DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

[SynDiab]

... nee, schon an der Fritz!Box abschalten. Geht unter Internet->Zugangsdaten->IPv6-> Haken bei "IPv6-Unterstützung aktiv" entfernen & "Ubernehmen".

 

[iLion]

DSM kann schon mit IPv6 umgehen. Bitte schaut euch mal in der FRITZ!Box im Bereich Heimnetz die IPv6 Adresse eurer DiskStation an. Die ist anders als die IPv6 der FRITZ!Box selber. Wenn nun eine Domain (egal ob DynDNS oder mit fester IP) auf den Router (hier = FRITZ!Box) zeigt, und nicht auf die IPv6 Adresse der DiskStation / RackStation, dann kann das nicht gehen. Eine MyFRITZ!-Freigabe auf http/https kann eine Lösung sein, oder den DynDNS-Dienst von Synology nehmen und diesen z.B. als CNAME auf die gewünschte Domain zeigen lassen, für die ein Zertifikat ausgestellt werden soll.

 

[bifer]

Also bei Kabel ist der Bereich Zugangsdaten deaktiviert und ich bekomme IPV6 ob ich will oder nicht.

@iLion. Es hatte ja Ende April noch wunderbar funktioniert bei der letzten Erneuerung der Zertifikate.
Ich habe sogar geschaut ob ich IPV6 Portweiterleitung machen kann. Allerdings weigert sich die Fritzbox die Regel dafür anzunehmen mit dem Hinweis die IInterface ID gäbe es schon.

 

[iLion]

Ich hatte auch erst ab Mitte des Jahres Probleme, ohne an meiner Konfiguration etwas geändert zu haben. Dann viel mir ein Fehler in Bezug auf IPv6 Router ungleich DiskStation in meiner DynDNS Adresse auf. Ich vermute das Let's Encrypt jetzt eventuell IPv6 bevorzugt, falls es vorhanden ist. Das würde auch erklären, warum es direkt wieder geht, wenn man IPv6 am Router (z.B. an Dual Stack Anschlüssen) abschaltet.

 

[nilsen123]

@nilsen123
Da haben wir schon mal ähnliche Voraussetzungen und das gleiche Problem.
Bei mir ist es eine Fritzbox 7490 und die DS716+II.
Das Zertifikat habe ich im Mai 2016 auf einer DS213+ erstellt und nach erfolgreicher Migration auf die neue DS importiert.
Bis vor etwa einem Monat lief die Aktualisierung problemlos und nun bekomme ich einfach kein neues Zertifikat erstellt.
Ich denke das ist genau der Punkt den @NSFH meint.

Hallo Crashandy,
bist Du in dieser Sache vielleicht mittlerweile weitergekommen?
Danke!

 

[charly166]

Hallo zusammen,
ich bin nun genau am gleich Szenario immer wieder gescheitert. Erst nach Abschalten von IPv6 hat die Zertifikats-Erneuerung/-Erstellung funktioniert. Vielen Dank für den Hinweis!!!
Viele Grüße

Charly

 

[HATI]

Also ich bin bald bescheuert geworden..... Nach langem warten mit offenem 80er Port, diversen versuchen per "/usr/syno/sbin/syno-letsencrypt renew-all" und der leisen Hoffnung dass sich das Zertifikat doch noch in den letzten 2-3 Tagen selbst erneuert durfte ich dann gestern ein rotes "Abgelaufen" bewundern.

Heute wollte ich dann ein neues anlegen. Es gab dann einen Fehler mit der Bitte mich neu an der DS anzumelden. Nach gefühlten 100 Versuchen mit immer wieder anderen Firewall-Einstellungen und Weiterleitungen am Router (Fritzbox 7490 mit IPv6 Off) immer der gleiche Fehler.... Ich wäre bald ausgerastet. Und das wo ich sonst ein echtes Sanftgemüht bin.

Erst mit deaktivierter DS Firewall (obwohl alles notwendige freigegeben war) und mit voller Freigabe für den NAS (Exposed Host) in der Fritzbox (wo auch alles nötige freigegeben war) hat er sich entscheiden ein neues Zertifikat zu erstellen.

Ist es denn so schwer dafür zu sorgen das sich die Zertifikate selbst erneuern?

Also ich bin erst einmal bedient. Das "tolle" ist das es in 3 Monaten wieder genau das gleiche auf mich wartet. Ich schreibs mir mal lieber auf. Wobei es doch auch nicht sein kann hier so vorgehen zu müssen.

Da macht "Sicherheit" doch "Spaß"

 

[nilsen123]

Tja, aber wo hat sich was geändert, dass es jetzt auf einmal nicht mehr funktioniert? Seltsam...

Also ich bin bald bescheuert geworden..... Nach langem warten mit offenem 80er Port, diversen versuchen per "/usr/syno/sbin/syno-letsencrypt renew-all" und der leisen Hoffnung dass sich das Zertifikat doch noch in den letzten 2-3 Tagen selbst erneuert durfte ich dann gestern ein rotes "Abgelaufen" bewundern.

Heute wollte ich dann ein neues anlegen. Es gab dann einen Fehler mit der Bitte mich neu an der DS anzumelden. Nach gefühlten 100 Versuchen mit immer wieder anderen Firewall-Einstellungen und Weiterleitungen am Router (Fritzbox 7490 mit IPv6 Off) immer der gleiche Fehler.... Ich wäre bald ausgerastet. Und das wo ich sonst ein echtes Sanftgemüht bin.

Erst mit deaktivierter DS Firewall (obwohl alles notwendige freigegeben war) und mit voller Freigabe für den NAS (Exposed Host) in der Fritzbox (wo auch alles nötige freigegeben war) hat er sich entscheiden ein neues Zertifikat zu erstellen.

Ist es denn so schwer dafür zu sorgen das sich die Zertifikate selbst erneuern?

Also ich bin erst einmal bedient. Das "tolle" ist das es in 3 Monaten wieder genau das gleiche auf mich wartet. Ich schreibs mir mal lieber auf. Wobei es doch auch nicht sein kann hier so vorgehen zu müssen.

Da macht "Sicherheit" doch "Spaß"

Bei mir geht es immer noch nicht. Ich habe in der FB IPv6 deaktiviert, meine NAS als Exposed Host gesetzt und die Firewall in der NAS deaktiviert. Immer noch die gleiche Meldung:

 

[HATI]

Diesen Fehler hatte ich nicht. Ich habe vor dem neuen Zertifikat (nach allen Tests die nicht gefunzt haben) ein eigenes Zertifikat angelegt (als Standard) und dann das alte (abgelaufene) von Lets Encrypt gelöscht. Danach habe ich dann das eigene Zertifikat in ein Lets Encrypt umgewandelt. Geht ja alles über den Wizard. Vielleicht hilf es dir ja!?

Zudem habe ich dann endlich meine Einladung zur C2 bekommen um zu sehen das ich die Schei** nicht mal auf meinen DSs nutzen kann. Nur für neuere Geräte. Laut Synology nur Geräte mit Intel CPU. Na dann....

 

[nilsen123]

Diesen Fehler hatte ich nicht. Ich habe vor dem neuen Zertifikat (nach allen Tests die nicht gefunzt haben) ein eigenes Zertifikat angelegt (als Standard) und dann das alte (abgelaufene) von Lets Encrypt gelöscht. Danach habe ich dann das eigene Zertifikat in ein Lets Encrypt umgewandelt. Geht ja alles über den Wizard. Vielleicht hilf es dir ja!?

Zudem habe ich dann endlich meine Einladung zur C2 bekommen um zu sehen das ich die Schei** nicht mal auf meinen DSs nutzen kann. Nur für neuere Geräte. Laut Synology nur Geräte mit Intel CPU. Na dann....

Danke. Also hattest Du diese Fehlermeldung nie? Vielleicht ist es bei mir ja noch irgendetwas anderes...
Ich habe eine DS716+, eine FB 7580 und eine Domain über do.de (FlexDNS über die FB).

 

[HATI]

Ne die hatte ich nie. Ich hatte immer nur dass er mir die Keys zum Download angeboten hatte als ich verlängern wollte aber er eben nicht verlängert hat. Nach Ablauf hab ich einen Fehler bekommen a la "Der Vorgang konnte nicht ausgeführt werden. Melden sie sich neu an der DS an und versuchen sie es erneut." Sowas in die Richtung. Egal ob ich das alte nach Ablauf erneuern wollte oder ein neues anlegen wollte.

Hast du denn überhaupt schon mal eins von Lets Encrypt gehabt? Deine Fehlermeldung sagt ja wenigstens was aus. Domainname wirste ja sicherlich schon mehrfach gecheckt haben wa!?

Ich hab ne DynDNS über ne eigene Domain bei OVH und in der FB nix diesbezüglich konfiguriert. Eben nur in der DS.

 

[nilsen123]

Hast du denn überhaupt schon mal eins von Lets Encrypt gehabt? Deine Fehlermeldung sagt ja wenigstens was aus. Domainname wirste ja sicherlich schon mehrfach gecheckt haben wa!?

Ich hab ne DynDNS über ne eigene Domain bei OVH und in der FB nix diesbezüglich konfiguriert. Eben nur in der DS.

Ja, bis Anfang Juli lief es auch mit der automatischen Verlängerung seit Beginn von Synology mit der LE-Option problemlos. Aber seit dieser Zeit oder kurz davor haben ja diverse Leute Probleme mit dem LE Zertifikat...

 

[HATI]

Ah OK. Na dann bin ich ja direkt in die Schei** eingestiegen . Waren meine ersten 3 Monate mit LE. Und dann gleich zu meiner Freude so ein *****.

Ich dachte immer das läuft so sauber und easy wie bei meinem Plesk Server wo ich diverse Websites mir LE gesichert habe. Da werden alle Zertifikate ohne Probleme automatisch verlängert.

Da dachte ich mir na das kann Synology doch auch. Tja, wohl nicht.

 

[moschno]

Mal was für Zwischendurch:
Stand jetzt ebenfalls vor dem Problem mit der Erneuerung. Nur den Port 80 einfach so aufmachen schmeckte mir halt auch nicht.
Darum hab ich das Script zur automatischen Erneuerung mal ablaufen lassen und bei meiner Firewall nachgesehen von welcher IP die Anfrage an Port 80 überhaupt kommt und genau nur diese IP habe ich als Quelle dann für den 80er Port auf das Ziel meiner Synology IP zugelassen. Das schränkt somit die Sache doch um einiges ein und macht hier kein Scheunentor.
Hab anschließend das Script nochmal ablaufen lassen und es hat wunderbar funktioniert.
So, und jetzt spanne ich euch nicht mehr länger auf die Folterbank. Die Quell IP ist 66.133.109.36
...
Ein Paranoider wie ich fragt sich aber trotz alledem;
Wie sicher ist LE mit seinen Zertifikaten denn nun wirklich wenn der Server laut Whois in den USA steht?

 

[NSFH]

Mal was für Zwischendurch:
Stand jetzt ebenfalls vor dem Problem mit der Erneuerung. Nur den Port 80 einfach so aufmachen schmeckte mir halt auch nicht.
Darum hab ich das Script zur automatischen Erneuerung mal ablaufen lassen und bei meiner Firewall nachgesehen von welcher IP die Anfrage an Port 80 überhaupt kommt und genau nur diese IP habe ich als Quelle dann für den 80er Port auf das Ziel meiner Synology IP zugelassen. Das schränkt somit die Sache doch um einiges ein und macht hier kein Scheunentor.
Hab anschließend das Script nochmal ablaufen lassen und es hat wunderbar funktioniert.
So, und jetzt spanne ich euch nicht mehr länger auf die Folterbank. Die Quell IP ist 66.133.109.36
...
Ein Paranoider wie ich fragt sich aber trotz alledem;
Wie sicher ist LE mit seinen Zertifikaten denn nun wirklich wenn der Server laut Whois in den USA steht?

Vergiss es. Die Quell-IP ändert sich laut LE und es wird dringend empfohlen diese nicht in der Firewall frei zu schalten!
Ausserdem, wo ist das Problem für den kurzen Erneuerungsvorgang in der Firewall 80 freizuschalten und dann wieder zu schliessen?

 

[rednag]

So mache ich das auch. Wenn die Zertifikate einen orangen Zustand haben, kurz Port 80 im Router aufmachen, Script anstoßen und den Port wieder dichtmachen.
Sache von 2 Minuten.

 

[moschno]

Das wäre ja dann wohl zu einfach gewesen.
Das Problem ist, dass ich es eigentlich vermeiden wollte alle 3 Monate den LE Sklaven zu spielen.

..
Nebenbei gesagt die Textkraft Pro APP bei Web DAV den vollen Aufstand macht und keine Verbindung herstellt weil das LE- sowie auch das Synology Zertifikat als ungültig angesehen werden. Hab gedacht mit der Erneuerung löst sich dieses Problem, aber Pfeiffendeckel. Was solls. Andere Baustelle neue Überraschung.

 

[Crashandy]

Hallo Crashandy,
bist Du in dieser Sache vielleicht mittlerweile weitergekommen?
Danke!

Leider nicht ein Stück.
Vermutung:
Es ist aktuell bei do.de einfach nicht möglich, FlexDNS auschließlich nur mit einer subdomain zu nutzen.
Daher wird eben die Hauptdomain für FlexDNS verwendet und es kann damit einfach kein Zertifikat erstellt werden.
Wenn man nun einen anderen Anbieter für DDNS wählt z.B. selfhost.eu und bei do.de diese Adresse als CNAME in der Hauptdomain hinterlegt, dann funktioniert auch wieder das Let's Encrypt-Zertifikat.
Die genauen Zusammenhänge kann ich allerdings nicht nachvollziehen.
Eventuell hat hier im Forum Jemand eine Erklärung dafür.

 

[kostnermo]

Ich hatte auch das Problem, dass Port 80 nicht geöffnet werden konnte. Ein paar Seiten vorher gab es einen Tipp, dass man die IPv6 Records beim DynDNS Service löschen soll. Genau das hat bei mir funktioniert. Es hat danach sofort wieder funktioniert.
Viel Glück.

 

[Crashandy]

Ein paar Seiten vorher gab es einen Tipp, dass man die IPv6 Records beim DynDNS Service löschen soll.

Ein wirklich genialer Lösungsansatz, nur wo genau in diesem Thread hast Du diesen Tipp gefunden?
Ich habe mir diesen Thread noch einmal vollständig reingezogen und kann es nicht finden.
Nun habe ich bei do.de die IPv6 Records (AAAA) gelöscht und habe sofort ein neues Zertifikat bekommen.
Recht vielen Dank für den sehr hilfreichen Hinweis!