Zertifikat lässt sich nicht erneuern

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
Ich habe ein Problem, wenn ich intern zuhause über das NAS zugreife, steht oben immer unsicher, und werde gewarnt, nun habe ich gelesen das das zertifkat abgelaufen ist, nun habe ich auf zertifikat erneuern gedrückt, leider ohne erfolg, es kommt immer der fehler vorgang fehlgeschlagen, wo bekomme ich so ein zertifikat auf längere Dauer?

und wie kann ich von aussen drauf zugreifen, ich habe mir über externe zugrifff eine DDNS adresse erstellt, aber da steht immer port freigeben, was genau muss ich freigeben?

kann mir das jemand bitte erklären.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Von extern Port 80/443, TCP.

Für dyn-Adressen bekommst du nur bei Lets Encrypt Zertifikate, Laufzeit 90 Tage.
Für Zertifikate die 1 Jahr oder länger gültig sind brauchst du eigene Domains und kannst so ab €15+ pro Domain und Jahr für das Zertifikat rechnen.
Für Wildcard (*.domain.de) Zertifikate bist eher bei €100+ pro Jahr dabei.
z.B. sslmarket.de/
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
wie kann ich das Zertifikat denn erneuern? bei mir steht immer fehlgeschlagen.

wo kann man günstig und mit einmalige kosten ein zertifkat kaufen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Günstig ist realtiv und mit einmaligen Kosten gar nicht, aber das habe ich ja schon geschrieben.

Sind deine Ports 80/443 offen?
Stehe USA auf der Blockliste für deine Firewall?
Das Zertifikat lautet auf sub.domain.de. Wenn du sub.domain.de aus dem Mobilfunknetz oder allgemein extern aufrufst, landest du dann auf deiner DS? Wenn nicht, welcher Fehler?
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
port 80/443 sind frei, kann jetzt auch von aussen drauf zugreifen, habe über synology eine adresse hinterlegt, wie funktioniert das wenn sich die IP adresse ändert? wird es automatisch ind er fritzbox erneuert?

bekomme immer diese email:

Sehr geehrter Benutzer,

Portweiterleitungsregeln konnten nicht wieder angewendet werden. Bitte starten Sie das UPnP/NatPmP-Protokoll auf dem Router oder den Router neu. Wenn das Problem weiterhin besteht, wenden Sie sich bitte an den technischen Support von Synology.

Mit freundlichen Grüßen
Synology DiskStation


habe aber UPnP aktiviert.




und wie kann ich das zertifkat verlängern? bei mir kommt immer fehlgeschlagen.


so sehen meine port aus. habe einmal auf ipv4 und ipv6 port frei, ist das richtig so?
 

Anhänge

  • port.jpg
    port.jpg
    25,3 KB · Aufrufe: 54
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
uPnP und Router Konfiguration in der DS abschalten / deaktivieren und am besten in der Fritzbox auch (von upnp für Fritz App etc abgesehen)
Dann bekommst du auch keine nervigen Meldungen von der DS.

Die Portweiterleitungen in der Fritzbox findest du ja offensichtlich selber. Also dort nur die Freigaben von Hand eintragen die du auch haben willst.
Welche du brauchst hängt davon ab was du von außen erreichen willst.

Wie man das Zertifikat verlängert hast du wohl auch gefunden, sonst würdest du keinen Fehler bekommen.
Meine nachfragen dazu sind aber noch offen.

Und eines vorweg: Wenn du die DS intern mit 192.168.... aufrufst bekommst du IMMER einer Warnung, weil Zertifikate auf Namen und nicht auf Nummern ausgestellt sind, egal ob es noch gültig oder nicht.

Die synology.me zeigt immer auf deine aktuelle öffentliche IP der Fritzbox. Dazu muss in der Fritzbox nichts eingetragen oder gepflegt werden.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
ok wie schalte ich denn uPnP in der Diskstation aus? in Fritzbox weis ich ja wo jetzt.


Und eines vorweg: Wenn du die DS intern mit 192.168.... aufrufst bekommst du IMMER einer Warnung, weil Zertifikate auf Namen und nicht auf Nummern ausgestellt sind, egal ob es noch gültig oder nicht.

ja bei ersten mal bekomme ich eine warnung das es usnicher ist, wenn ich drauf klicke, komme ich dann drauf, das war vorher nicht so.


Die synology.me zeigt immer auf deine aktuelle öffentliche IP der Fritzbox. Dazu muss in der Fritzbox nichts eingetragen oder gepflegt werden.
heisst wenn ich jetzt drauf zugreife kann, wird es auch immer so bleiben, dann hat sich das auch erledigt das ich von aussen drauf zugreifen.

nur das mit dem zertifkat bekomme ich es nicht hin, jetzt habe ich durch ein neustart des DS und Fritzbox hinbekomen das das zertifkat gültig anzeigt, aber wenn ich auf der seite gehe mit 192.168.100.110:5000 oder 5001 steht immer unsicher drauf, wie kann ich es da ändern?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Das ist nicht unsicher, das ist nur eine Warnung (wenn man es sich genau durchliest). Die Verbindung ist trotzdem sicher.
Ändern kannst du es nur, wenn du auch intern mit dem Domainnamen arbeitest.
Eventuell musst du noch bla.synology.me in der Fritzbox in den Netzwerkeinstellungen beim DNS Rebind Schutz eintragen, damit das klappen kann.
Wenn du mit IP (192.168...) arbeitest, wie gesagt IMMER die Warnung (unsicher), auch wenn er eigentlich nur bemäkelt, dass 192.168.... nicht mit bla.synology.me übereinstimmt.

uPnP Diskstation... einfach keine Konfiguration unter Systemsteuerung > Externer Zugriff > Routerkonfiguration vornehmen
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
OK was macht dieses Routerkonfiguration eigentlich? Ich habe da einige Haken gemacht mit der Hoffnung dass Port von alleine gehen.

Kann ich da alle Haken dann weg machen?

Was meinst du mit eventuell musst du in der Fritzbox Netzwerkeinstellungen beim DNS rebind Schutz machen?


Ing wenn ich in eigener Browser mit xx.synology.me mich einige habe ich dann noch die volle Bandbreite richtig
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Du kannst da alle Einträge löschen.
Die Routerkonfiguration probiert eben die Portweiterleitungen automatisch in der Fritzbox einzutragen,
Es empfiehlt sich aber das von Hand in der Fritzbox zu machen, damit man weiß "welche" Löcher man nach außen aufmacht und auch nichts hinter deinem Rückem passiert.

Rebind-Schutz, einfach mal die Einstellungen der Fritzbox durchsehen unter Heimnetz > Netzwerkeinstellungen, bis du es findest, und deine dyn-Adresse (nur in der Form bla.domain.de) mit der du die Diskstation im Browser aufrufst dort eintragen kannst.
Die volle Bandbreite hast du dann nicht mehr, aber es dürften immer noch zwischen 850-950 MBit/s sein. Der Verkehr muss eben einmal intern in der Fritte über die LAN/WAN Schnittstelle und zurück. Dein lokales Netz verlässt der Verkehr aber nicht.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
ok vielen dank, habe es soweit alles geschafft. wenn ich intern 192.168.100.110:5001 und es unsicher anzeigt, und normal sei, das bin ich beruhigt, und von aussen kann ich auch zugreifen.
das mir Rebind*schutz, habe ich nicht so ganz verstanden, wenn ich dort die adresse zb xxx.synology.me eintrage, wird es das dann als sicher angezeigt, wenn das zertifkat abgelaufen ist?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Nein, das hat nichts mit der Einstufung des Zertifikats zu tun.
Den Eintrag musst du nur machen, falls du xxx.synology.me NICHT von intern erreichen kannst.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
ok intern erreiche ich es ja, dann hat es sich erledigt, ich dachte ich kann wenn ich mit zahlen mich einlogge, das unsicher dann weg geht. aber wichtig ist das ich von aussend rauf zugreifen kann.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Nein, das hat nichts mit der Einstufung des Zertifikats zu tun.
Den Eintrag musst du nur machen, falls du xxx.synology.me NICHT von intern erreichen kannst.

Loopback kann die fritzbox von Haus aus. Der Eintrag unter rebind Schutz ist daher nicht nötig. Wobei ich den Unterschied bis heute nicht wirklich verstehe.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
ok dann habe ich es verstanden.

Bei Port habe ich je ipv4 und ipv6 port frei gemacht, ist das richtig so?
zb für WebDav habe ich Port 5006 als ipv4 und ipv6

für xxx.synology.me
Port 80 als ipv4 und ipv6
Port 443 nur ipv6

für 5000-5001 habe ich ipv4 und ipv6
leider versteh ich das ganze nicht so ganz, aber ist es sweit richtig mit dem port, muss ich auch immer die ipv6 frei machen?
ich habe bzw wenn ich auf xxx.synology.me geh, leitet der das auf htpps um, mir geht es darum ob das so richtig ist, möchte nicht unendlich viele port machen, die man nicht braucht.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.008
Punkte für Reaktionen
2.700
Punkte
423
muss ich auch immer die ipv6 frei machen?
Nicht unbedingt. Kommt darauf an, ob dein DDNS-Provider auch die IPv6 auflöst oder nur die IPv4. Einfach mal mit "nslookup xxx.synology.me" prüfen.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
260
Punkte für Reaktionen
3
Punkte
18
Eigentlich unterstütz meiner ipv4 habe 1&1 aber wenn ich zb. Ipv4 bzw http weg mache den Port dann geht's nicht. Weil die Adresse auf htpps umleitet, die soll ja sicherer sein als http
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@Benares - da hast du natürlich recht. NAT-Loopback wird unterstützt, ohne Einstellmöglichkeiten. Also wenn eine sub.domain.de auf die öffentliche IP der Fritzbox auflöst.
DNS Rebind-Schutz ist in der Tat was anderes (muss ich mir mal abgewöhnen das geistig zu assoziieren).
Das ist wenn sub.domain.de auf eine lokale IP auflöst. Das braucht man definitiv eher weniger. Glaube im Zusammenhang mit Reverse proxy und lokalem DNS Server ist mir das mal hilfreich gewesen, müsste ich aber nochmal nachvollziehen.

@cobra82 - http ist einfach Klartext, alles geht unverschlüsselt über die Leitung.
 

DasMoritz

Benutzer
Mitglied seit
19. Sep 2011
Beiträge
197
Punkte für Reaktionen
4
Punkte
18
Moin,

ich muss den Thread hier mal aus der Versenkung holen, da ich leider das exakt gleiche Problem hatte.
Vor kurzem lief mein LE Zertifikat aus, ich bekomme jedoch beim erneuern immer die Fehlermeldung:

1622963693520.png

Im Router (FritzBox) ist folgendes eingetragen:
1622963715398.png

Was funktioniert:
- Ich kann mich per ext. IP Adresse auf der Syno anmelden, per HTTP als auch HTTPS, die Portweiterleitungen stimmen also
- Ich kann ein selbst-erstelltes Zertifikat nutzen, dass bringt jedoch meinen externen Usern nicht viel
- Ich habe eine externe v4 IP Adresse (85.16.1xx.xx)
- In der Firewall der Syno alles "zugelassen".
- Alle Docker-Container und VM's habe ich deaktiviert (man weiß ja nie)
- Ich habe versucht den Prozess durchzuführen, nachdem ich mich über die externe IP angemeldet habe (war ja oben auch ein Tipp)
- Ich habe versucht eine andere Email-Adresse anzugeben (war ja oben auch ein Tipp)

Hat noch jemand eine gute Idee?
Danke,
Moritz
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wählst du 'erneuern', oder besser 'neu' und ersetzen?
Landest du bei Aufruf des Namens den du im Zertifikat verwendest von extern auf der DS?
Was ist in 'firewall alles zugelassen'?

Das Zertifikat gelöscht und neu angelegt?

Da es mit anderer Email (neuer LE Account) auch nicht ging vermute ich eher was grundsätzlicheres.

Mal im Aufgabenplaner eine benutzerdefinierte Aufgabe mit
syno-letsencrypt renew-all -vv >> /volume1/GemeinsamerOrdner/le-log.txt
ausführen. Einen passenden Namen bzw. existierenden Gemeinsamen Ordner verwenden.
Ohne Log bzw. genaue Ursache kommt man nicht weiter.

Ebenso, wenn man ein Zertifikat neu austellen will
syno-letsencrypt new-cert -d sub.example.com -m meine@example.com -vv >> /volume1/GemeinsamerOrdner/le-log.txt
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat