DSM 6.x und darunter Let's Encrypt Zertifikat erstellen mit Fehlermeldung

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo!

Gerade neu und direkt die erste Frage zum Setup... ich habe schon die Forum Suche bemüht, aber mein Problem konnte dadurch leider nicht behoben werden.
Möchte als erstes zum Thema Sicherheit Let's Encrypt einbinden.

Habe in meinem Router Port 80 und 443 weitergeleitet.
Habe mir bei selfhost.de einen Account erstellt.
Habe bei meinem Provider eine Subdomain eingerichtet und diese auf selfhost.de weitergeleitet.
Und im Disk Station Manager den Externen Zugriff konfiguriert.

Im Disk Station Manager bekomme ich jedoch immer die Meldung:
Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten sie darauf, dass der Domainname gültig ist

Wäre nett wenn mir jemand helfen kann... Danke!
Martin
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Konkrete Einstellungen bitte.

Was heißt bei dir sub.selfhost.de auf selfhost.de weitergeleitet? Das macht keinen Sinn.

Systemsteuerung - Externer Zugriff konfiguriert, was genau? Nur die DDNS?
Was anderes brauchst du dort nicht.

Was hast du für einen Internetanschluss? Offentliche IPv4? Öffentliche IPv6?
Alle Domains/Hostnamen die im Zertifikat eingetragen sind sind per http://namen erreichbar und das ist die DS?
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Sorry für zu wenige Infos.

also sub domain bei meiner domain eingerichtet: ds.meinedomain.de
Die weitergeleitet auf dsxx.selfhost.eu (dynodes bei selfhost.de)

Externer Zugriff: genau, nur DDNS

Unitymedia mit IPv4

Im Zertifikat bzw. über die Einrichtung Synology (Option Zertifikat von Let's Encrypt abrufen) ist dann die ds.meinedomain.de eingetragen.
Gebe ich diese ein, lande ich auf der Web Station der DS.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ok, hatte kurz gedacht du hättest die Domain bei selfhost. So rum macht es mehr Sinn.

Wie sieht die 'Weiterleitung' aus? DNS CNAME?
Also bleibt ds.domain.de im Browser in der Adresszeile erhalten wenn du sie aufrufst, oder ändert sich die Adresse in dsxx.selfhost.eu?
Nur im ersten Fall kannst du das Zertifikat auf ds.domain.de ausstellen lassen.
Bei einer http Weiterleitung und Adressanderung muss das Zertifikat auf dsxx.selfhost.eu lauten
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Bleibt nicht erhalten, sondern ändert sich.
bin bei HostEurope... bei Subdomains kann ich nichts einstellen, habe ich zumindest nichts gefunden.
Versuche ich es mit dsxx.selfhost.eu kommt jedoch die gleiche Meldung.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wäre aber komisch. DNS Einstellungen, CNAME. Musst mal die Host Europe Hilfe durchgehen.

Firewall aktiv? Geo Block für US?
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Müsste ja aber zumindest direkt für dsxx.selfhost.eu funktionieren, oder nicht?
Firewall DiskStation zum "Testen" deaktiviert.
Nutze ein USG von Unifi, aber dort Port Forwarding eingerichtet....
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ja, auch für dsxx.selfhost.eu möglich. Wie gesagt, Portweiterleitung (domain Aufruf im Browser endet auf der DS) ist das eine. Die DS muss aber auch die let's encrypt Server erreichen können, und diese wiederum die DS.

Ansonsten bliebe noch, dass eventuell in der Eingabemaske etwas falsch geschrieben ist, trotz der wenigen Variablen.
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Wie kann ich überprüfen ob die DS die Let’s Encrypt Server erreicht und umgekehrt?
Oder ist das Problem evtl, das zuviele „Registrierungen“ von der Domain selfhost.eu erfolgen? Wobei dann die Meldung ja eine andere wäre....
Schreibfehler schließe ich aus!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Das ist schön. Muss man vertrauen. In dem LE Erstellungsdialog also nur dsxx.selfhost.eu und eine Email Adresse eingetragen, sonst nix?

Dann würde mir nur noch einfallen es via Konsole und root zu probieren und eventuell aussagekräftigere Meldungen zu lesen.

Code:
/usr/syno/sbin/syno-letsencrypt new-cert -vv -d dsxx.selfhost.eu -m meine@email.de

Welche konkreten Server die Syno anruft weiß ich gerade nicht auswendig, müsste ich heute Abend nachsehen.

Dann wäre noch ein Punkt ob ds.domain.de oder dsxx.selfhost.eu mit IPv4 und/oder IPv6 hinterlegt sind? Wenn ja, sind beide Protokolle sauber auf die DS weitergeleitet?
Solange NUR eine IPv4 im DNS hinterlegt ist, und Port 80 weitergeleitet ist, ist dies allerdings nicht der Grund für die Probleme.
Falls aber z.b. Auch eine ipv6 hinterlegt ist und diese aber nicht zur Syno gehört bzw keine Portfreigabe existiert könnte dies den 'Rückruf' behindern.
Viele Leute nehmen, anstatt das Problem zu lösen, dann den Holzhammer und schalten ipv6 überall zwischen Router und DS aus.
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Habe es mal via Konsole (terminal) probiert. Als admin User angemeldet und den Befehl ausgeführt.
War nicht erfolgreich.
Darf ich dir den Output einmal hier posten?
Was müsste ich alles "unkenntlich" machen? Auch payload, protected, signature... oder nur meine IP, e-Mail und DynDNS Adresse?

Danke!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Als Admin habe ich nicht probiert. Wechsel mal mit 'sudo -i' zu root und probier nochmal.

Hab das Log nicht mehr im Kopf um dir detaillierte Anonymisierungsanweisungen zu geben.
Falls du willst kannst du es mir auch per PM schicken. IP, Email und dyn darfst du natürlich auch da anonymisierten.
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Also mit sudo -i hat es nicht funktioniert, also der Wechsel zum User root nicht.
Konntest du im log irgendetwas erkennen?
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
@Fusion: vielen Dank erst einmal soweit.

Ich habe nun tatsächlich folgendes gemacht: meinen Unifi USG ausgewechselt gegen meine "alte" fritzbox 7530... und siehe da, es funktioniert.
Kann mir jemand helfen, wie ich das USG konfigurieren muss, damit es damit ebenfalls funktioniert?
Ich habe bei beiden Port Forwarding für 80 und 443 eingerichtet....
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Das mit UPNP kann sein, habe ich aktiviert. Hab jetzt das Zertifikat schon erstellt, kann ich das irgendwie jetzt schon testen? Oder das Zertifikat löschen und neu erstellen lassen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Was genau willst du testen?
Du kannst auch weitere Zertifikate erstellen und/oder ersetzen. Musst nicht löschen. Darfst nur nicht zu oft machen.
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
So... habe nun die Zeit gefunden es noch einmal zu testen und neu einzurichten. Es lag tatsächlich an UPnP...
Nur habe ich jetzt folgendes Problem: die Seite wird als nicht sicher eingestuft von extern. Rufe ich die subdomain, die auf die DynDNS Adresse verweist, auf... ist die Seite nicht sicher. Mache ich dies in meinem (Heim-)Netzwerk, ist die Seite sicher. Woran liegt das nun schon wieder? (Außer an mir ;))
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Was ist die genaue Meldung?
Es steht normal immer dabei, eventuell erst bei Klick auf Erweitert oder weitere Informationen oder ähnlich, was genau die Ursache für die nicht sicher Meldung ist.
Meist hat das nichts mit der Sicherheit, sondern mit einer fehlenden Namensübereinstimmung oder ähnlichem zu tun.

Welche sub.domain.tld rufst du im Browser auf?
Welche sub.domain.tld wird als letztes im Browser angezeigt?
Lautet das Zertifikat auf diese zuletzt angezeigte URL?

Wenn du willst kannst mir die angestrebte sub.domain.tld auch per PM schicken und ich jage sie hier mal durch den Browser.
 

MM001

Benutzer
Mitglied seit
22. Mai 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Also Chrome sagt mir:
Rich (BBCode):
Dies ist keine sichere Verbindung
Hacker könnten versuchen, Ihre Daten von ds.domain.de zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten. Weitere Informationen
NET::ERR_CERT_AUTHORITY_INVALID
 
Sie können uns dabei helfen, Safe Browsing weiter zu verbessern, indem Sie einige Systeminformationen und Seiteninhalte an Google senden. Datenschutzerklärung
ds.domain.de schützt Ihre Daten in der Regel durch Verschlüsselung. Als Google Chrome dieses Mal versuchte, eine Verbindung zu ds.domain.de herzustellen, gab die Website ungewöhnliche und falsche Anmeldedaten zurück. Entweder versucht ein Angreifer, sich als ds.domain.de auszugeben, oder die Verbindung wurde durch eine WLAN-Anmeldeseite unterbrochen. Da Google Chrome die Verbindung vor dem Austausch von Daten unterbrochen hat, sind Ihre Informationen weiterhin sicher.

Sie können ds.domain.de derzeit nicht aufrufen, da die Website HSTS verwendet. Netzwerkfehler und Angriffe sind in der Regel nur vorübergehend, sodass die Seite wahrscheinlich später wieder funktioniert.

Firefox
Rich (BBCode):
Diese Verbindung ist nicht sicher

Der Inhaber von ds.domain.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

Weitere Informationen…

Fehler an Mozilla melden, um beim Identifizieren und Blockieren böswilliger Websites zu helfen

ds.domain.de verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.
Eventuell muss ein zusätzliches Stammzertifikat importiert werden.
Das Zertifikat gilt nicht für den Namen ds.domain.de.

Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

es wird immer ds.domain.de angezeigt und diese hab ich auch in der DiskStation beim Anlegen des Zertifikats angegeben.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat