Toggle sidebar

DSM 6.x und darunter Letsencrypt funktioniert nicht (mehr)

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
S

Sveeeeeeen

Benutzer
Registriert
21. Okt. 2019
Beiträge
3
Reaktionspunkte
0
Punkte
1
Hallo zusammen,

ich habe das Problem das ich keine LE Zertifikate bekommen kann. Ich erhalte nur den Fehler: Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist.
Der Domainname ist definitiv gütig. Port 443 und Port 80 gehen zur NAS. Das komische ist, ich habe bereits ein Zertifikat erstellt. Nun fehlt mir aber noch eine Subdomain und nun hauts nicht mehr hin.

Wenn ich /var/log/messages prüfe steht da folgendes:

Rich (BBCode): 
2019-10-21T20:22:36+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"Fetching http://meinedomain.tld/.well-known/acme-challenge/vKhj02LL4Q_bhs4KAzj6NNFtvnHtpO3DEgWmv5TTZZk: Connection refused"}
]
2019-10-21T20:22:37+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"do new auth by path: failed to do challenge."}
]
2019-10-21T20:22:37+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[26873]: certificate.cpp:973 syno-letsencrypt failed. 102 [Failed to new certificate.]
2019-10-21T20:22:37+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[26873]: certificate.cpp:1392 Failed to create Let'sEncrypt certificate. [102][Failed to new certificate.]
2019-10-21T20:30:43+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"Fetching http://meinedomain.tld/.well-known/acme-challenge/R5iLPLRCdLzIKzPBX57hxEGF__EBjW9Yz6rlpY_QNGQ: Connection refused"}
]
2019-10-21T20:30:45+02:00 nas1 syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"do new auth by path: failed to do challenge."}
]
2019-10-21T20:30:45+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[30524]: certificate.cpp:973 syno-letsencrypt failed. 102 [Failed to new certificate.]
2019-10-21T20:30:45+02:00 nas1 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[30524]: certificate.cpp:1392 Failed to create Let'sEncrypt certificate. [102][Failed to new certificate.]

Was mir auffält ist, das der Synology proxy auch ein "Connection Refused" auswirft, wenn ich Domains aufrufe die dort nicht hinterlegt sind.

Jemand ne idee?
 
Welcher Synology Proxy?
Und auf was soll der reagieren, wenn er es nicht kennt?

Jedenfalls spuckt das LE Log ja genau denselben Fehler aus.

Also erst mal schauen, dass ALLE Domains die du im Zertifikat hast per port 80, also http://sub.domain.de auch einwandfrei erreichbar sind von extern.
 
Fusion schrieb:
Welcher Synology Proxy?
Und auf was soll der reagieren, wenn er es nicht kennt?

Jedenfalls spuckt das LE Log ja genau denselben Fehler aus.

Also erst mal schauen, dass ALLE Domains die du im Zertifikat hast per port 80, also http://sub.domain.de auch einwandfrei erreichbar sind von extern.
Zum Vergrößern anklicken....

Systemsteuerung -> Anwendungsportal -> Reverseproxy

Ich will meine Domains nicht über Port 80 erreichen. Nur über SSL also 443. Das funktioniert auch.

Ich habe es eben getestet auch für Port 80 den Proxy anlegen. Dann geht es... wie verhindere ich nun das die Website nur über SSL läuft?
 
Die Domain muss aber für die Domain-Validierung (mindestens) bei der Erstausstellung per Port 80 erreichbar sein.

Wie verhindere ich, dass die Seite nur über SSL läuft? Hast dich verschrieben und meinst es anders herum?

Das hängt davon ab welche Dienste dort laufen und welche Fähigkeiten sie haben selbst auf SSL zu wechseln etc.
Oder den Proxy für port 80 nur alle 3 Monate für die Zertifikatserneuerung öffnen, oder
... hängt eben von den exakten Bedingungen ab.
 
Hätte ich einen nginx als proxy, hätte ich das einfach über die URL gemacht, nicht über eine spezifische Domain. Synology scheint das anders zu machen.

Ich meinte das die Webseiten nur über SSL erreichbar sind. Es handelt sich in allen fällen bisher um Docker Container, die selbst kein SSL anbieten bzw. nicht standard mit drin ist.

Wenn ich dich aber richtig verstehe, kann ich das wieder löschen, da nur bei der Erstaustellung Port 80 verwendet wird. Das wäre für mich OK. Ich plane nicht 100 neue Proxys anzulegen.

Danke für die Hilfe!
 
nginx geht auch, aber halt nicht über die GUI/DSM.

Mit HSTS sollten die Clients innerhalb von einem halben Jahr glaube direkt angehalten sein die Seite per SSL zu besuchen, wenn sie es einmal getan haben.
Ansonsten kenne ich keinen Weg direkt im reverse proxy dies immer zu garantieren.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten