DSM 6.x und darunter Lets Encrypt Zertifikat erneurn geht nicht

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Arwed!

Gesperrt
Mitglied seit
23. Dez 2011
Beiträge
169
Punkte für Reaktionen
3
Punkte
24
Ich bekam vor einiger Zeit von LetsEncrypt eine Mail das mein Zertifikat am 2.7.2019 abläuft, ich das erneuern soll.
Habe ich versucht für meine DS918+ und es klappt nicht. Bekomme immer Verbindung zu Lets Encrypt fehlgeschlagen, Port 80 und 443 werden von der Fritzbox durchgeleitet,ich habe sogar für die 918+ die selbstständige Portfreigabe aktiviert.
Firewall der 918+ ist deaktiviert.
Mein Dyndns bei inwx.de funktioniert prima auf einer extra Domain nur für die 918+.
Wenn ich versuche ein neues Zertifikat von Lets Encrypt zu importieren, dann kommt, Vorgang fehlgeschlagen, ich soll mich neu am DSM anmelden und andere schwachsinnige Fehlermeldungen.
Das bringt genau gar nichts, denn es geht mit dem Unsinn so weiter.
Ist da schon was bekannt?
 

Arwed!

Gesperrt
Mitglied seit
23. Dez 2011
Beiträge
169
Punkte für Reaktionen
3
Punkte
24
Neuerdings bekomme ich bei Aufruf der Domain für meine 918+ auch nur noch eine weisse Seite angezeigt. Kein einlogbildschirm, keine Möglichkeit Benutzername und Passwort einzutragen.
Im Browser wird aber die Domain richtig angezeigt, mit grünem Schloss.
Aber eben nur weisse Seite, über die interne IP geht der Aufruf nur mit einem alten Internet Explorer, Firefox, Waterfox zeigen nichts an, zwar das grüne Schloss vor der IP, aber nur weisse Seite.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Also das grüne Schloss sagt ja eigentlich, dass die DS scheinbar selbst geschafft hat(te), das Zertifikat zu erneuern!
Ansonsten lässt die weisse Seite eher darauf schließen, dass mit der Webstation etwas nicht stimmt, bzw. irgendwas an den Firewall-Regeln und/oder an den Portweiterleitungen nicht stimmt.
Letzteres wiederum kann auch stimmen, da Du ja über die interne IP scheinbar die gleichen Probleme hast!

Ich würde also jetzt erstmal versuchen:

- die Firewall kurz ganz aus zu schalten - gehts dann? Oder gleiches Fehlerbild?
- die Webstation zu stoppen und wieder zu starten - gehts dann?
- die DS neu zu starten ...
- oder schlussendlich mir mal die URL zu schicken, dass ich einmal mit meinen Browsern (Edge / Chrome / Firefox) schaue, wie sich das für mich ansieht.
 

haol0013

Benutzer
Mitglied seit
26. Jul 2007
Beiträge
222
Punkte für Reaktionen
10
Punkte
24
Hallo,

den Effekt mit der weissen Seite habe ich auch bei einem Freigablink einer virtuellen Maschine seit dem letzten Update. Habe auch erst gedacht es liegt am Zertifikat, aber auch mit dem Standard-Synology Zertifikat das selbe Fehlerbild.
Die gängigen Tipps wie Neustart etc. hab ich durch.
Synology schaut sich das Problem bei mir an.

Grüße

Oli
 

Arwed!

Gesperrt
Mitglied seit
23. Dez 2011
Beiträge
169
Punkte für Reaktionen
3
Punkte
24
Heute ist das mit der weissen Seite nicht mehr. Geht wieder, nur das Zertifikat erneuern klappt immer noch nicht. Das aktuelle gilt noch bis 2.7.2019, aber Lets Encrypt hat mir ja geschrieben, ich soll das jetzt erneuern, also vor 4 Wochen schon.. Geht nur nicht.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Normalerweise brauchst du auch gar nichts machen. Diese Emails erhalte ich auch, ca. 4 Wochen vor Ablauf und die Gültigkeitsdauer wird dann in oranger Schrift im DSM angezeigt. Etwa 48 Stunden vor Ablauf wird das Gültigkeitsdatum dann rot dargestellt.
Innerhalb dieser 48h sollte LE das Zertifikat automatisch verlängern, ohne dein zutun. Probier das mal.
Selbst wenn das autom Verlängern einmal nicht gehen sollte ist ja noch nichts passiert, dann kannst du immer noch manuell die Gültigkeit verlängern. Auch mit abgelaufenem Zertifkat hast du immer noch eine gesicherte https Verbindung zur DS.
 

Arwed!

Gesperrt
Mitglied seit
23. Dez 2011
Beiträge
169
Punkte für Reaktionen
3
Punkte
24
Danke Kurt_oe1kyw,
werde ich mal so beobachten. Ist ja noch Zeit bis 2.7., kann man diesne ganzen Sicherheitskram irgendwo abschalten? Ich bin der einzige Nutzer meiner DSM, ich brauche auch keinen Zugriff von ausserhalb, es reicht im LAN. Ich nutze das Ding nur als Backupspeicher für meine Rechner und als Fotospeicher. Nur für mich, für niemanden sonst.
Wenn ich selbst in meinem LAN so einen Sicherheitsmist habe, das nervt.
Ich nutze keinerlei WLAN, alles verkabelt, ich will nicht in meinem Zuhause von so einem Sicherheitsmist belästigt werden.
Die Sicherheit macht die Fritzbox, ausserdem glaube ich nicht das mich jemand hacken will, ich bin total uninteressant und ich habe auch kein Geld.
Wenn jemand meine Daten verschlüsselt, na und?
Fange ich eben von vorne an. Total uninteressant für mich.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Das Problem ist, dass DSM eine Weboberfläche ist welche von browsern aufgerufen wird und der Trend in Richtung "sicherer" Verbindung h**ps geht und dafür wird ein Zertifikat benötigt, völlig egal von wo aus der Zugriff erfolgt.
Ich verstehe allerdings nicht warum du dir dann ein Zertifikat geholt hast wenn du sowieso nie von aussen zugreifen möchtest. Dafür hätte das synology Zertifikat gereicht, es gilt 10 Jahre oder länger. Das Zertifkat von dir ist wohl für eine domain erstellt worden? Für "nur internen" Gebrauch wäre das also gar nicht notwendig gewesen. Ruf deine DS einfach über die interne IP:5000 auf, dafür gibt es keine Zertifikate.

Abschalten kannst du es eigentlich auch, ruf deine DS einfach nur über http (=5000 DSM) auf und du hast das Zertifikatsproblem nicht mehr. Schau im DSM ob da alle Haken entfernt sind wo steht "immer auf https umleiten" usw.
 
Zuletzt bearbeitet:

Arwed!

Gesperrt
Mitglied seit
23. Dez 2011
Beiträge
169
Punkte für Reaktionen
3
Punkte
24
Danke, habe ich gemacht jetzt.
Ich habe ja noch alte Browser, die nicht so ein Zeug haben.
Die Domain habe ich, ist eben da, da dachte ich die kann ich ja mal nutzen. Zumal das DynDNS auch kostenlos ist.
Aber Lets Encrypt lässt sich auf keiner der DS mehr erneuern, oder neu importieren. Bei der 716+ kommt auch nur der Fehler in Dauerschleife, obwohl alles abgeschaltet ist, Firewall, https, es geht nichts.
Verbindung zu Lets Encrypt fehlgeschlagen, oder melden sie sich erneut im DSM an.
Mehr gibt es nicht. Das Zertifikat der 716 ist vor 5 Tagen abgelaufen und geht auch nicht zu erneuern. Die 918 hat noch ein paar Tage ein Zertifikat, bis 2.7 und dann war es das auch.
 

Joon

Benutzer
Mitglied seit
12. Mrz 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Selber zu doof. Deswegen frage ich Euch :)

Moin! Ich hänge mich hier mal mit rein. Mein Zertifikati ist bereits abgelaufen. Habe aber ein vielleicht ähnliches Problem und bin schon am verzweifeln. In der Fritzbox und in DSM sind jeweils die Ports 80 und 443 freigeschaltet. Scheinbar kann die DS aber keine Verbindung zu den LetsEncrypt-Servern aufbauen.
Habe es mal über SSH probiert und bekomme dort eine ähnliche Fehlermeldung.

Befehl war als root
Rich (BBCode):
syno-letsencrypt new-cert -d domain.de -m mail@domain.de -vv

Folgende Debug-Ausgabe habe ich erhalten
Rich (BBCode):
DEBUG: ==== start to new cert ====
DEBUG: Server: https://acme-v01.api.letsencrypt.org/directory
DEBUG: Email: mail@domain.de
DEBUG: Domain: @domain.de
DEBUG: ==========================
DEBUG: setup acme url https://acme-v01.api.letsencrypt.org/directory
DEBUG: szUserAgent: [synology_blablabla]
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/directory
{"error":100,"file":"client_network.cpp","msg":"Server is not reachable."}

Habe dann auch mal versucht den Server anzupingen.
Befehl war:
Rich (BBCode):
ping -c5 acme-v01.api.letsencrypt.org

Ergebnis
Rich (BBCode):
ping: acme-v01.api.letsencrypt.org: Temporary failure in name reolution

Über CMD auf Windows war die Domain erreichbar.

Vielleicht hat ja jemand eine Idee.
Beste Grüße

Edit:
- Das Zertifikat wurde widererwartend nicht automatisch verlängert. Übergangsweise habe ich selbstunterzeichnetes Zertifikat, um das LS-Z löschen zu können. (Wollte mögliche Fehlerquellen ausschließen)
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Standard-Gateway und DNS-Server auf der DS richtig eingestellt?
 

Joon

Benutzer
Mitglied seit
12. Mrz 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Ich hoffe! :-D

Standard-Gateway 192.168.10.1 (IP des routers)
DNS-Server ist ebenfalls der Router. Probiere stumpf mal den google DNS.

DNS-Server in 8.8.8.8 geändert. Führt zu keinem Erfolg.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wenn du eh schon auf der SSH unterwegs bist kannst ja mal probieren:

Code:
nslookup acme-v01.api.letsencrypt.org
oder
Code:
nslookup acme-v01.api.letsencrypt.org 1.1.1.1
oder einen anderen DNS Server hinten anhängen den er befragen soll.

Dann sieht man ja, ob es intern oder extern ein Netzwerkproblem ist.
 

Joon

Benutzer
Mitglied seit
12. Mrz 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Code:
nslookup acme-v01.api.letsencrypt.org
führt immer zu (egal welche Domain aufgelöst werden soll)
Rich (BBCode):
;; connection timed out; no servers could be reached

Code:
nslookup acme-v01.api.letsencrypt.org 1.1.1.1
führt zu
Rich (BBCode):
Server:         1.1.1.1 **8.8.8.8 und 192.168.10.1 funktioniert auch**
Address:        1.1.1.1#53

Non-authoritative answer:
acme-v01.api.letsencrypt.org    canonical name = api.letsencrypt.org-ng.edgekey.net.
api.letsencrypt.org-ng.edgekey.net      canonical name = e14990.dscx.akamaiedge.net.
Name:   e14990.dscx.akamaiedge.net
Address: 104.111.246.175 **bzw. leicht abweichende IP über andere DNS**

Ersetze mal den DNS im Router.
Nach ersetzen des DNS:
Code:
nslookup acme-v01.api.letsencrypt.org
führt weiterhin zu
Rich (BBCode):
;; connection timed out; no servers could be reached
 
Zuletzt bearbeitet:

Joon

Benutzer
Mitglied seit
12. Mrz 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Bin gerade etwas hintenrüber gefallen. Hatte bis vor ein paar Wochen 192.168.178.0/24 als IP-Bereich. Entsprechend war der DNS 192.168.178.1. Nun war dieser ab 192.168.10.1. Zwischenzeitig wurde der DNS manuell eingetragen (192.168.178.1). Dann wurde der Haken auf automatisch beziehen geändert. Das hat DSM auch kapiert und fortan 192.168.10.1 verwendet, aber scheinbar irgendwoch noch 192.168.178.1 stehen gelassen. Nun nochmal auf "manuell" geschaltet, 192.168.10.1 eingetragen. "Manuell" deaktiviert. Zertifikat beantragt und fertig. Naja... Das Problem sitzt halt meisten davor.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat