Toggle sidebar

Lets Encrypt Zertifikate über acme.sh

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Benares schrieb:
Kannst ja mal probieren und berichten. Vergiss nicht, SYNO_CERTIFICATE in deinem 2. Code-Block noch anzupassen oder wegzulassen.
Zum Vergrößern anklicken....
Danke für diesen Hinweis...

Also ich würde mal sagen, dass wenn man den Deploy-Script-Durchlauf über alle NAS so gestaltet, dass der letzte Deploy in der Reihe nochmal auf die Haupt-NAS geht, dann merkt sich das eigentliche Acme Skript die Haupt-NAS als die Letzte und kommt bei der nächsten Zertifikatserneuerung auch nicht ins straucheln, wo das Zertifikat das erste Mal abgelegt wird.

Hab es gerade getestet, in den relevanten Dateien account.conf und meinedomain.info_ecc/meinedomain.info.conf bleibt die DS720plus stehen (Datum der Datei wird geändert = wird durch das Acme-Skript benutzt).

acme_deploy_all_nas.sh
Code: 
#!/bin/sh
export DOMAIN=meinedomain.info
export SYNO_CERTIFICATE="Let's Encrypt $DOMAIN"
echo "Deploying $DOMAIN ..."
export SYNO_HOSTNAME="DS214"
echo "Deploying $SYNO_CERTIFICATE to $SYNO_HOSTNAME ..."
acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm
export SYNO_HOSTNAME="DS720plus"
echo "Deploying $SYNO_CERTIFICATE to $SYNO_HOSTNAME ..."
acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm

Aus der Konsole des Container:
Bash: 
/ # /acme.sh/acme_deploy_all_nas.sh                                        
Deploying meinedomain.info ...                                                
Deploying Let's Encrypt meinedomain.info to DS214 ...                        
[Sat Jul 12 11:38:48 UTC 2025] The domain 'meinedomain.info' seems to already have a
n ECC cert, let's use it.                                                  
[Sat Jul 12 11:38:49 UTC 2025] Logging into DS214:5000...                  
[Sat Jul 12 11:38:51 UTC 2025] Getting certificates in Synology DSM...      
[Sat Jul 12 11:38:51 UTC 2025] Generating form POST request...              
[Sat Jul 12 11:38:51 UTC 2025] Upload certificate to the Synology DSM.      
[Sat Jul 12 11:38:52 UTC 2025] Restart HTTP services failed.                
[Sat Jul 12 11:38:52 UTC 2025] Success                                      
Deploying Let's Encrypt meinedomain.info to DS720plus ...                    
[Sat Jul 12 11:38:52 UTC 2025] The domain 'meinedomain.info' seems to already have a
n ECC cert, let's use it.                                                  
[Sat Jul 12 11:38:52 UTC 2025] Logging into DS720plus:5000...              
[Sat Jul 12 11:38:53 UTC 2025] Getting certificates in Synology DSM...      
[Sat Jul 12 11:38:53 UTC 2025] Generating form POST request...              
[Sat Jul 12 11:38:53 UTC 2025] Upload certificate to the Synology DSM.      
[Sat Jul 12 11:38:54 UTC 2025] Restart HTTP services failed.                
[Sat Jul 12 11:38:54 UTC 2025] Success                                      
/ #

Da das Acme Script immer um 01:29 seine Arbeit verrichtet (scheint hard kodiert zu sein), lasse ich das Deploy Script über alle NAS immer um 01:45 seine Arbeit machen. Ich denke mal deployen kann man das Zertifikat zur den DSen ja so oft man will, ohne dass es zu Problemen kommt. Oder?

Will nur nicht permanent die Zertifikatserneuerung forcen (lassen), weil nach ein paar Versuchen der Let's Encrypt Server seinen Dienst für eine gewisse Zeit verweigert. Außerdem wird ja jede Zertifikatserneuerung öffentlich für jeden protokolliert -> https://crt.sh :cool:

Bin mal gespannt... es soll ja ein System sein, das funzt und man es im Zweifel für nähere Zukunft einfach aus dem Kopf streichen kann.


Einzig über diese Zeile bin ich verwundert - Ist das ein Problem?
[Sat Jul 12 11:38:54 UTC 2025] Restart HTTP services failed.
[Sat Jul 12 11:38:54 UTC 2025] Success
 
Zuletzt bearbeitet:
senderversteller schrieb:
Einzig über diese Zeile bin ich verwundert - Ist das ein Problem?
[Sat Jul 12 11:38:54 UTC 2025] Restart HTTP services failed.
Zum Vergrößern anklicken....
Nein, ist kein Problem. Der HTTP-Service liefert auch ohne Neustart das neue Cert aus.
Das kann man so machen. Denk dran, dass die Zertifikate 3 Monate gültig sind und 1 Monat vor Ablauf aktualisiert werden. Es macht also nichts, wenn der Deploy nach einen Renew nicht zeitnah erfolgt, man hat einen Monat Zeit. Man muss ja nicht übertreiben.
Verlass dich nicht auf die Uhrzeit des internen acme.sh-Laufs, die wird wohl ausgewürfelt und ändert sich nach jedem Update.
 
  • Like
Reaktionen: senderversteller
Benares schrieb:
Denk dran, dass die Zertifikate 3 Monate gültig sind und 1 Monat vor Ablauf aktualisiert werden. Es macht also nichts, wenn der Deploy nach einen Renew nicht zeitnah erfolgt, man hat einen Monat Zeit. Man muss ja nicht übertreiben.
Zum Vergrößern anklicken....
Da hast du Recht, daran habe ich auch vorhin gedacht. Es würde reichen das eigene Skript alle drei Wochen durchlaufen zu lassen und trotzdem auf allen Schwester-NAS:en (noch) gültige Certs zu haben; müssen ja nicht alle identisch sein.
 
  • Like
Reaktionen: Benares

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten