Toggle sidebar

DSM 6.x und darunter Lets Encrypt Zertifikat lässt sich nicht ausstellen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
N

Noisekiller

Benutzer
Registriert
20. Feb. 2014
Beiträge
50
Reaktionspunkte
0
Punkte
6
Hallo,

ich versuche gerade ein Lets Encrypt Zertifikat zu erstellen leider ohne Erfolg. Der Port 80 ist in der FritzBox freigegeben und auf die Diskstation weitergeleitet.

Im DSM Assistenten gebe ich folgende Daten ein:
Domainname: server.meinedomain.com (Strato Domain mit aktivem DDNS, funktioniert auch schon jedoch noch mit Zertifikatswarnung)
E-Mail: meineadresse@gmail.com
Alternativer Name: [leer]

Es erscheint danach der Fehler "Vorgang fehlgeschlagen. Bitte melden Sie sich erneut unter DSM an..."

Die Firewall in der Diskstation habe ich schon deaktiviert, trotzdem kommt der gleich Fehler.
Habe eine DS415+ mit aktuellem DSM 6.1.1-15101-4

Kann mir bitte jemand helfen?
 
Danke aber das hilft mir leider nicht weiter. Den Port 80 TCP habe ich für die Synology ja bereits freigegeben.
 
na da gibts schon noch ein wenig mehr wie zB Port 443, wenn du richtig gelesen hättest!
 
443 ist ebenfalls freigegeben bzw. auf 5001 umgeleitet, damit ich ohne Porteingabe auf die DSM Weboberfläche komme.
 
Vielleicht möchtest du ja mal mit Hochladen der Zertifikate probieren?

Zertifikat aus Strato runterladen (Menüpunkt Sicherheit und dann SSL oder so ähnliches) und in DS auf "manuell hinfügen" (so genau weiß ich nimmer - ist aber klar ersichtlich, dass man da hochladen muss). und ja dort die zwei Dateien (CRT und KEY) entsprechend hochladen.
 
@TeXniXo - seit wann kann man denn LE-Zertifikate von Strato runterladen? Wäre mir neu.
Mit den LE Zertifikaten die man sich von der DS ausstellen läßt hat das auch nix zu tun.

@Noisekiller - Hast du mal testweise probiert 80/443 einfach als 80/443 an die DS weiterzuleiten (könnte mir vorstellen, dass dieses 443 > 5001 Konstrukt ein problem ist)?
 
Ist auch die WebStation installiert und aktiviert? Ich glaube, das war noch eine Voraussetzung.
Zudem war auch bei mir das Problem, dass dyndns auf www.domain.de ging. Somit habe ich bei domain www.domain.de eintragen müssen und server.domain.de;server1.domain.de dann bei alternativer Name.
 
@blinddark - die Web Station ist keine Voraussetzung. Der System Webserver sollte alle Rückantworten die /.well-known/acme-challenge im Pfad beinhalten an den LE-Client ausliefern.
Welche Domain man als "Haupteintrag" nimmt und welche, wenn mehrere gewünscht als SAN (subject alternate name) sollte (eigentlich) keine Rolle spielen, solange alle gewählten Domains existieren und auf die DS aufgelöst werden.
 
Keine Umleitung auf 5001 einrichten. 80 und 443 müssen im direkten Zugriff sein für die Zeit, wo das Zertifikat beantragt wird. Das heisst also Firewall kurz auschalten.
Desweiteren muss in der der Systemsteuerung unter DSM der Name eingetragen werden, unter dem die Station über das Web angesprochen wird, also die komplette subdomain.
Der Webserver muss definitiv NICHT laufen!

Was das Standard Zertifikat von Strato angeht, das lässt sich nur in Strato nutzen, nicht in subdomains oder auf anderen Web-Servern!
 
So, das Problem ist nun gelöst. Es lag an der Synology Firewall. Ich habe dort folgende Regeln konfiguriert:
1. Alle Ports/Protokolle für internen IP-Bereich erlauben
2. Alle Ports/Protokolle für deutsche IP-Adressen erlauben
3. Alle Ports/Protokolle für alle IP Adressen blockieren

So zwischen 2 und 3 lag nun der Fehler, da Let's Encrypt wohl die DS nicht mit einer deutschen IP kontaktiert. Also habe ich eine zusätzliche Regel erstellt, dass TCP Port 80 für alle Länder erlaubt ist. Erst danach kommt die Regel alles blockieren.

Und ja, ich nutze auch die FIrewall meines Routers, da sind nur die benötigten Ports geöffnet. Die Synology Firewall dient quasi nur dazu ausländische Sachen zu blockieren was mit der Firewall des Routers nicht möglich ist.

Danke an alle Antworten!
 
NSFH schrieb:
Desweiteren muss in der der Systemsteuerung unter DSM der Name eingetragen werden, unter dem die Station über das Web angesprochen wird, also die komplette subdomain.
Zum Vergrößern anklicken....

Wo genau muss der Name eingetragen werden? Habe das gleiche Problem wie der TE aber einen Menüeintrag "DSM" finde ich in der Systemsteuerung nicht..
Ports 80 und 443 sind in der Router FIrewall weitergeleitet. Synology FW ist aus.
Fehlermeldung ist das LE nicht erreichbar ist, bzw. die vom TE genannte Fehlermeldung.

DSM 6.2.1-23824 Update 4
 
Hab leider aktuell auch Probleme mit der Erneuerung meines Let's Encrypt Zertifikats. Die Prozedur klappt seit Jahren alle drei Monate, aber aktuell bricht DSM immer ab mit der Meldung "Vorgang fehlgeschlagen. Bitte melden Sie sich erneut an."

Die grundsätzliche Einrichtung war problemlos gemäß z.B. dieser Anleitung.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten