Toggle sidebar

DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
T

TACiboy

Benutzer
Registriert
10. Dez. 2008
Beiträge
215
Reaktionspunkte
0
Punkte
16
Hallo zusammen,

wie schon im Titel beschrieben: Mein Let's Encrypt Zertifikat ist heute abgelaufen und wurde von DSM nicht automatisch erneuert (wie eigentlich in der Online-Hilfe beschrieben). Wie kann ich das Zertifikat nun nachträglich erneuern?

Unbenannt.JPG
 
Hatte auch gehofft, es würde erneuert. Also bislang sehe ich nur die Möglichkeit, ein neues zu erstellen.
Hinzufügen, bestehendes Zertifikat ersetzen ... 5 Minuten später wars durch.
 
Hallo mördock,
das bringt leider nichts so wie von iDomix beschrieben. Der Assistent unter CSR spuckt mir lediglich eine neue Zertifikatsanforderungs-Datei aus. Wo kann ich diese denn dann bei Let's Encrypt aktualisieren? Habe auf der Webseite nichts gefunden!!

Ich denke das funktioniert so mit Let's Encrypt über CSR nicht...
 
habe erst seit kurzem ein Lets Encrypt Zertifikat, musste es noch nicht verlängern. Somit bin ich erstmal raus.
 
Auch wenn du CSR > Zertifikat erneuern (mittlerer Punkt) > gewünschtes LE Zertifikat auswählen machst, spuckt er trotzdem ein CSR aus? Das wäre sehr merkwürdig.
Die Erneuerung benötigt nur, wie die Ersteinrichtung auch schon, Port 80/443. Der Rest läuft im Hintergrund zwischen LE-Server und DS ab.
 
Ok, nochmal: Hinzufügen, bestehendes Zertifikat ersetzen, Domain und Email-Adresse neu eingeben, abschicken, Fertig. Das Zertifikat existiert nur die 90 Tage, danach muss man ein neues bei letztsencrypt anfordern. Das läuft ein wenig anders als bei anderen Zertifikatsherausgebern.
 
Das ist doch noch alles Mist mit Lets Encrypt!
 
Weil?
 
Der Screenshot ist ein Übersetzungsfehler aus dem Englischen (and secure -> unsicher, ist wohl in die Hose gegangen)

Es gibt keine vorgeschriebene Laufzeit für Zertifikate. Ich kann also welche mit einem Tag bis "Sankt Nimmerlein" erstellen.
https://tools.ietf.org/html/rfc5280#section-4.1.2.5

LE hat eben 3 Monate gewählt, vermutlich damit sich nicht so viel Leichen ansammeln, die nicht mehr weiter benutzt werden. Dann kann ich die auch alle 3 Monate erneuern/neu ausstellen lassen.

Zudem wäre dann interessant mehr zu deinem Zertifikat und Browser zu erfahren. Normal sollten auch korrekt als sicher angezeigt werden.
https://letsencrypt.org/certificates/
Könnte mir höchstens vorstellen, dass das falsche Intermediate genutzt wird z.B.
 
Ich steig jetzt immer noch nicht durch. Muss ich jetzt nach der Laufzeit jedesmal eine neues Zertifikat beantragen und dann an allen angeschlossenen Geräten dem neuen wieder vertrauen oder kann ich es erneuern? Wenn ich auf die erneuern Funktion klicke bekomme ich ein CSR und weis nicht was ich damit anfangen soll.

Hoffentlich weis jemand rat.
 
Muss ich jetzt nach der Laufzeit jedesmal eine neues Zertifikat beantragen
Zum Vergrößern anklicken....
ja, Du verlängerst Dein Zertifikat. Dazu wirst Du, so wie es im Moment gelöst ist, alle 3 Monate da rumklicken müssen.

und dann an allen angeschlossenen Geräten dem neuen wieder vertrauen oder kann ich es erneuern?
Zum Vergrößern anklicken....
nein, das ist genau der Vorteil eines Zertifikates einer offiziellen CA gegenüber eines selbst ausgestellten, die Geräte vertrauen diesen (in der Regel) von selbst.
 
Danke für die Antwort, aber wie mach ich das? Wenn ich den Weg über den CSR Weg gehe bekomme ich eine CRT Datei und hab nicht den Hauch einer Ahnung was ich damit machen soll. Ich klicke auf CSR, dann auf Zertifikat erneuern und dann bekomm ich was als download was ich an eine dritte Stelle schicken soll. ???? Hä? An welche dritte Stelle?
 
so stehts in der DSM Hilfe:

"Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist."

bei manchen soll das funktionieren bei anderen nicht?

ansonsten oder wenn man selbst auch schon früher erneuern will:

"Wenn Ihr Zertifikat bald abläuft, kann es mit dieser Option erneuert werden.
Klicken Sie auf CSR.
Wählen Sie Zertifikat erneuern aus und klicken Sie auf Weiter.
Laden Sie den erzeugten privaten Schlüssel und die Zertifikatsregistrierungsanforderung herunter.
Senden Sie die CSR zur Erneuerung des Zertifikats an die gewünschte Zertifizierungsstelle."

...hab das mal selber getestet und dann die erstellte server.key und server.csr datei bei "Hinzufügen" importieren wollen aber da wird das Zertifikat als ungültig ausgegeben (eine *.crt ist im Archive nicht dabei), brauch ich da nicht die 3 *.pem Dateien zum Import?

und wo bitte ist dann die Zertifizierungsstelle welche die Dateien verfizieren soll?
Wo bekomm ich das Zwischenzertifikat her?
Will eigentlich kein neues Zertifikat bei LE erstellen was dann schon geht, will nur mein bestehendes erneuern!

LG Thomas
 

Anhänge

  • Zertifikat.jpg
    Zertifikat.jpg
    98,1 KB · Aufrufe: 721
Zuletzt bearbeitet:
...wie jetzt mit erstellter server.csr und server.key SSL Zertifikat bestellen oder selbst erzeugen (benötigte privkey.pem und csr.pem)???
Am besten wäre ein script welches alle 2 Monate das Zertifikat selbst erneuert.
Jemand eine idee, wäre super?
LG Thomas
 
Zuletzt bearbeitet:
Der DSM 6.0 final versucht durchaus das Zertifikat kurz vor Ablauf zu erneuern. Setzt aber voraus dass die DS über Port 80 und einer öffentlichen IP-Adresse erreichbar ist. Das hat bei mir schon so funktioniert. Kompliziert wird es erst wenn dieser Mechanismus, der über einen eigenen Client mit eigens dazu erschaffenem, offenen Protokoll, aus irgendwelchen Gründen nicht erfolgreich zum Abschluss und damit zu einem neuen Zertifikat kommt.

MfG Matthieu
 
...gerade deswegen wäre ja ein andere Alternative per script und Cronjob besser.
LG Thomas
 
bekomme nach dem auswählen von aktualisieren nur einen download den ich entsprechend einreichen darf zur verifizierung.


also was genau mache ich jetzt um das einfach zu verlängern? schon blöde gemacht iwie....
 
Hallo,
pack
Rich (BBCode): 
/usr/syno/sbin/syno-letsencrypt renew-all
in den Aufgabenplaner und führe es manuell aus.

Gruß Götz
 
  • Like
Reaktionen: BarryWho
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten