DSM 6.x und darunter Letsencrypt funktioniert nicht (mehr)

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Sveeeeeeen

Benutzer
Mitglied seit
21. Okt 2019
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe das Problem das ich keine LE Zertifikate bekommen kann. Ich erhalte nur den Fehler: Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist.
Der Domainname ist definitiv gütig. Port 443 und Port 80 gehen zur NAS. Das komische ist, ich habe bereits ein Zertifikat erstellt. Nun fehlt mir aber noch eine Subdomain und nun hauts nicht mehr hin.

Wenn ich /var/log/messages prüfe steht da folgendes:

Rich (BBCode):
2019-10-21T20:22:36+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"Fetching http://meinedomain.tld/.well-known/acme-challenge/vKhj02LL4Q_bhs4KAzj6NNFtvnHtpO3DEgWmv5TTZZk: Connection refused"}
]
2019-10-21T20:22:37+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"do new auth by path: failed to do challenge."}
]
2019-10-21T20:22:37+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[26873]: certificate.cpp:973 syno-letsencrypt failed. 102 [Failed to new certificate.]
2019-10-21T20:22:37+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[26873]: certificate.cpp:1392 Failed to create Let'sEncrypt certificate. [102][Failed to new certificate.]
2019-10-21T20:30:43+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"Fetching http://meinedomain.tld/.well-known/acme-challenge/R5iLPLRCdLzIKzPBX57hxEGF__EBjW9Yz6rlpY_QNGQ: Connection refused"}
]
2019-10-21T20:30:45+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"do new auth by path: failed to do challenge."}
]
2019-10-21T20:30:45+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[30524]: certificate.cpp:973 syno-letsencrypt failed. 102 [Failed to new certificate.]
2019-10-21T20:30:45+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[30524]: certificate.cpp:1392 Failed to create Let'sEncrypt certificate. [102][Failed to new certificate.]

Was mir auffält ist, das der Synology proxy auch ein "Connection Refused" auswirft, wenn ich Domains aufrufe die dort nicht hinterlegt sind.

Jemand ne idee?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Welcher Synology Proxy?
Und auf was soll der reagieren, wenn er es nicht kennt?

Jedenfalls spuckt das LE Log ja genau denselben Fehler aus.

Also erst mal schauen, dass ALLE Domains die du im Zertifikat hast per port 80, also http://sub.domain.de auch einwandfrei erreichbar sind von extern.
 

Sveeeeeeen

Benutzer
Mitglied seit
21. Okt 2019
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Welcher Synology Proxy?
Und auf was soll der reagieren, wenn er es nicht kennt?

Jedenfalls spuckt das LE Log ja genau denselben Fehler aus.

Also erst mal schauen, dass ALLE Domains die du im Zertifikat hast per port 80, also http://sub.domain.de auch einwandfrei erreichbar sind von extern.

Systemsteuerung -> Anwendungsportal -> Reverseproxy

Ich will meine Domains nicht über Port 80 erreichen. Nur über SSL also 443. Das funktioniert auch.

Ich habe es eben getestet auch für Port 80 den Proxy anlegen. Dann geht es... wie verhindere ich nun das die Website nur über SSL läuft?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Die Domain muss aber für die Domain-Validierung (mindestens) bei der Erstausstellung per Port 80 erreichbar sein.

Wie verhindere ich, dass die Seite nur über SSL läuft? Hast dich verschrieben und meinst es anders herum?

Das hängt davon ab welche Dienste dort laufen und welche Fähigkeiten sie haben selbst auf SSL zu wechseln etc.
Oder den Proxy für port 80 nur alle 3 Monate für die Zertifikatserneuerung öffnen, oder
... hängt eben von den exakten Bedingungen ab.
 

Sveeeeeeen

Benutzer
Mitglied seit
21. Okt 2019
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hätte ich einen nginx als proxy, hätte ich das einfach über die URL gemacht, nicht über eine spezifische Domain. Synology scheint das anders zu machen.

Ich meinte das die Webseiten nur über SSL erreichbar sind. Es handelt sich in allen fällen bisher um Docker Container, die selbst kein SSL anbieten bzw. nicht standard mit drin ist.

Wenn ich dich aber richtig verstehe, kann ich das wieder löschen, da nur bei der Erstaustellung Port 80 verwendet wird. Das wäre für mich OK. Ich plane nicht 100 neue Proxys anzulegen.

Danke für die Hilfe!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
nginx geht auch, aber halt nicht über die GUI/DSM.

Mit HSTS sollten die Clients innerhalb von einem halben Jahr glaube direkt angehalten sein die Seite per SSL zu besuchen, wenn sie es einmal getan haben.
Ansonsten kenne ich keinen Weg direkt im reverse proxy dies immer zu garantieren.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat