenn ich davon ausgehe, dass es passt.
 
RSA-Zertifikate basieren auf dem RSA-Algorithmus und wurden in letzter Zeit bzw. werden aktuell durch ECC-Zertifikate ersetzt.
 
Ach so, ich verwende schon ewig ECC-Zertifikate, keine RSA-Zertifikate mehr

Mit dem Reverse-Proxy habe ich es nicht binbekommen!

Reverse-Proxy-Bezeichnung: Portainer
Protokoll: HTTPS
Hostname: Domainname
Port: 19999
HSTS aktiviert
Ziel:
PRotokoll: http
Hostname: localhost
Port:20000

Benutzerdefinierte Kopfzeile
Uprade
Connection

(die Port-Nummern sind Beispielports)
 
Zuletzt bearbeitet:
Daher meine Frage, weil es in letzter Zeit in meinem IT-Umfeld vorgekommen ist, dass die Verzeichnisse der vorherigen RSA-Zertifikate bei Umstellung zu ECC-Zertifikaten plötzlich leer waren. Das kann es bei dir dann allerdings nicht sein.
 
Jetzt gehts über Reverse Proxy. Ports angepasst und voila. Bei localhost https und die bisherige Port-Nr. über die Portainer läuft, eingetragen
 
Zuletzt bearbeitet:
Habe jetzt mal spasseshalber Reverse Proxy mal deaktiviert, und die aktuellen ECC-Zertifikatsdateien (ECC-Cert.pem und ECC-privkey.pem hochgeladen...Seltsam.. nu läufts ohne wenn und aber, als wenn nichts gewesen wäre.
Reverse-Proxy wird wieder aktiviert, für alle Fälle,
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten