Toggle sidebar

Let`s Encrypt Fehler

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
B

blinky911

Benutzer
Registriert
04. Juli 2021
Beiträge
99
Reaktionspunkte
0
Punkte
6
Gude zusammen,

ich habe 7 Sub Domains. Und wollte die gerade Zertfiizieren. Die erste ging sofort, und dann kommt der Portfehler 80 und 43...!

Ich stehe total auf dem Schlauch. Die SUbdomains waren vorher mit einer DynDns registriert. Die ich dann aber gelöscht habe,.

Hat da jemand eine Idee?
 
blinky911 schrieb:
Die SUbdomains waren vorher mit einer DynDns registriert. Die ich dann aber gelöscht habe,.
Zum Vergrößern anklicken....

Was heißt das genau?

Du kannst nur LE Zertifikate für Domains anfordern die aktuell beim Aufruf von extern via 80/443 auf deiner DS landen.
Für nicht aktive Domains kann kein LE Zertifikat ausgestellt werden.
 
Muss ich da nochmals eine Weiterleitung machen für jede einzelne Domain?

Beim Webhoster habe ich meine feste IP im DNS A hinterlegt.
 
Was du brauchst sind 7 CNAMEs (Aliase), die alle auf deine Haupt-Domain zeigen. Wenn alles stimmt, sollte "nslookup example.com", nslookup sub1.example.com", ... alle auf die gleiche IP auflösen, nämlich die externe IP deines Routers. Wenn IP nicht stimmen sollte, dann muss nur die Hauptdomain aktualisiert werden, entweder manuell (fixe IP) oder über DynDNS. Die CNAMEs wechseln automatisch mit.

Dann reicht es, ein LE-Zertifikat zu erstellen mit allen 7 Subdomains als "Alternate Names" (Alternativer Antragsteller)
 
Die CNAMEs hab ich jetzt hinterlegt die dann als Content auf die Hauptdomain gehen. Die Hauptdomain hat meine feste IP die ich von Vodafone bekommen habe,

Muss ich in der Weiterleitung wo man normal die Ordner im Webspace Einträge nochmals auf die feste IP inkl Port verweisen?

Und wo mache ich das: "Dann reicht es, ein LE-Zertifikat zu erstellen mit allen 7 Subdomains als "Alternate Names" (Alternativer Antragsteller)" ?

Wird dann der Reverse Proxy noch benötigt? Theoretisch ja schon oder?
 
Zuletzt bearbeitet von einem Moderator:
Das Zertifikat erstellst du am einfachsten im DSM, Sicherheit, Zertifikat, Hinzufügen, LetsEncrypt

1638096225894.png

Dafür müssen zum Zeitpunkt der Erstellung Port 80 und 443 1:1 auf deine DS weitergeleitet sein - mehr nicht. Für den eigentlichen späteren Betrieb reicht dann nur 443.

Das eigentliche Ziel ordnest du dann über das Anmeldeportal, Erweitert, Reverse Proxy zu (hier mal z.B. für den DSM)
1638096535614.png
Für manche Standardanwendungen (z.B. Audiostation) kann man das unter Anmeldeportal, Anwendungen direkt als Domain eintragen

Im letzten Schritt ordnest du über Zertifikat, Einstellungen das neu erstellte Zertifikat allen Diensten/Proxies zu, die es verwenden sollen.

Prinzip verstanden?
 
Klar das weiß ich ja soweit.
Zertifikat nur auf Hauptdomain.... testdomain.de
Mir war/ ist nur noch nicht ganz klar ob ich nochmals auf die IP weiterleiten muss, wenn im A Eintrag diese schon steht,

Aber derzeit macht mein USG noch Probleme. irgendwie kommt nichts durch, trotz Portweiterleitung inkl expost Host und Ports in der FB
 
Zuletzt bearbeitet von einem Moderator:
Im Router werden Ports auf Hosts/Ports weitergeleitet und nicht Namen (Bsp: 443 -> DS/443). Erst beim Reverse-Proxy entscheidet dann der verwendete Namen, der mit der Anfrage mitkommt, wohin es weitergeht (z.B. sub1.example.com/443 -> localhost:5001)
 
Hab das ganze jetzt mal alleine an die Fritzbox gehangen. Ports sind auf.

Jetzt kommt: Keine Antwort von Zielserver ... .(
 
Sorry, ich meinte bei der Zertifikatserstellung!
 
Zuletzt bearbeitet von einem Moderator:
Das sollte eigentlich klappen, wenn Port 80 und 443 auf die DS weitergleitet sind und example.com auf die richtige IP auflöst.
Die Firewall auf der DS ist auch aus, bzw. Zugriff auf 80 und 443 von überall zugelassen?
 
Zuletzt bearbeitet:
Das ist ja das Problem. Mit Hilfe aus dem Unifi Forum klappt es auch nicht obwohl von dieser Seite die Einstellungen stimmen.

Beim Domainanbieter sind die Domains im DNS Eintrag auf meine feste IP, Sub Domains als CNAME. Bei der Weiterleitung hab ich dann nochmals die IP stehen (mit oder ohne Port, hab es ohne)
 
Zuletzt bearbeitet von einem Moderator:
Was für eine Weiterleitung?

Du brauchst normal nur Domains, IP (A/AAAA records) und/oder CNAME.

Andernfalls hast du eine http Weiterleitung ala 301 oder ähnlich wo sub.example.com auf sub2.example.com:8080 oder ähnlich weitergeleitet wird.
Das wird mit LE sehr wahrscheinlich Probleme geben, weil hier auch der Webserver beim Hoster mitspielen muss, oder man anstatt http01 andere Auth Verfahren für Let's Encrypt wie dns01 verwendet mit / ohne dns-Alias oder challenge alias.
So bekommt man auch Zertifikate für Server die überhaupt nicht extern erreichbar sind.

Das überschreitet allerdings die Möglichkeiten die Synology anbietet abseits von Synology.me Adressen.
Da muss man schon selbst acme.sh oder andere LE Clients auf die DS bringen.
 
Fusion schrieb:
Was für eine Weiterleitung?
Zum Vergrößern anklicken....
Normal legt man ja eine Domain auf ein Verzeichnis, muss man in dem fall ja wohl nicht da meine feste IP hinterlegt ist.

Hier mal wie ich es im DNS Profil der Domain gemacht habe. Und wenn das schon falsch ist kann ich ja das Zertifikat nicht erstellen.. gehe ich von aus.

Und die Subdomains Regel ich dann über revers proxi im Browser? ALso 443 wird zu 5001 DSM etc.!?

dns.jpg
 
Die Ausführungen von @Fusion verwirren mich. :unsure:
Check doch mal mit nslookup, ob wirklich alle Namen (example.com, sub1.example.com, sub2.example.com ,...) wirklich auf deine externe IP auflösen. Das war's dann auch schon Provider-seitig.
Wenn dann auch noch Port 80 und 443 im Router auf die DS weitergeleitet sind, sollte zumindest die Zertifikatserstellung klappen.
Erst danach geht es mit den Reverse-Proxy-Regeln in Richtung der eigentliche Ziele weiter.
 
nslookup löst die Domain und Sub Domain aus.. also es wird : "Nicht autorisierte Antwort" mit meiner öffentlichen IP angezeigt.

Das Problem schein das Unifi USG zu sein. Obwohl dort die Portweiterleitungen drinnen sind geht es nicht.
Die Fritzbox ist auf expost Host auf der Schnittstelle und dort sind die Ports auch frei.
 
blinky911 schrieb:
Die Fritzbox ist auf expost Host auf der Schnittstelle und dort sind die Ports auch frei.
Zum Vergrößern anklicken....
Das versteh ich nicht. Beim mir sieht das so aus. Die .61 ist meine DS, und wenn ich die Regeln aktiv schalte, sind die Dödels auch grün
1638134567100.png
 
Die DS taucht da ja nicht auf. Da das Routing der Unifi USG macht. Oder muss ich die dort auch nochmal per MAC Adresse aufnehmen?
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten