Zertifikate für nicht Synology Dienste werden nicht erneuert

[majorshark]

Hallo,

wie ich jetzt festgestellt habe werden auf meiner Synology die Zertifikate nicht verlängert. Das betrifft aber nur die, die eine eigene zusätzliche Konfiguration besitzen. Ein "renew" wird für alle nicht auf der Synology gehosteten Dienste mit einer Fehlermeldung quittiert. Was auch etwas seltsam ist, dass die Konfiguration bislang funktioniert hat und die Zertifikate einwandfrei erneuert wurden.

/usr/syno/sbin/syno-letsencrypt renew-all -v

DEBUG: start to renew [/usr/syno/etc/certificate/_archive/NtTBO7].
DEBUG: setup acme url https://acme-v01.api.letsencrypt.org/directory
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/directory
DEBUG: strat to do new-authz for test.name.dyn-vpn.de
DEBUG: ==> start new authz.
DEBUG: new authz: do new-authz.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: new authz: setup challenge env.
DEBUG: new authz: http-01 challenge.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/chall-v3/59297993/dKQBqQ
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/chall-v3/59297993/dKQBqQ
DEBUG: new authz: http-01 check result.
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz-v3/59297993
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz-v3/59297993
DEBUG: Not synology DDNS.
DEBUG: DNS challenge failed, reason: {"error":108,"file":"challenge.cpp","msg":"Not synology DDNS."}

DEBUG: Normal challenge failed, reason: {"error":102,"file":"client.cpp","msg":"Invalid response from https://test.name.dyn-vpn.de/.well-known/acme-challenge/F9Gh_4R-Dbn60TdQqlbRTMSfJfPsiRGEmzl9FtPWbQM [92.117.43.29]: \"<html>\\r\\n<head><title>401 Authorization Required</title></head>\\r\\n<body>\\r\\n<center><h1>401 Authorization Required</h1></center>\\r\\n<h\""}

Wenn ich die Fehlermeldung richtig interpretiere findet der Let's Encrypt die Domain mit der Zufällig erstellten Datei nicht mehr. Deswegen habe ich meine Fehlersuche auf die "location ^~ /.well-known/acme-challenge ...." Konfiguration konzentriert. Ist es aber scheinbar nicht.

Wer kann hier weiter helfen?

Hier noch die Nginx Konfigurationsdatei des Dienstes.

server {
        listen 80;

        server_name test.name.dyn-vpn.de;
        return 301 https://test.name.dyn-vpn.de$request_uri;
	
	#Let's Encrypt
	location ^~ /.well-known/acme-challenge {
            root /var/lib/letsencrypt;
            default_type text/plain;
        }

	
}

server {
  	listen 443 ssl http2;
 	server_name test.name.dyn-vpn.de;

# LetsEncrypt certificates
	ssl_certificate /usr/syno/etc/certificate/_archive/NtTBO7/fullchain.pem;
	ssl_certificate_key /usr/syno/etc/certificate/_archive/NtTBO7/privkey.pem;

	ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
	ssl_ciphers EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!MD5:!RC4:!LOW:!MEDIUM:!CAMELLIA:!ECDSA:!DES:!DSS:!3DES:!NULL;
	ssl_prefer_server_ciphers on; 

 access_log   /var/log/nginx/test.access.log;

  location / {
	proxy_set_header Authorization "";
	auth_basic "Protected";
	auth_basic_user_file /etc/nginx/basic_auth;
	proxy_set_header Host $http_host;
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	proxy_set_header X-Forwarded-Proto $scheme;
	proxy_intercept_errors on;
	proxy_http_version 1.1;
	proxy_pass http://192.168.x.x:80;
    }
}

Edit:
Es liegt an der Umleitung

return 301 https://test.name.dyn-vpn.de$request_uri;

Nur wie muss es richtig aussehen das alle Anfragen automatisch auf https umgeleitet werden. Außer die von Let's Encrypt natürlich

Edit 2:
Es muss richtig heißen:

location / {
   return 301 https://test.name.dyn-vpn.de$request_uri;
}