Umleitung au https und Zertifikat ungültig. In shell korrigieren?

Status
Für weitere Antworten geschlossen.

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Umleitung zu https über die SHELL deaktivieren?

Hallo,
ich habe eine DS716-II und im Control Panel die Einstellung "Automatically redirect HTTP connections to HTTPS" gewählt.
Jetzt ist ist das Zertifikat nicht mehr gültig (NET::ERR_CERT_REVOKED) und ich kann mit dem Browser nicht mehr auf die Admin Oberfläche gelangen. Eigentlich geht gar nichts was per httpd oder https funktioniert hat.

Per ssh komme ich aber drauf und auch in die bash.
Nur hab ich keine Ahnung, wo und in welcher Datei ich jetzt die Umleitung deaktivieren kann.

Vielleicht hat jemand mehr Ahnung oder kann auf seinem System danach suchen, wo die Umleitung auf https konfiguriert ist?

In /etc/synoinfo.conf hatte ich den Eintrag redirect_server="https://gofile.me/" auskommentiert, was aber nichts geholfen hat.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
aber lässt sich dann nicht eine Ausnahme anlegen in dem Browser?
Oder halt einen anderen Browser nehmen?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.998
Punkte für Reaktionen
264
Punkte
373
Hallo,
wenn Du das Zertifikat von Letsencrypt hast kannst Du
syno-letsencrypt renew-all -vv
als root probieren.

Gruß Götz
 

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Leider nein. weder bei Chrome noch bei Firefox.
Die Ausnahme geht anscheinend nur bei selbstsignierten Zertifikaten aber offenbar nicht, wenn das Zertifikat von der Zertifizierungsstelle zuurückgezogen wurde - vermute ich.
 

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
@ Götz
Danke für den Tipp. Hab ich gemacht, aber keine Änderung.
Ich starte die Diskstation jetzt mal neu, wer weiß...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Einfach die DS mit ihrer IP und Port aufrufen, dann müsste (immer) eine Ausnahme zum Zugriff zu machen sein.
 

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
@ Fusion
Leider ist das nicht so. Bei beiden Browsern kommt unter "Erweitert" die Meldung
...
Sie können 192.168.178.39 zurzeit nicht aufrufen, da das Zertifikat widerrufen wurde. ...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wieso eigentlich widerrufen?
Warst du das selber?
Normal wäre ja expired, wenn es zeitlich abgelaufen wären.

Beim einfachen Reset steht leider nicht dabei, ob die https Umleitung auch deaktiviert wird
https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General/How_to_reset_your_Synology_NAS

Ansonsten wäre noch /usr/syno/share/nginx/WWWService.mustache (bin mir nicht ganz sicher, kann grad nicht nachschauen)
wo man die Umleitung rausnehmen könnte und dann die DS neu starten.
Wobei das auch nur die Umleitung von 80 -> 5000 sein könnte, wenn die Web Station nicht installiert ist.
 

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Nue Info:
Wie ich gerade sehe ist das godaddy Zertifikat immer noch gültig. Es scheint also ein Problem auf dem Server zu sein. Verwendet der ein falsche Zertifikat? Kann das sein?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
eigentlich etwas merkwürdig, weil du ja auf die IP kaum eine Zertifikat hast.

Aber ich würde jetzt vielleicht die Zert Prüfung im Browser abstellen und den Server Zert auch löschen, notfalls den Root Zert exportieren und auch löschen.
 

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Ich weiß jetzt , was passiert ist. Ich habe vor ein paar Tagen versucht ein neues Zertifikat zu installieren weil das alte am Ablaufen ist. Das hat wohl nicht funktioniert, was ich nicht bemerkt habe. Jetzt ist das alte abgelaufen und das neue nicht installiert.
Alles was ich jetzt tun muss, ist, das neue Zertifikat noch mal - diesmal korrekt - zu installieren. Eigentlich einfach, wenn ich auf die Admin-Oberfläche käme.
Aber:
Wie geht das auf der Konsole via ssh???
 

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
@ ottosykora
Schon klar, dass das nicht die öffentliche IP ist. Ich greif ja auch intern auf die Synology zu.
Aber du meinst, das Löschen des Zertifikats würde helfen? So einfach via ssh? Und wenn ja, wo oder wie finde ich das cert?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Die Zertifikate liegen glaube unter /usr/syno/etc/certificate/_archive/

In der Datei DEFAULT ist das Standard-Zertifikat referenziert.
Die Zertifikate liegen in Unterordnern.

Könnte sich z.B. per Konsole ein neues LE-Zertifikat holen
syno-letsencrypt -d sub.domain.de -m mein@email.de
Und dann den neu angelegten Unterordnernamen in die DEFAULT eintragen.
Dann würde ich vermuten, dass nach DS Neustart dieses Zertifikat als Standard ausgeliefert wird.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
eigentlich sollte es egal sein ob es die öffentliche oder die interne ist, die steht vermutlich nicht im Zertifikat drin.

Was ich aber meinte, ist Zertifikat aus dem Browser löschen, von mir aus zuerst exportieren als Backup un dim Browser alle beteiligten Zerts löschen. Dann versuchen die Validierung abzustellen im Browser, notfalls halt Internet ausstecken. Browser cache löschen und dann nochmals versuchen mit der lokalen IP drauf.
 

DonAlfonso

Benutzer
Mitglied seit
06. Feb 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Also ich hab alle Ordner in denen " cert* " vorkam in *_old umbenannt.
Danach hab ich die Synology neu gestartet und vom PC mit dem Synology Assistent zugegriffen (Ich bin nicht sicher ob das entscheidend war).
Jedenfalls konnte ich anschließend ohne Verschlüsselung auf den Port 5000 zugreifen und danach ein Zertifikat von let'sencrypt installieren,
anschließend hab ich mein neues Zertifikat von GoDaddy drauf gemacht und als aktives eingestellt.

Jetzt läuft wieder alles.
Ich danke allen für ihre HIlfe.
 

KonTinoUm

Benutzer
Mitglied seit
28. Mai 2013
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
ich verwende für meine drei Synology Server ebenfalls Let's Encrypt Authority X3 - DST Root CA X3 SSL Zertifikate, die vergangene Woche ausgelaufen sind ohne, dass ich mich darum gekümmert habe.

Nun wollte ich von meinem Apple OSX über verschiedene Browser die GUIs öffnen aber es folgt lediglich die Fehlermeldung:

Sie haben versucht, auf diskstation3.hummelserver.de zuzugreifen, das vom Server übermittelte Zertifikat wurde jedoch vom entsprechenden Aussteller widerrufen. NET::ERR_CERT_REVOKED

Nicht einmal das Aufrufen der GUI über die lokalen IP Adressen/Port ist dann über OSX noch möglich.
Man kann keine Ausnahme hinzufügen.
Windows 10 hingegen lässt einem zumindest über die lokale IP Adresse/Port auf die GUI um die Zertifikate von Let's Encrypt erneuern zu lassen.
Alle drei SSL Zertifikate sind nun laut Synology GUI Zertifikatsverwaltung bis zum 11.12.2019 gültig.
Nichts Desto Trotz sagen alle Browser, dass weiterhin über die URL kein Zugriff stattfinden kann, weil die Zertifikate abgelaufen sind und vom Aussteller zurückgezogen worden.

Plötzlich kann ich auf meine erste Diskstation zugreifen und das SSL Zertifikat ist plötzlich gültig, bei meiner zweiten und dritten weiterhin diese nicht mehr stimmende Aussage über das abgelaufene Zertifikat.
Ich möchte ungern die URLs meiner drei Server hier posten aber ihr würdet die gleichen Aussagen von euren Betriebssystemen / Browsern wahrscheinlich erhalten.

Was könnte ich tun, damit nach außen die URL wieder mit dem jetzt gültigen Zertifikat angezeigt wird und man ohne bedenken zugreifen kann?
 

xelarep

Benutzer
Mitglied seit
17. Dez 2008
Beiträge
318
Punkte für Reaktionen
10
Punkte
18
Ich häng mich hier mal an. Hab seit gestern dasselbe Problem mit meinen Let's Encrypt Zertifikaten!

Hab noch per DSM die Zertifikate erneuern können. Die Diskstation liefert aber wohl das alte Zertifikat noch aus. Ich komm zumindest noch per iPad/Syno Assitant und über den Umweg Mobile->Desktop an die Einstellungen, Im DSM werden gültige Zertifikate mit Auslaufdatum Dezember 2019 angezeigt, die Browser zeigen aber beim Aufruf von Seiten das REVOKED Zert. mit Ablaufdatum Oktober an?!

Ich probiere gerade per Komnsole das sudo syno-letsencrypt renew-all -vv von weiter vorne, hier bekomme ich aber den (korrekten) Hinweis,

DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/15bqDq/cert.pem]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/15bqDq]

Wie jetzt weiter?
 

xelarep

Benutzer
Mitglied seit
17. Dez 2008
Beiträge
318
Punkte für Reaktionen
10
Punkte
18
Ich antworte mir mal selbst - hat mir keine Ruhe gelassen, hab gerade noch was aus dem Gedächtnis gekramt und ausprobiert:

Ich konnte mich per iPad / DS Finder App auf meiner DS noch anmelden. Somit konnte ich mit dem darin integrierten Browser (DSM Mobile) auf die zunächst Mobile DSM Oberfläche, diese per "Zahnrad" in den Desktop-Modus schalten und unter Systemsteuerung->Netzwerk->DSM-Einstellungen zunächst mal die HTTP zu HTTPS Umleitung deaktivieren.

Nun konnte ich mich auf einem "normalen" PC per HTTP/5000 erst mal normal an meiner DS anmelden.

Unter Sicherheit->Zertifikat habe ich nun per Hinzufügen (!nicht Zertifikat erneuern!) neue Let's Encrypt Zertifikate (bei geöffnetem Port 80...) angefordert, die die vorhandenen ersetzen sollen. Alle vorhandenen Zertifikate sind durch neuere ersetzt worden, und auch so angezeigt worden. Uff.

Meine DS läuft jetzt wieder "normal", die HTTP zu HTTPS Umleitung ist wieder aktiv, Port 80 im Router wieder zu, und ich bekomme die richtigen Zertifikate ausgeliefert (und in meinen Browsers entsprechend angezeigt).

Keine Ahnung was da klemmte

HTH

Alexander
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
Ja, habe gerade auch mit einer Test DS alles durchprobiert.

Wenn man manuell renew macht, dann werden die Cert zwar erneuert, haben auch neu Daten, aber ausgeliefert wird als Root Cert immer noch ein der revoked ist.
Je nach Browser Einstellung wird es life online kontrolliert und rejected, nicht weil der Cert der Syno falsch wäre, aber derjenige der CA revoked.
In Firefox kann man die Prüfung abstellen, dann geht es wieder.
Opera hat bei mir nicht gemeckert, obwohl hier die Cert aus Windows kommen, Edge wollte jedoch nicht.


Erst als ich statt renew dann noch mit neuem Cert einen alten ersetzen wählte, wurden alle LE nochmals überschrieben und auch der beanstandete Cert der von LE überschrieben.
(bei erneuern wurde offenbar nur der eigene neu erstellt)

Der neue CA Cert von LE hat nun auch andere Nummer und wird via DST Root auch zertifiziert.

Zumindest das sind meine Beobachtungen nach ca 2h herumspielen.

Der richtige Hint scheint also nicht erneuern, sondern mit neuem ersetzen zu sein.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat