DSM 6.x und darunter Lets Encrypt Zertifikat lässt sich nicht ausstellen

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Noisekiller

Benutzer
Mitglied seit
20. Feb 2014
Beiträge
50
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich versuche gerade ein Lets Encrypt Zertifikat zu erstellen leider ohne Erfolg. Der Port 80 ist in der FritzBox freigegeben und auf die Diskstation weitergeleitet.

Im DSM Assistenten gebe ich folgende Daten ein:
Domainname: server.meinedomain.com (Strato Domain mit aktivem DDNS, funktioniert auch schon jedoch noch mit Zertifikatswarnung)
E-Mail: meineadresse@gmail.com
Alternativer Name: [leer]

Es erscheint danach der Fehler "Vorgang fehlgeschlagen. Bitte melden Sie sich erneut unter DSM an..."

Die Firewall in der Diskstation habe ich schon deaktiviert, trotzdem kommt der gleich Fehler.
Habe eine DS415+ mit aktuellem DSM 6.1.1-15101-4

Kann mir bitte jemand helfen?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174

Noisekiller

Benutzer
Mitglied seit
20. Feb 2014
Beiträge
50
Punkte für Reaktionen
0
Punkte
6
Danke aber das hilft mir leider nicht weiter. Den Port 80 TCP habe ich für die Synology ja bereits freigegeben.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
na da gibts schon noch ein wenig mehr wie zB Port 443, wenn du richtig gelesen hättest!
 

Noisekiller

Benutzer
Mitglied seit
20. Feb 2014
Beiträge
50
Punkte für Reaktionen
0
Punkte
6
443 ist ebenfalls freigegeben bzw. auf 5001 umgeleitet, damit ich ohne Porteingabe auf die DSM Weboberfläche komme.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Vielleicht möchtest du ja mal mit Hochladen der Zertifikate probieren?

Zertifikat aus Strato runterladen (Menüpunkt Sicherheit und dann SSL oder so ähnliches) und in DS auf "manuell hinfügen" (so genau weiß ich nimmer - ist aber klar ersichtlich, dass man da hochladen muss). und ja dort die zwei Dateien (CRT und KEY) entsprechend hochladen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@TeXniXo - seit wann kann man denn LE-Zertifikate von Strato runterladen? Wäre mir neu.
Mit den LE Zertifikaten die man sich von der DS ausstellen läßt hat das auch nix zu tun.

@Noisekiller - Hast du mal testweise probiert 80/443 einfach als 80/443 an die DS weiterzuleiten (könnte mir vorstellen, dass dieses 443 > 5001 Konstrukt ein problem ist)?
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Ist auch die WebStation installiert und aktiviert? Ich glaube, das war noch eine Voraussetzung.
Zudem war auch bei mir das Problem, dass dyndns auf www.domain.de ging. Somit habe ich bei domain www.domain.de eintragen müssen und server.domain.de;server1.domain.de dann bei alternativer Name.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@blinddark - die Web Station ist keine Voraussetzung. Der System Webserver sollte alle Rückantworten die /.well-known/acme-challenge im Pfad beinhalten an den LE-Client ausliefern.
Welche Domain man als "Haupteintrag" nimmt und welche, wenn mehrere gewünscht als SAN (subject alternate name) sollte (eigentlich) keine Rolle spielen, solange alle gewählten Domains existieren und auf die DS aufgelöst werden.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Keine Umleitung auf 5001 einrichten. 80 und 443 müssen im direkten Zugriff sein für die Zeit, wo das Zertifikat beantragt wird. Das heisst also Firewall kurz auschalten.
Desweiteren muss in der der Systemsteuerung unter DSM der Name eingetragen werden, unter dem die Station über das Web angesprochen wird, also die komplette subdomain.
Der Webserver muss definitiv NICHT laufen!

Was das Standard Zertifikat von Strato angeht, das lässt sich nur in Strato nutzen, nicht in subdomains oder auf anderen Web-Servern!
 

Noisekiller

Benutzer
Mitglied seit
20. Feb 2014
Beiträge
50
Punkte für Reaktionen
0
Punkte
6
So, das Problem ist nun gelöst. Es lag an der Synology Firewall. Ich habe dort folgende Regeln konfiguriert:
1. Alle Ports/Protokolle für internen IP-Bereich erlauben
2. Alle Ports/Protokolle für deutsche IP-Adressen erlauben
3. Alle Ports/Protokolle für alle IP Adressen blockieren

So zwischen 2 und 3 lag nun der Fehler, da Let's Encrypt wohl die DS nicht mit einer deutschen IP kontaktiert. Also habe ich eine zusätzliche Regel erstellt, dass TCP Port 80 für alle Länder erlaubt ist. Erst danach kommt die Regel alles blockieren.

Und ja, ich nutze auch die FIrewall meines Routers, da sind nur die benötigten Ports geöffnet. Die Synology Firewall dient quasi nur dazu ausländische Sachen zu blockieren was mit der Firewall des Routers nicht möglich ist.

Danke an alle Antworten!
 

Outlaw

Benutzer
Mitglied seit
11. Nov 2015
Beiträge
158
Punkte für Reaktionen
0
Punkte
16

JanItor

Benutzer
Mitglied seit
07. Mrz 2015
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Desweiteren muss in der der Systemsteuerung unter DSM der Name eingetragen werden, unter dem die Station über das Web angesprochen wird, also die komplette subdomain.

Wo genau muss der Name eingetragen werden? Habe das gleiche Problem wie der TE aber einen Menüeintrag "DSM" finde ich in der Systemsteuerung nicht..
Ports 80 und 443 sind in der Router FIrewall weitergeleitet. Synology FW ist aus.
Fehlermeldung ist das LE nicht erreichbar ist, bzw. die vom TE genannte Fehlermeldung.

DSM 6.2.1-23824 Update 4
 

DCAHH

Benutzer
Mitglied seit
30. Mrz 2015
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Hab leider aktuell auch Probleme mit der Erneuerung meines Let's Encrypt Zertifikats. Die Prozedur klappt seit Jahren alle drei Monate, aber aktuell bricht DSM immer ab mit der Meldung "Vorgang fehlgeschlagen. Bitte melden Sie sich erneut an."

Die grundsätzliche Einrichtung war problemlos gemäß z.B. dieser Anleitung.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat