Toggle sidebar

Let's Encrypt: kostenlose SSL-Zertifikate

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
sylonogy schrieb:
Mein CS-Client meldet, dass der Status nicht normal sei. "Das SSL-Zertifikat wurde geändert!" Also musste ich die betreffenden Synchronisations-Links im Client mit meinem Passwort bestätigen und noch ein paar Mal auf "OK" klicken, bevor er wieder zu synchen anfing.
Zum Vergrößern anklicken....
Das "Problem" liegt beim Hersteller der Software des CS-Client. Dieser Speichert einfach das Zertifikat zum Zeitpunkt der Synchronisationserstellung und weigert sich zu synchronisieren, wenn sich etwas an diesem ändert. Eigentlich sollte die Software prüfen, ob der antwortende Server derjenige ist, der als Ziel der Synchronisation angegeben ist. Hierzu muss das Zertifikat des Server den Namen der Domain enthalten, den der CS-Client anspricht, nicht abgelaufen sein und eine Signatur enthalten, die der CS-Client vertraut. Üblicherweise nutzen diese SW den Betriebssystemeigenen Zertifikatsspeicher mit den entsprechenden Root-Zertifikaten (Update über BS-Updatefunktionen) oder installieren einen eigenen Zertifikatsspeicher mit vertrauenswürdigen Root-Zertifikaten (und müssen selbst für den Update sorgen).
 
TheGardner schrieb:
Immer dran denken: Der Webserver muss laufen! D.h. wenigstens das Testbild vom Webserver sollte auf Port 80 und 443 durch die DS Firewall und den Router zu sehen sein! Erst dann klappt die Let's Encrypt Routine auch reibunslos!

Anhang anzeigen 37075
Zum Vergrößern anklicken....

Das ist definitiv nicht richtig. Ich habe auf des DS keinen Webserver laufen und es geht trotzdem. Es scheint so zu sein, dass die Syno bei Nutzung von LE einen rudimentären Webdienst laufen lässt, der mit LE korrespondiert. Es muss nur der Port 80 für den ersten Check offen sein.
 
Kann alles sein, aber ich hab festgestellt, dass bei manchen Usern -welche erst mit Fehlermeldungen geklagt haben- es dann mit Anschaltung des Webservers schlussendlich schneller geklappt hat!
Leider gibt es keine richtigen Fehlermeldungen, die den Usern klipp und klar sagen, wieso ein Zertifikatsantrag fehlschlägt, deswegen sage ich immer wieder "schaltet doch erstmal den verdammten Webserver an und probierts aufs Neue!" wenns dann nicht klappt, dann liegt der Fehler woanders, aber erst beim Rumspielen mit dem Webserver merken manche, dass evt. die Portweiterleitungen im Router ja noch fehlen, oder die blöde Firewall ja noch alles blockt! Erst wenn sie dann das Testbild von extern sehen, dann würde ich nen neuen Versuch der Beantragung machen!

Danach kann ja alles wieder abgeschalten werden! Kein Akt!
 
@Tuvok42:

heißt das also, dass es mit einem LE-Zertifikat normal ist, dass ich alle 3 Monate jede Synch-Verknüpfung auf jedem Endgerät mit Passworteingabe und ein paar OK-Klicks wieder ans Laufen bringen muss? Obwohl sich das LE-Zertifikat "selbst erneuert"...

Dann würde sich ja ein gekauftes Zertifikat für ca. 30-40€ pro Jahr durchaus rentieren... Besser noch mit 3 Jahren Laufzeit...
 
Danke für die Bestätigung. Somit sehe ich für mich bzw. für User, die mehrere Geräte und Sync-Verknüpfungen betreiben keinen Sinn in der Nutzung von LE-Zertifikaten. Auch, wenn sie kostenlos sind. Schade, denn an und für sich ist's ein guter Gedanke.
 
Ich habe webstation ja installiert und kann die Homepage auch aufrufen, trotzdem kann ich mit meiner Domain.Stadt kein LE-Zertifikat erstellen.Ich denke mal, das geht nur mit den "normalen" .de .com usw.
Schade, ich hätte es gerne genutzt.
 
Dann muß es ja wieder an mir liegen ;-) Aber diesmal habe ich wirklich nichts verstellt. Ich glaube schon, dass ich ein Fehler mache.;)

LEZertifikat.jpg
LEZertifikat-Fehler.jpg
 
Hallo,
bei Betreff Alternativer Name kommt entweder nichts rein oder ein weiterer Domain-Name, aber keine e-mail Adresse.

Gruß Götz
 
Danke Götz für Deine Hilfe, aber auch wenn ich nichts dort eintrage, kommt die o.g. Fehlermeldung.
 
Und domain.stadt zeigt auch direkt auf deine DS und nicht nur nas.domain.stadt ?
Die Domainangaben müssen exakt so auf der DS landen wie dort angegeben
 
Hallo,
probiere mal auf der Konsole
Rich (BBCode): 
syno-letsencrypt new-cert -d domain.stadt -m <DEINE MAILADRESSE> -vv
per -vv sollten ne Mende Debug Informationen erscheinen.

Gruß Götz
 
Hallo,
die mail Adresse natürlich ohne die <>

Gruß Götz
 
Natürlich, wollte ich auch eben sagen ;-))
Du hast mich Erwischt.
Was brauchst Du denn von 60 Seiten der LOG-Datei ;-)
 
Zuletzt bearbeitet:
Könnte Dir alles per PM schicken oder reicht dir nur ein Teil davon?
Am Schluß steht:

DEBUG: Curl Reply: [403] Header: [HTTP/1.1 100 Continue
Expires: Wed, 31 May 2017 06:16:12 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache

HTTP/1.1 403 Forbidden
Server: nginx
Content-Type: application/problem+json
Content-Length: 170
Boulder-Request-Id: XXX
Boulder-Requester: 14322281
Replay-Nonce: XXX
Expires: Wed, 31 May 2017 06:16:13 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Wed, 31 May 2017 06:16:13 GMT
Connection: close

] Body: [{
"type": "urn:acme:error:unauthorized",
"detail": "Error creating new cert :: authorizations for these names not found or expired: name.stadtname",
"status": 403
}]
{"error":200,"file":"client.cpp","msg":"new-cert: Unexpect httpcode. (new-cert)" }
 
Ich glaube deine WebStation verweigert den Zugriff (HTTP 403 Forbidden). Wenn du einfach nur die http-Seite aufrufst, wie du Sie im Zertifikat eingegeben hast, landest du dann auf der WebStation?

MfG Matthieu
 
wenn ich meine Seite http://ilove.stadt aufrufe, werde ich auf https umgeleitet und bekomme folgende Meldung:
Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help.

Im Browser steht dann https://ilove.stadt/
oder meinst Du etwas ganz anderes was ich testen soll?
 
Da fällt mir ein, ich habe irgendwo gelesen das der PORT 80 freigegeben werden muß? Den habe ich, glaube ich, gesperrt. Ich nutze ja nur 443.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten