DSM 6.x und darunter letsencrypt auf eine IP?

[ottosykora]

Ich habe etwa folgende Aufgabe.

Wir haben einen Internet Anschluss an einer Aussenstelle. Es ist mit einer festen IPv4 versehen weil es für eine Funktechnische Ausrüstung vorgesehen ist.

Nun brauchen meine Kollegen dort was zu testen mit einer DS die ganz normal von aussen erreichbar ist. Die DS kommt da in so was wie DMZ.

Nun kam auch die Frage nach einem Certificat für SSL.
Ich dachte das würde ich mit dem LetsEncrypt machen, aber ich habe keine Damain.
Bei uns sind nach internen Standards alle Domains aus dem Pool von dyndns.org, ich kann dort eine weitere anlegen, nur denke ich das wird nicht funktionieren.

Eigentlich würde mir genügen, wenn ich ein Certificat auf die feste IP haben könnte, eine Domain brauche ich nicht.


1.Kann man mit LetsEncrypt auf eine IP einen Cert beziehen?

2.Oder wenn es nicht geht, kann man es mit einer Pooldomain von dyndns.org machen?(wird so was akzeptiert?)



Auf der DS sollen dann diverse Versuche laufen mit NextCloud und weiteren Anwendungen.

 

[tproko]

1.) Laut google und LE Forum wird das IP Zertifizieren bei LE nicht erlaubt.

2.) Ich nutze dyndns und LE. Mir ist nicht klar, was du mit pool Domain meinst bzw. kenne ich das Feature nicht?
Kommt da sowas raus? pool1.myDomain.dyndns.org, pool2., pool3....? Da hilft wohl nur ein * Zertifikat.

Es gibt theoretisch sonst andere Anbieter wie noip, wenn es nichts zusätzlich kosten soll und das mit den pools nicht klappt.

 

[ottosykora]

also gut IP wird nicht erlaubt

wir haben einfach einen grösseren Account bei dyndns.org und haben da verschiedene komplexe domains aus ihrem Angebot, mit divesen Namen am Anfang.

Was muss ich dann bei LE eingeben?
Wie wird dort ein * Zertifikat erstellt?

 

[tproko]

* Zertifikate kosten Geld. Das wäre zB *.heise.de und dann kann zB Security.heise.de und andere Subdomains alle mit dem gleichen Zertifikat bedient werden.

Ad dyndns... ja und ändern sich diese Namen, oder kannst du eine fixe davon haben? Ob die komplex ist, wäre für LE ja egal und machbar (ob es für die Anwender ideal ist, ist die andere Frage).

Mir erschließt sich noch nicht, warum du der Meinung bist, dass du dyndns im Moment nicht nehmen kannst. Oder fehlt da die Erlaubnis?

 

[ottosykora]

na ja, mir wurde gesagt dort geht es nicht weil dyndns.org es nicht will.
Habe es aber bis jetzt selber noch nicht versucht, zumindest nicht in der letzten Zeit. Ich kann mich nur errinern, vor ca 2 Jahren war es schlichtweg unmöglich.
Ich werde also einen Test machen und berichten.

 

[tproko]

Soweit ich mich erinnere, gibt es zum Einrichten ein Tutorial von idomix, wo ebenfalls dyndns verwendet wird. Also das sollte alles eigentlich klappen.

Aber wie gesagt... vielleicht gibt es Ausnahmen bei "euren Pools" oder andere Einschränkungen. Interessant wäre, was dyndns nicht will oder was das Problem war. Das vor 2 Jahren irgendwas nicht ging, kann ja (leider) viele Ursachen haben - auch Benutzerfehler

Einfach mal testen!

 

[Andy14]

Zu Beginn gingen dyndns-Anbieter nur sehr eingeschränkt weil Letsencrypt ein "rate limit" für das erstellen auf eine Domain setzt.
https://letsencrypt.org/docs/rate-limits/
Bei den vielen Nutzern von einer dyndns Domain ist das natürlich direkt ausgereizt.
Deshalb wird aber schon seit einiger Zeit eine "Public Suffix List" geführt.
https://publicsuffix.org/list/
Hier ist auch "dyndns.org" aufgeführt so das es dort eigentlich keine Schwierigkeiten geben sollte!

 

[ottosykora]

was dyndns nicht will oder was das Problem war. Das vor 2 Jahren irgendwas nicht ging,

normales Problem mit ddns Adressen. Für die gab es vorher gar keine Cert, weil man nicht Besitzer war und somit keinen Nachweis erbringen konnte dass man darüber Kontrolle hat.
dyndns.org ist Besitzer und wollte nicht dass jeder Spammer oder Hacker ihre Domains auch noch als vertrauenswürdig markieren kann.
Heute ist es etwas anders, da kann wohl jeder ein Cert für was auch immer beantragen und braucht den Eigentümer nicht extra zu fragen.

 

[Andy14]

Nein, bei der Validierung mit Letsencrypt ist der dyndns Anbieter gar nicht beteiligt!
Letsencrypt schaut nur ob unter (z.B.) "xyz.dyndns.org" der letsencrypt client (von xyz.dyndns.org) zu erreichen ist.
Daraus ergibt sich auch zwangsweise das bei dieser Methode kein Wildcard (*) Zertifikat ausgestellt werden kann, denn das geht nur wenn man der Besitzer der Domain ist!

 

[tproko]

@andy: danke für die Erklärung.

@ottosykora: ja, das Problem war mir so nicht bewusst. Bei mir läuft es so, also mittlerweile klappt das.

Einfach den dyndns aktualisieren auf router oder nas und am Webserver muss die Datei für den Handshake bereitgestellt werden. Wobei da die Syno schon viel automatisch erledigt.

 

[ottosykora]

Nächste Woche bringe ich die DS in die Aussenstelle und versuche es zu installieren. Habe bei dyndns eine Domain eingetragen auf die IP des Anschlusses, dann sollte es gehen.

Ich weiss nicht seit wann genau es LE gibt, aber früher war es einfach völlig ausgeschlossen auf ein ddns irgendeien richtigen Cert zu bekommen welcher auch von den üblichen Browsern und anderen Software einfach so akzeptiert wurde. Da haben wir halt die selfsigned verwendet, mit all den Nachteilen.

 

[ottosykora]

also alles hat geklappt mit dem LE.
Musst halt eine Domaine aus unserem Pool haben und dann ging es fast von alleine.

Nun noch Frage:
es heisst das alles ist nur für 90 Tage?
Muss ich mich nun selber um die Updates kümmern oder macht es von nun an die DS selber?
Port 80 ist da zugänglich.

 

[TeXniXo]

Obwohl bei einigen die Ports 80 und 443 offen sind, kann das Zertifikat oftmals nicht selbst aktualisiert werden. Bei einigen geht es ohne Probleme, bei anderen wiederrum muss da "nachgeholfen" werden (also händisch aktualisieren bzw. die Zertifikate erneut hochladen).

Dass es alle 3 Monate erfolgen soll, ist bei allem gleich.

 

[ottosykora]

ok, und erneuern geht wie genau vor?
Einfach neu erstellen oder was genau ist zu tun?

 

[TeXniXo]

Siehst du eh dann, wenn es soweit ist

Generell gibts paar Optionen:
1) Einfach mit dem Hosting-Server (1&1 usw.) verbinden lassen, dann erkennt die DS automatisch und lädt die SSL-Zerfitikate runter
2) Zertifikate, die dir zugestellt werden (be einigen wirds via Mail erledigt, bei anderen muss man sich auf Anbieter-Webseite einloggen, um sie runterzuladen), einfach via "Durchsuchen" hochladen (CRT und KEY-Format)
3) Selbst signierte Zertifikate erstellen

 

[ottosykora]

ja manuell kenn ich das, selbstgebaute cert und via Registrar.

Ich habe da nur den eingebauten Mechanismus von DSM verwendet, dort einfach LE erstellen lassen. Das verlangte zuerst den Port 80, dann ging es von alleine.
Ich habe da keinen wirklichen Hostig Server, habe feste IPv4 und dazu habe ich halt aus unserem dyndns.org einen Namen bezogen weil LE offenbar keine Cert auf IP ausstellt.

 

[Andy14]

ich verweise mal auf die Anfänge des Letsencrypt Threads ...
http://www.synology-forum.de/showth...n-wie-erneuern&p=646626&viewfull=1#post646626

Meins wurde bisher immer automatisch erneuert. Ok, bei etwas über einem Jahr ist das ja noch nicht so oft ;-)

 

[ottosykora]

aha,

dann werde ich zuerst mal Ende Apr abwarten und schauen was passiert.
Wenn alles schief geht neues bestellen und dann halt so einen Task anlegen.

Momentan ist es nur ein Versuchsaufbau, da ist es nicht so wichtig, aber wenn es die Kollegen mal produktiv einsetzen wollen, muss schon was stabiles bieten können.

 

[Kurt-oe1kyw]

mal Ende Apr abwarten und schauen was passiert.
Wenn alles schief geht neues bestellen

Wenn es nicht automatisch passiert dann die ERNEUERUNG manuell anschubsen:

DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Zertifikat" > Zeile mit Zertifikatseintrag anklicken - wird blau eingefärbt > oben auf die Schaltfläche "CSR" klicken > neues Fenster > Punkt IN DER MITTE (!) auf "Zertifikat erneuern" - unten auf WEITER klicken und den Anweisungen folgen.

Also nicht ein neues Erstellen, wie du es ja schon erfolgreich gemacht hast, sondern dein bereits jetzt bestehendes Zertifikat erneuern.

 

[ottosykora]

danke, ich wusste nicht was CSR bedeutet