DSM 6.x und darunter Lets Encrypt Zertifikat erneuern - ich bin zu blöd dafür

Alle DSM Version von DSM 6.x und älter

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Moin Leute,

ich stehe gerade auf dem Schlauch.
Vor nicht allzu langer Zeit habe ich mir über den DSM ein Zertifikat von Lets Encrypt eingerichtet. Jetzt ist der Zeitpunkt zum Erneuern des Zertifikats gekommen (sagt LE), nur, ich bekomme das ums Verrecken nicht hin über den DSM. Ich bekomme permament Meldungen, dass der WAN Zugang zum DSM(?) über Port 80 (und 443) möglich sein muss...
Ok, das entspricht so nicht meiner Konfiguration. Diese Ports gehen auf den Webserver bzw. die PhotoStation, aber auch wenn ich diese Ports auf den DSM (5000/5001) umbiege, erhalte ich immer wieder die obige Meldung.
Wo ist denn jetzt mein Denkfehler?
Was muss zur Erneuerung des Zertifikats denn jetzt genau geöffnet sein?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Es muss reichen, wenn Port 80 an Port 80 auf der DS landet.
Firewall (teilweise Geo-IP Block), Portweiterleitungen prüfen (wäre z.B. nicht das erste mal, dass eine eingetragene Weiterleitung in z.B. der Fritzbox nicht mehr "greift")

Sind mehrere Domains/Hostnamen im Zertifikat? Ist einer davon veraltet/ nicht mehr erreichbar?

Andernfalls hilft nur die Konsole für mehr Informationen
Code:
syno-letsencrypt renew-all -v[v]
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Nur eine Domain (dynDNS). Port 80 geht ja auf den Webserver bzw. Photostation. Also muss Port 80 nicht auf den DSM (also 5000) zeigen? Da ist die Fehlermeldung wohl etwas schlecht formuliert.
Zwischendurch hatte ich jetzt noch PiHole im Verdacht, weil auch ein korrekter DNS als Hint angezeigt wird, aber auch nach Deaktivierung von piHole klappt es nicht.
Inzwischen lautet die Fehlermeldung aber auch nur noch "Verbindung fehlgeschlagen. Melden Sie sich erneut am DSM an."
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Nein, der Port muss nicht auf der DSM-Webanwendung landen. Webserver/Web Station ist ausreichend.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ich bekomme nur noch "Vorgang fehlgeschlagen. Bitte erneut am DSM anmelden.".
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Gibt es keine andere Möglichkeit der Erneuerung als über dem DSM?

Die Meldung "Vorgang Fehlgeschlagen" ist nicht wirklich aussagekräftig und ich denke, ich habe jetzt so ziemlich alle möglichen Kombinationen von Einstellungen durch.
Keine Ahnung, in welche Richtung ich da noch denken soll.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ah, sorry, hatte nicht gesehen, dass du den Post ergänzt hattest.

Also, über die Konsole gibt es eine Menge Output.
Bezeichnend scheint mir aber u.a. folgendes zu sein:

Code:
  "type": "urn:acme:error:rateLimited",
  "detail": "Error creating new authz :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/",
  "status": 429

] Body: [{"code":"badparam","errinfo":"delete.go:27"}]
DEBUG: Dns01 challenge: Teardown [{"code":"badparam","errinfo":"delete.go:27"}].
DEBUG: DNS challenge failed, reason: {"error":200,"file":"client.cpp","msg":"new_authz: unexpect httpcode."}

DEBUG: Normal challenge failed, reason: {"error":200,"file":"client.cpp","msg":"new_authz: unexpect httpcode."}

Also zu viele nicht erfolgreiche Verbindungsversuche?

Portweiterleitungen hatte ich immer über Smartphone geprüft.
Firewall des DSM war eingeschaltet, sollte aber Port 80 und 443 nicht blocken.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Sieht so aus.

Außer abwarten kann man da eigentlich nur entweder die dyn-Domain ändern oder eventuell eine andere email-Adresse verwenden.
Oder anstatt "erneuern" vorher vielleicht noch probieren mit Zertifikat > Neu > Ersetzen mit den alten Werten, ob das hilft.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Bringt mich nur im Kern nicht weiter. Der Grund für die nicht erfolgreichen Verbindungsversuche ist ja nach wie vor unklar.

Nun ja, ich warte jetzt erstmal. Habe auch noch ein paar andere Dinge zu tun. ;)
Aber ich komme bestimmt wieder...
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Hahahahahaha....

Ich habe jetzt gerade NICHTS mehr geändert, nur noch eine Tasse Kaffee getrunken. Und weil es in den Fingern juckte, habe ich einfach nochmal den Button zum Erneuern gedrückt.
Und? Rödel rödel, alles chic. Keine Meldung, kein Fehler. Einfach durchgelaufen.

crazy saturday
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
nur noch eine Tasse Kaffee getrunken.

echt jetzt? what else? :cool:;)

zum Thema: Darf ich Fragen warum ihr dass Verlängern vom LE Zertifikat immer "manuell" macht? Ich halte es seit Monaten wie Puppetmaster und mache NICHTS und ohne mein zutun verlängern sich die LE Zertifkate immer automatisch und ohne Probleme. Dabei wird ca. 4 Wochen vor Ablauf das Datum der Gültigkeit "orange" und meistens 2-3 Tage vor dem entgültigen Ablauf verlängert die DS autom das Zertifikat für 90 Tage und wird wieder "grün".
Im Augenblick läuft bei mir gerade wieder so eine "orange" Ablaufphase:

le_zertifikat_maerz2019orange.jpg

wie erwähnt, ich mache dabei gar nichts und 2-3 Tage vor dem tatsächlichen Ablauf steht dann dort wieder ein "grünes" Ablaufdatum mit 90 Tagen in der Zukunft.
 
Zuletzt bearbeitet:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Nur Kaffee, Kurt, nur Kaffee... ^^

Also, meine Erfahrungen mit Lets Encrypt sind noch ganz jung. Also jetzt knapp 3 Monate alt. Erstellung des Zertifikats über den DSM, alles fein. Nur jetzt bekam ich halt mehrere Mails von Lets Encrypt mit dem Inhalt, dass wenn ich mein Zertifikat nicht bis zum xx. Februar erneuern würde, es danach ablaufen würde.
Dass es dort irgendwo einen Automatismus gibt, der das Zertifikat automatisch erneuert, ist mir neu.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.008
Punkte für Reaktionen
2.701
Punkte
423
@Kurt
Hast du eine permanente Portweiterleitung von Port 80 zur DS auf deinem Router? Mag sein, dass das dann geht.

Ich habe ein LE-Zertifikat auf Router (FB7590, MyFritz) und auf der DS. Die FB macht die Verlängerung immer automatisch. Bei der DS muss ich immer erst Port 80/443 temporär freischalten und manuell verlängern.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
ah ok ich verstehe. Wenn du beim nächsten Mal die Mail bekommst, dann mach vorerst nichts, das Zertifikat sollte die DS automatisch verlängern, ohne dass du etwas tun musst. Nur Geduld haben beim nächsten Mal. Wie gesagt, 2-3 Tage vorher (ich glaube das Datum wird dann sogar "rot" angezeigt) sollte das dann autom passieren.

@Benares: Ja für LE, alles andere geht über VPN bzw 443
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ich weiß nicht, wieweit ich einer Automatik trauen soll, wenn schon der manuelle Weg versagt.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.008
Punkte für Reaktionen
2.701
Punkte
423
Also, entweder permanente Portweiterleitung und automatische Verlängerung - oder temporäre mit manueller Verlängerung. Was anderes bleibt dir nicht.
 

reiki

Benutzer
Mitglied seit
16. Mai 2012
Beiträge
349
Punkte für Reaktionen
5
Punkte
18
.....
Hast du eine permanente Portweiterleitung von Port 80 zur DS auf deinem Router? Mag sein, dass das dann geht.

....... Bei der DS muss ich immer erst Port 80/443 temporär freischalten und manuell verlängern.


Ich habe bei meiner Fritzbox Port 80 für die automatische Verlängerung (als crontab erfasst) vom Lets Encrypt Zertifikat auf der DS offen. Das klappt "geräuschlos". Somit brauche ich das Zertifikat nicht manuell verlängern und muss somit auch nicht selbt auf der Synology schauen ob und wie lange das zertifikat noch gültig ist. Port 443 brauchte ich nur zur Erstinstallation von Lets Encrypt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Wenn du den ganzen Thread liest wirst du ja sehen, dass es trotz gesetzer Portweiterleitung eben auch manuell schon nicht funktioniert hat.
 

TypVomDeister

Benutzer
Mitglied seit
07. Dez 2020
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
DasThema ist hier schon älter, trotzdem war das mein erster Suchtreffer. Daher hier die Lösung die MIR geholfen hat:

Portweiterleitung ist korrekt eingerichtet.
In der Synology Firewall habe ich den Zugriff für die Ports auf Deutschland beschränkt, da nur Mitarbeiter im eigenen Land zugreifen.
Genau das verhindert die Verlängerung.
Also Firewallregel für Port 80 und 443 (Web Station, Photo Station, Web Mail) umstellen auf Quell-IP -> Alle
Zertifikat erneuern (bei mir (DSM 6.2.3-25426 Update 2) Zertifikat anwählen | DropDown-Feld "Zertifikat erneuern")
Firewallregel wieder auf den eingeschränkten Wert zurücksetzen

Hoffe es hilft jemandem ;-)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat