Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 17
  1. #1
    Anwender
    Registriert seit
    13.09.2012
    Beiträge
    51

    Standard Nach Certificate Renewal (Lets Encypt) zeigt Browser Certificate Revoked

    Ich habe eine DS als Server für diverse sync services und als Web Server für den WAN-Zugriffe freigeschaltet.
    Die services waren über Dynamic DNS adressierbar und für jede DDNS Domain hatte das DSM ein Lets Encrypt Zertifikat.
    Die Zertifikate sind abgelaufen und entsprechend haben dies die verschiedenen Clients gemeldet.

    Unter Control Panel > Security > Certificate habe ich die "Renew Certifikate" für die abgelaufenen Zertifikate angestoßen. Die Zertifikate wurden bis zum 19. Jan 2020 verlängert, das sind gerade mal 3 Monate. Das ist ärgerlich aber nicht das Problem.

    Das Problem:
    Die Clients melden weiterhin ungültige Zertifikate und wenn ich mit Firefox die Webseite aufrufen will (HTTPS, 443) sagt er mir Cerificate Revoked.

    Was ist hier los, und wie komme ich wieder in einen Zustand, dass die Zertifikate gültig sind?

    Vielen Dank für eure Zeit!

  2. #2
    Anwender
    Registriert seit
    27.05.2009
    Beiträge
    249

    Standard

    Das Zertifikat neu ausstellen und nicht erneuern !
    DS1817+ DSM DSM 6.2.2-24922, 16 GB RAM
    DX517

    RT2600AC

    APC CS500

    Telekabel Österreich IPV4 300 Mbit download / 30 Mbit upload

  3. #3
    Anwender
    Registriert seit
    21.10.2019
    Beiträge
    2

    Standard

    Hallo zusammen,

    ich habe das selbe Problem. Nachdem ich unter Einstellungen -> Sicherheit -> Zertifikat die Funktion 'Zertifikat erneuern' ausgeführt habe, wurden verständlicherweise die laufenden Zertifikate von der CA revoked und neue ausgestellt, die mir auch mit neuem Ablaufdatum (in 3 Monaten) im DSM angezeigt werden. Rufe ich nun eine verschlüsselte Webseite auf oder hole verschlüsselt meine E-Mails ab, wird allerdings serverseitig das alte und damit zurückgezogene Zertifikat zur Verifizierung angezeigt, was der Browser natürlich ablehnt (Ich habe das ungültige Zertifikat manuell angenommen, damit ich überhaupt irgendwas machen kann).
    Ich hatte vermutet, dass mir ein Neustart helfen würde die neuen Zertifikate in den Webserver/Mailserver, etc. zu bekommen, aber es hat nicht geholfen.

    Wie bekomme ich das NAS nun dazu die alten Zertifikate durch die neuen zu ersetzen, die ja anscheinend im DSM vorhanden sind?! In der Vergangenheit hat das immer funktioniert?! Gibt es aktuell einen Bug und eine Möglichkeit es manuell zu machen? Wie genau ist das mit neu ausstellen gemeint? Löschen und neu beantragen?
    Geändert von goetz (21.10.2019 um 09:08 Uhr) Grund: Vollzitat entfernt.

  4. #4
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    9.615

    Standard

    Ja, löschen und neu ausstellen lassen.

    Alte Zertifikate laufen aus und werden nicht "revoked". Dafür gibt es ja das Ablaufdatum.

    Das Problem ist hier vermutlich dass ein Intermediate oder root-CA oder cross-signed-root-CA etc. abgelaufen oder zurück gezogen wurde.
    Da geht es nicht um deine lokalen Zertifikate.
    Erst bei einer Neuausstellung (nicht Erneuerung) wird ein eventuell geänderter root-CA Kontext berücksichtigt.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.2-U2 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.2-U2 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.2-U2 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.16.4 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  5. #5
    Anwender
    Registriert seit
    21.10.2019
    Beiträge
    2

    Standard

    Hi Fusion,

    vielen Dank für die erklärenden Antwort. Damit sollte dies eher ein Ausnahmefall sein und nicht die Regel. Ich habe die Zertifikate gelöscht und neue ausstellen lassen und jetzt funktioniert das Ganze auch wieder.

    Viele Grüße

  6. #6
    Anwender
    Registriert seit
    13.09.2012
    Beiträge
    51

    Standard

    Bei mir hat das Löschen und Neu Austellen bei allen bis auf die Haupt-Domain funktioniert.
    Bei der Haupt-Domain funktioniert das löschen nicht "operation failed".
    Und plötzlich nach etwas warten verschwindet dann das Zertifikat.

    Dumm ist nur dass ich vorher ein paar mal Replace versuchte hatte (was nicht ging) und dann Lets Encrypt sagte, dass meine Anzahl erlaubter Zertifikate für diese Domain aufgebraucht ist. Da Lets Encrypt die PublicSuffix Liste verwendet, sollte es kein Problem sein, dass es sich um eine subdomain zu einer Dynamic DNS domain handelt (denn diese ist in der Liste als Public Suffix eingetragen).

    Mir ist nicht klar, genau welches Rate Limit ich gerissen habe (https://letsencrypt.org/docs/rate-limits/), denn die Anzahl der Versuche war heute kleiner als 5!

    Bleibt das permanent so, oder kann man nach einer bestimmte Zeit wieder Zertifikate erstellen? Hat jemand eine Ahnung, welches Rate Limit hier zugeschlagen hat?
    Geändert von jus7incase (21.10.2019 um 23:52 Uhr)

  7. #7
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    9.615

    Standard

    Ohne genaue Angaben was wo wie viele... Kann dir keiner genau sagen welches Limit gerissen wurde, nur fag es nach Stunden bis Tagen / Woche wieder aufgehoben wird.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.2-U2 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.2-U2 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.2-U2 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.16.4 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  8. #8
    Anwender
    Registriert seit
    13.09.2012
    Beiträge
    51

    Standard

    hatte ich geschrieben. weniger als 5 mal Zertifikat angefragt für DDNS dubdomain (mydomain.ddns.net).

  9. #9
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    9.615

    Standard

    Du hattest was von Hauptdomain etc erzählt.
    Dass sich die Angabe 5 nur auf ein Zertifikat mit EINER Domain sub.ddns.net bezieht war für mich nicht eindeutig.
    Wo das genaue Limit (ich nehme mal an es ist einfach ein hohes gesetzt und nicht komplett unbeschränkt) für white-list Domains liegt weiß ich nicht. Einfach am nächsten Tag wieder probieren.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.2-U2 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.2-U2 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.2-U2 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.16.4 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  10. #10
    Anwender
    Registriert seit
    13.09.2012
    Beiträge
    51

    Standard

    Hab ich gemacht, leider noch geblockt. Manche Apple tools (iOS Mail, macOS iCal) sind sehr nervig wenn das Zertifikat fehlt... hoffentlich klappts bald.

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. ssl certificate has been changed
    Von fliegerbulli im Forum Cloud Station
    Antworten: 0
    Letzter Beitrag: 20.06.2019, 21:35
  2. DS Photo Certificate Mismatch - Lets encrypt fingerprint?
    Von Byrd im Forum Synology Apps und PlugIns für mobile Endgeräte und Browser
    Antworten: 3
    Letzter Beitrag: 22.05.2018, 15:18
  3. SSL Certificate installieren
    Von Herbert_Testmann im Forum Webserver
    Antworten: 9
    Letzter Beitrag: 08.06.2014, 12:51
  4. SSL certificate von Startssl
    Von Fafa24 im Forum Webserver
    Antworten: 3
    Letzter Beitrag: 22.09.2012, 03:45
  5. Antworten: 6
    Letzter Beitrag: 17.08.2008, 09:57

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •