Toggle sidebar

DSM 6.x und darunter Lets Encrypt Zertifikat erneuern - ich bin zu blöd dafür

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
Puppetmaster

Puppetmaster

Benutzer
Sehr erfahren
Registriert
03. Feb. 2012
Beiträge
18.991
Reaktionspunkte
630
Punkte
484
Moin Leute,

ich stehe gerade auf dem Schlauch.
Vor nicht allzu langer Zeit habe ich mir über den DSM ein Zertifikat von Lets Encrypt eingerichtet. Jetzt ist der Zeitpunkt zum Erneuern des Zertifikats gekommen (sagt LE), nur, ich bekomme das ums Verrecken nicht hin über den DSM. Ich bekomme permament Meldungen, dass der WAN Zugang zum DSM(?) über Port 80 (und 443) möglich sein muss...
Ok, das entspricht so nicht meiner Konfiguration. Diese Ports gehen auf den Webserver bzw. die PhotoStation, aber auch wenn ich diese Ports auf den DSM (5000/5001) umbiege, erhalte ich immer wieder die obige Meldung.
Wo ist denn jetzt mein Denkfehler?
Was muss zur Erneuerung des Zertifikats denn jetzt genau geöffnet sein?
 
Es muss reichen, wenn Port 80 an Port 80 auf der DS landet.
Firewall (teilweise Geo-IP Block), Portweiterleitungen prüfen (wäre z.B. nicht das erste mal, dass eine eingetragene Weiterleitung in z.B. der Fritzbox nicht mehr "greift")

Sind mehrere Domains/Hostnamen im Zertifikat? Ist einer davon veraltet/ nicht mehr erreichbar?

Andernfalls hilft nur die Konsole für mehr Informationen
Code: 
syno-letsencrypt renew-all -v[v]
 
Nur eine Domain (dynDNS). Port 80 geht ja auf den Webserver bzw. Photostation. Also muss Port 80 nicht auf den DSM (also 5000) zeigen? Da ist die Fehlermeldung wohl etwas schlecht formuliert.
Zwischendurch hatte ich jetzt noch PiHole im Verdacht, weil auch ein korrekter DNS als Hint angezeigt wird, aber auch nach Deaktivierung von piHole klappt es nicht.
Inzwischen lautet die Fehlermeldung aber auch nur noch "Verbindung fehlgeschlagen. Melden Sie sich erneut am DSM an."
 
Nein, der Port muss nicht auf der DSM-Webanwendung landen. Webserver/Web Station ist ausreichend.
 
Ich bekomme nur noch "Vorgang fehlgeschlagen. Bitte erneut am DSM anmelden.".
 
Gibt es keine andere Möglichkeit der Erneuerung als über dem DSM?

Die Meldung "Vorgang Fehlgeschlagen" ist nicht wirklich aussagekräftig und ich denke, ich habe jetzt so ziemlich alle möglichen Kombinationen von Einstellungen durch.
Keine Ahnung, in welche Richtung ich da noch denken soll.
 
Ah, sorry, hatte nicht gesehen, dass du den Post ergänzt hattest.

Also, über die Konsole gibt es eine Menge Output.
Bezeichnend scheint mir aber u.a. folgendes zu sein:

Code: 
  "type": "urn:acme:error:rateLimited",
  "detail": "Error creating new authz :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/",
  "status": 429

] Body: [{"code":"badparam","errinfo":"delete.go:27"}]
DEBUG: Dns01 challenge: Teardown [{"code":"badparam","errinfo":"delete.go:27"}].
DEBUG: DNS challenge failed, reason: {"error":200,"file":"client.cpp","msg":"new_authz: unexpect httpcode."}

DEBUG: Normal challenge failed, reason: {"error":200,"file":"client.cpp","msg":"new_authz: unexpect httpcode."}

Also zu viele nicht erfolgreiche Verbindungsversuche?

Portweiterleitungen hatte ich immer über Smartphone geprüft.
Firewall des DSM war eingeschaltet, sollte aber Port 80 und 443 nicht blocken.
 
Sieht so aus.

Außer abwarten kann man da eigentlich nur entweder die dyn-Domain ändern oder eventuell eine andere email-Adresse verwenden.
Oder anstatt "erneuern" vorher vielleicht noch probieren mit Zertifikat > Neu > Ersetzen mit den alten Werten, ob das hilft.
 
Bringt mich nur im Kern nicht weiter. Der Grund für die nicht erfolgreichen Verbindungsversuche ist ja nach wie vor unklar.

Nun ja, ich warte jetzt erstmal. Habe auch noch ein paar andere Dinge zu tun. ;)
Aber ich komme bestimmt wieder...
 
Hahahahahaha....

Ich habe jetzt gerade NICHTS mehr geändert, nur noch eine Tasse Kaffee getrunken. Und weil es in den Fingern juckte, habe ich einfach nochmal den Button zum Erneuern gedrückt.
Und? Rödel rödel, alles chic. Keine Meldung, kein Fehler. Einfach durchgelaufen.

crazy saturday
 
Puppetmaster schrieb:
nur noch eine Tasse Kaffee getrunken.
Zum Vergrößern anklicken....

echt jetzt? what else? :cool:;)

zum Thema: Darf ich Fragen warum ihr dass Verlängern vom LE Zertifikat immer "manuell" macht? Ich halte es seit Monaten wie Puppetmaster und mache NICHTS und ohne mein zutun verlängern sich die LE Zertifkate immer automatisch und ohne Probleme. Dabei wird ca. 4 Wochen vor Ablauf das Datum der Gültigkeit "orange" und meistens 2-3 Tage vor dem entgültigen Ablauf verlängert die DS autom das Zertifikat für 90 Tage und wird wieder "grün".
Im Augenblick läuft bei mir gerade wieder so eine "orange" Ablaufphase:

le_zertifikat_maerz2019orange.jpg

wie erwähnt, ich mache dabei gar nichts und 2-3 Tage vor dem tatsächlichen Ablauf steht dann dort wieder ein "grünes" Ablaufdatum mit 90 Tagen in der Zukunft.
 
Zuletzt bearbeitet:
Nur Kaffee, Kurt, nur Kaffee... ^^

Also, meine Erfahrungen mit Lets Encrypt sind noch ganz jung. Also jetzt knapp 3 Monate alt. Erstellung des Zertifikats über den DSM, alles fein. Nur jetzt bekam ich halt mehrere Mails von Lets Encrypt mit dem Inhalt, dass wenn ich mein Zertifikat nicht bis zum xx. Februar erneuern würde, es danach ablaufen würde.
Dass es dort irgendwo einen Automatismus gibt, der das Zertifikat automatisch erneuert, ist mir neu.
 
@Kurt
Hast du eine permanente Portweiterleitung von Port 80 zur DS auf deinem Router? Mag sein, dass das dann geht.

Ich habe ein LE-Zertifikat auf Router (FB7590, MyFritz) und auf der DS. Die FB macht die Verlängerung immer automatisch. Bei der DS muss ich immer erst Port 80/443 temporär freischalten und manuell verlängern.
 
ah ok ich verstehe. Wenn du beim nächsten Mal die Mail bekommst, dann mach vorerst nichts, das Zertifikat sollte die DS automatisch verlängern, ohne dass du etwas tun musst. Nur Geduld haben beim nächsten Mal. Wie gesagt, 2-3 Tage vorher (ich glaube das Datum wird dann sogar "rot" angezeigt) sollte das dann autom passieren.

@Benares: Ja für LE, alles andere geht über VPN bzw 443
 
Ich weiß nicht, wieweit ich einer Automatik trauen soll, wenn schon der manuelle Weg versagt.
 
Also, entweder permanente Portweiterleitung und automatische Verlängerung - oder temporäre mit manueller Verlängerung. Was anderes bleibt dir nicht.
 
Benares schrieb:
.....
Hast du eine permanente Portweiterleitung von Port 80 zur DS auf deinem Router? Mag sein, dass das dann geht.

....... Bei der DS muss ich immer erst Port 80/443 temporär freischalten und manuell verlängern.
Zum Vergrößern anklicken....


Ich habe bei meiner Fritzbox Port 80 für die automatische Verlängerung (als crontab erfasst) vom Lets Encrypt Zertifikat auf der DS offen. Das klappt "geräuschlos". Somit brauche ich das Zertifikat nicht manuell verlängern und muss somit auch nicht selbt auf der Synology schauen ob und wie lange das zertifikat noch gültig ist. Port 443 brauchte ich nur zur Erstinstallation von Lets Encrypt.
 
Wenn du den ganzen Thread liest wirst du ja sehen, dass es trotz gesetzer Portweiterleitung eben auch manuell schon nicht funktioniert hat.
 
DasThema ist hier schon älter, trotzdem war das mein erster Suchtreffer. Daher hier die Lösung die MIR geholfen hat:

Portweiterleitung ist korrekt eingerichtet.
In der Synology Firewall habe ich den Zugriff für die Ports auf Deutschland beschränkt, da nur Mitarbeiter im eigenen Land zugreifen.
Genau das verhindert die Verlängerung.
Also Firewallregel für Port 80 und 443 (Web Station, Photo Station, Web Mail) umstellen auf Quell-IP -> Alle
Zertifikat erneuern (bei mir (DSM 6.2.3-25426 Update 2) Zertifikat anwählen | DropDown-Feld "Zertifikat erneuern")
Firewallregel wieder auf den eingeschränkten Wert zurücksetzen

Hoffe es hilft jemandem ;-)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten