Let´s Encrypt erneuern ohne Port 80 oder 443

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Ich verwende Synology DDNS und Let´s Encrypt und habe mir im Kalender vorgemerkt, wann ich die Ports 80 und 443 auf meiner FritzBox öffnen muss, um das Zertifikat zu erneuern. Als ich das nun machen wollte, habe ich bemerkt, dass das Zertifikat bereits verlängert ist (die Ports 80 und 443 sind in der FritzBox nicht geöffnet). In der FritzBox habe ich den Port 6281 für HyperBackup und die Ports 1701, 500 und 4500 für L2TP/IPsec für VPN geöffnet. Ich habe daraufhin unter Systemsteuerung-Sicherheit-Zertifikat das Zertifikat nochmal erneuert - auch das funktioniert problemlos.
Hab ich da nur eine Neuerung verschlafen, oder reichen die vier geöffneten Ports für die Erneuerung des Zertifikats aus?
Kann mich bitte jemand aufklären, warum das funktioniert - wäre schön!
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.307
Punkte für Reaktionen
399
Punkte
359
Wie lautet denn die Domain für welche du Zertifikate benutzt?
Sollte es eine synology.me Adresse sein wird die Aktualisierung vermutlich über dns01 laufen, also einen TXT record im DNS System.
Und da Synology volle Kontrolle darüber hat kann die DS diese Records vermutlich dort dynamisch anlegen lassen.

Damit fände eine Domain-Validierung über 80/443 nicht mehr statt.
Dass Ports von anderen Diensten glaube ich nicht, da lets encrypt das meines Wissens nicht unterstützt.

Wenn du es selber überprüfen willst müsste man es via Aufgabenplaner oder Konsole angehen, dass man eine ausführliche Logausgabe bekommen kann.
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
@Fusion,
vielen Dank für die rasche Antwort.
Ja, ich verwende xxx.synology.me.
Um das über Aufgabenplaner oder Konsole verifizieren zu könne fehlt mir das notwendige Fachwissen.
Nochmals Danke!
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.307
Punkte für Reaktionen
399
Punkte
359
Normal via Konsole, daher habe ich jetzt nicht getestet wie es mit Umgebungsvariablen Probleme gibt oder ähnliches via Aufgabenplaner.

Im Aufgabenplaner ein benutzerdefiniertes Script anlegen mit Befehl
Code:
/usr/syno/sbin/syno-letsencrypt renew-all -vv > /volume1/GemeinsamerOrder/log.txt
Den Gemeinsamen Ordner noch ersetzen mit dem Namen eines bei die existierenden auf Volume1.

In der log.txt sollte dann die Ausgabe des Befehls landen. Dauert sicher ein paar Sekunden, ähnlich lang wie die Erneuerung über die Gui.

Darin solltest du dann challenge dns-01 anstatt http-01 finden.

 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
@Fusion,
hab ich gemacht:
Screenshot (1842B).png
das Ergebnis ist:
Screenshot (1843).png

Ist nicht das, was ich erwartet habe.
Hab ich was falsch gemacht?
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.538
Punkte für Reaktionen
345
Punkte
109
Moinsen,
also für meine müden gefährlich halbwissenden Augen sieht das doch ok aus für jetzt: du hast einmal die Meldung bekommen, dass LE eben nix mit dem Syno-Zertifikat anfangen kann und einmal, dass dein LE Zertifikat nicht erneuert wird, da es nicht abgelaufen ist, wie du ja auch oben selber gesagt hast (dass es eben durch Zauberhand irgendwie DOCH erneuert wurde, auch ohne freigegebenen Port 80/443)...
Wäre also spannend, wie das Debug aussieht, wenn das Zertifikat auch abgelaufen ist (also in einem Monat...).

Wie gesagt, nur gefährliches Halbwissen, mal schauen was die Pros hier dazu sagen...
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
@the other,
bin auch gespannt wie das geht, zumal Synology für das Erneuern die Ports verlangt:

Screenshot (1844B).png

Ich habe es nach dem Skript unter Systemsteuerung-Sicherheit-Zertifikat nochmal erneuert - hat wieder funktioniert.
Gruß
Inschinjör
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.307
Punkte für Reaktionen
399
Punkte
359
Was heißt 'hat wieder funktioniert'?
Hat sich das Datum oder der Fingerabdruck des Zertifikat geändert, oder einfach nur, dass es ohne Fehlermeldung durchgelaufen ist (vermutlich ohne was zu ändern wie beim Konsole Aufruf auch)?

Man könnte jetzt per Gewalt erneuern, aber die Empfehlung wäre der Einfachheit: Mach die ne Notiz und lasse das Script in zwei Monaten oder so noch mal laufen.

Oder es gibt jemand der ähnlich arbeitet und es in der Zwischenzeit ebenfalls bestätigt.
 

Syno-OS

Benutzer
Mitglied seit
23. Jun 2020
Beiträge
255
Punkte für Reaktionen
48
Punkte
28
1. die 'synology.me' Adressen nutzen die Domain Verfikation Methode (DNS-01 challenge), dh. der Synology DNS Server wird zur Verifikation genutzt
https://letsencrypt.org/de/docs/challenge-types/
Bei anderen Adressen müsst ihr die Host Verifikation verwenden, dann Ports öffnen.

2. Let's Encrypt beschränkt die Anfrage mit einem Stunden/Tages Anfrage Limit
https://letsencrypt.org/de/docs/rate-limits/

3. Und ersetzt dieses Standard Zertifikat, einfach löschen...(wenn man ein anderes hat, natürlich lieber erwähnen, man weiss ja nie hier :p)
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Was heißt 'hat wieder funktioniert'?
Hat sich das Datum oder der Fingerabdruck des Zertifikat geändert, oder einfach nur, dass es ohne Fehlermeldung durchgelaufen ist (vermutlich ohne was zu ändern wie beim Konsole Aufruf auch)?
Das Datum ändert sich, sonst ?

@Syno-OS,
danke für die Info!
Funktioniert also so wie es @Fusion schon erwähnt hat.
Kannst Du noch was zu Deiner Bemerkung sagen:
3. Und ersetzt dieses Standard Zertifikat, einfach löschen...(wenn man ein anderes hat, natürlich lieber erwähnen, man weiss ja nie hier :p)

Ich sichere meine Daten bei einem Verwandten über HyperBackup. Auch er hat bisher immer brav die Ports geöffnet und das Zertifikat verlängert. Wie das von Synology auch verlangt wird (siehe mein print screen von gestern 18:02). Auch bei Ihm funktioniert es (nach Test) ohne die Ports. Ich bin sicher, wir sind nicht die einzigen, die diese "Blödbewegung" machen bzw. gemacht haben. Ich geh mal davon aus, dass die meisten Synology-Benutzer keine IT-Experten sind - kann Synology das nicht mal klarstellen ?!?!?!
 

peterhoffmann

Benutzer
Mitglied seit
17. Dez 2014
Beiträge
4.101
Punkte für Reaktionen
537
Punkte
194
Zwecks Test habe ich jetzt mal Port 80 und 443 geöffnet und ein Zertifikat erstellt. Das klappte problemlos.
Port 80 und 443 sind nun wieder zu.
Am 1. März läuft das Zertifikat ab, sprich Anfang Februar müsste es sich ja erneuern. Ich werde berichten. ;)
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.307
Punkte für Reaktionen
399
Punkte
359
Normal geht Synology denke davon aus, dass man den Webserver mit Zertifikat auch aus dem Internet erreichen will, deshalb sollte 80/443 offen sein (https-Umleitung aktiv). Deshalb sehe ich nicht was Synology da klarstellen sollte.
Klar ist es sicherer die Syno nicht ins Netz zu hängen, aber dann trotzdem let's encrypt Zertifikate zu haben, ist halt vermutlich nicht der Hauptanwendungsfall der da angedacht war. Und bei selbst signierten muss man die Nutzung halt einmalig abnicken und dann läuft es auch.
Und es in der Doku zu erwähnen..
.. Die lesen ja eh die wenigsten. :)

Zu Punkt 3)
Das synology.com selbst signierte Zertifikat einfach so lassen wie es ist. Das zu löschen ist nur Ordnungswahn in meinen Augen. Einfach nicht zuordnen / konfigurieren. Das stört nicht weiter.
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
So, bin wieder etwas schlauer - vielen Dank!
Gruß
Helmut
 
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.