Max. Zertifikatsanforderung erreicht - Let's Encrypt

[wjavixxassuj]

Hallo Zusammen,

jemand eine Idee wielange ich warten muss, bis ich mir ein neues Zertifikat für meine Domain erstellen kann?
Wollte mein Zertifikat verlängern, da es demnächst ausgelaufen wäre. Hat anfangs nicht geklappt und jetzt krieg ich keins mehr erstellt für die Domain die ich nutze.

Ist natürlich blöd, da meine ganzen Dienste nicht mehr per HTTPS erreichbar sind. Könnte einen anderen Dienst nehmen z.B. ChangeIP aber ich müsste dann alles rekonfigurieren, worauf ich ehrlich gesagt keine Lust habe.

Ports in der FritzBox sind offen (443 und 80). Externe IP ist per Ping erreichbar.

 

[luddi]

Die Zertifikate basieren auf LE. Schon einmal einen Blick in die Doku diesbezüglich geworfen?
Rate Limits - Let's Encrypt (letsencrypt.org)

 

[EDvonSchleck]

Wie schafft man das, wenn man nichts testet?

https://github.com/acmesh-official/acme.sh/wiki/CA
https://letsencrypt.org/docs/rate-limits/

Ich würde mir eher einmal acme.sh anschauen (hier mehrfach beschrieben und ein Wildcardzertifikat ausstellen. Offene Ports sind dazu noch nicht einmal nötig!

 

[wjavixxassuj]

Ich würde mir eher einmal acme.sh anschauen (hier mehrfach beschrieben und ein Wildcardzertifikat ausstellen. Offene Ports sind dazu noch nicht einmal nötig!

Die Ports schließe ich direkt nachdem ich das Zertifikat habe. Der Weg über die Synology GUI ist doch bequemer, warum dann mit acme.sh und SSH arbeiten?

Die Zertifikate basieren auf LE. Schon einmal einen Blick in die Doku diesbezüglich geworfen?

Nein, hatte ich vorher nicht gemacht.
Trotzdem verstehe ich nicht wielange ich jetzt gesperrt bin. 50 Zertifikatsanfragen habe ich nicht gestellt.

"Renewals are treated specially: they don’t count against your Certificates per Registered Domain limit, but they are subject to a Duplicate Certificate limit of 5 per week. Exceeding the Duplicate Certificate limit is reported with the error message too many certificates already issued for exact set of domains."

"The main limit is Certificates per Registered Domain (50 per week). A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com. In new.blog.example.co.uk, the registered domain is example.co.uk. We use the Public Suffix List to calculate the registered domain. Exceeding the Certificates Per Registered Domain limit is reported with the error message too many certificates already issued, possibly with additional details."

 

[EDvonSchleck]

Die Ports schließe ich direkt nachdem ich das Zertifikat habe. Der Weg über die Synology GUI ist doch bequemer, warum dann mit acme.sh und SSH arbeiten?

Weil du einfach in der GUI 3 Befehle eingibst und dich nicht mehr um das Zertifikat kümmern musst. Das macht alles acme.sh alleine und Ports werden auch nicht benötigt. Außerdem kannst du ein Wildcard-Zertifikat bekommen. Was an deiner Methode bequemer sein soll, verstehe ich nicht, SSH brauchst du dafür auch nicht - kannst du bequem über Docker machen.

 

[wjavixxassuj]

Weil du einfach in der GUI 3 Befehle eingibst und dich nicht mehr um das Zertifikat kümmern musst. Das macht alles acme.sh alleine und Ports werden auch nicht benötigt. Außerdem kannst du ein Wildcard-Zertifikat bekommen. Was an deiner Methode bequemer sein soll, verstehe ich nicht, SSH brauchst du dafür auch nicht - kannst du bequem über Docker machen.

Wenn ich mir die Github repo https://github.com/acmesh-official/acme.sh ansehe sind das aber keine 3 Befehle.

https://www.youtube.com/watch?v=Yxfx3jGAts8
https://www.youtube.com/watch?v=nFevBibMlaA

Bei Duckdns kann ich keine Wildcard für subdomains usw. hinterlegen. OTP macht bei der Zertifikatserstellung über SSH Probleme.

Kannst du mir mal erklären welche 3 Befehle du da absendest?

Update: Ich habe nicht gesehen das es acme als Docker Container gibt LOL
Ok, acme in docker installiert aber stürzt direkt nach Start ab. Ich brauche hier nochmal Input. Was genau muss ich machen?

 

[EDvonSchleck]

Wenn du die Brautsuche benutzt, solltest du etliche Threads zum Thema sehen, wo ich bereits etwas dazu geschrieben habe.
Auch einen mehrere Anleitungen habe ich bereits gepostet. z.B. hier lediglich den 2 & 3. Befahl, musst du anpassen (Domain & Anbieter)

Duckdns wird natürlich auch unterstützt.

Deine account.conf sollte folgende Einträge haben:

export DuckDNS_Token="aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
export SYNO_Username="AdminUser"
export SYNO_Password="AdminPasswort"

Deine 3 Befehle sollten im acme Docker Container (Terminal) so aussehen:

acme.sh --set-default-ca --server letsencrypt

acme.sh --insecure --issue --dns dns_duckdns -d mydomain.duckdns.org -d *.mydomain.duckdns.org --dnssleep 300

acme.sh --deploy -d mydomain.duckdns.org --deploy-hook synology_dsm

 

[wjavixxassuj]

@EDvonSchleck
das probiere ich gleich aus. Dann klappt es ggf. auch mit der Subdomain.

Es gibt ja noch die Möglichkeit auf der duckdns Webseite unter Routers Synology auszuwählen und dann einen DDNS in den Einstellungen der Synology "externer Zugriff" einzutragen. Ich kann auch ein Let's Encrypt Zertifikat erstellen, jedoch nur für die domain.duckdns.org nicht für *.duckdns.org. Let's Encrypt unterstützt hier für Subdomains lediglich die Synology DynDNS (was ich etwas schade finde).

 

[EDvonSchleck]

Wenn du ein Wildcard-Zertifikat hast, musst du keine Subdomain mehr zertifizieren. Alle Subdomains sind dort incl.
Über die Synology-GUI geht keine Wildcard (*.duckdns.org) acme.sh, Quickconnect oder Synology DNS können es aber

 

[wjavixxassuj]

Wie muss ich den acme.sh Docker Container konfigurieren?
Wenn ich den installierte und starte dann stürzt er direkt ab. Das ist noch die einzige Hürde die ich habe.
Ok, über den Aufgabenmanager hat geklappt. Ich tipper jetzt mal im Terminal rum.

Woran erkenne ich, dass ich ein Wildcardzertifikat erzeugt habe? Ich habe vorhin geschafft über SSH für domain.duckdns.org ein Zertifikat zu erzeugen, dass geht ja relativ einfach. Hatte dann aber Probleme weil ich folgende Fehlermeldung erhalten habe

[Sun Mar 19 21:19:00 CET 2023] oathtool could not be found, install oathtool to use SYNO_TOTP_SECRET
[Sun Mar 19 21:19:00 CET 2023] Error deploy for domain:domain.duckdns.org
[Sun Mar 19 21:19:00 CET 2023] Deploy error.

Habe bisher leider nicht herausfinden können wie ich das oathtool via SSH installiere. Hab dann 2FA deaktiviert, aber die Fehlermeldung ist geblieben.

Wenn du ein Wildcard-Zertifikat hast, musst du keine Subdomain mehr zertifizieren. Alle Subdomains sind dort incl.

ok, dass wäre natürlich richtig nice.

Über die Synology-GUI geht keine Wildcard (*.duckdns.org)

Genau, verstehe nicht warum das nicht geht. Sowas ist doch essenziell wichtig.

acme.sh, Quickconnect oder Synology DNS können es aber

Ja, die Synology Dienste können das. Acme.sh benötigt eben etwas mehr Aufwand damit es läuft.


Update:
Create new order error. Le_OrderFinalize not found. Domain Name domain.duckdns.org is redundant with a wildcard domain in the same request. Remove one or the other from the certificate request.

Komischerweise kann ich ins Terminal auch nichts eingeben. Bei anderen Containern schon.
Das Terminalfenster ist grau überlagert. Ne Idee?

 

[EDvonSchleck]

Wie muss ich den acme.sh Docker Container konfigurieren?
Wenn ich den installierte und starte dann stürzt er direkt ab. Das ist noch die einzige Hürde die ich habe.

Du kannst die Installation aus #7 (Link) nutzen und den Container automatisch erstellen lassen. Lediglich die account.conf musst du mit deinen Werten anlegen und füllen. Welche Werte es sein müssen, steht bereits in #7.

Woran erkenne ich, dass ich ein Wildcardzertifikat erzeugt habe? Ich habe vorhin geschafft über SSH für domain.duckdns.org ein Zertifikat zu erzeugen, dass geht ja relativ einfach. Hatte dann aber Probleme weil ich folgende Fehlermeldung erhalten habe

Das kannst du im Log (Docker Terminal) sehen. Dort müsste mydomain.duckdns.org und *.mydomain.duckdns.org eingetragen sein.

[Sun Mar 19 21:19:00 CET 2023] oathtool could not be found, install oathtool to use SYNO_TOTP_SECRET

Du hast 2FA für den Admin hinterlegt? Dann hast du 3 Möglichkeiten:
1. extra Admin anlegen und alle Rechte auf Anwendungen und Ordner entziehen ohne 2FA für diesem User deaktiviern
2. 2FA-Code in der account.conf mit SYNO_TOTP_SECRET="aaaa-bbbb-cccc-dddd" eintragen
3. eine Kombination aus 1&2

[Sun Mar 19 21:19:00 CET 2023] Error deploy for domain:domain.duckdns.org

Gib einfach deine Domain mit Wildcard oder nur Wildcard bei der Beantragung an: mydomain.duckdns.org *.mydomain.duckdns.org oder *.mydomain.duckdns.org. Die Subdomain lässt du denn weg! Du musst lediglich den Wert: mydomain ersetzen

[Sun Mar 19 21:19:00 CET 2023] Deploy error.

Fehler 2FA?

Habe bisher leider nicht herausfinden können wie ich das oathtool via SSH installiere. Hab dann 2FA deaktiviert, aber die Fehlermeldung ist geblieben.

Du musst nichts zusätzlich installieren!

ok, dass wäre natürlich richtig nice.

acme.sh aktualisiert das Zertifikat automatisch alle 60 Tage ab der Ausstellung automatisch und ohne Ports über die API.

Genau, verstehe nicht warum das nicht geht. Sowas ist doch essenziell wichtig.

Das liegt an Synology und ist scheinbar nicht gewünscht.

Ja, die Synology Dienste können das. Acme.sh benötigt eben etwas mehr Aufwand damit es läuft.

Na ja, 1 Config und 4 Befehle (incl. Installation) ist jetzt nicht unbedingt viel Arbeit. Dafür geht es alles automatisch und ohne Ports danach.
Das meiste mach der Container alleine und die Befehle kannst du mit c&p einsetzen.

 

[wjavixxassuj]

Muss ich hier irgendwas beim Mountpfad eintragen?

Irgendwie lassen sich die Befehle im Terminal nicht absenden / schreiben.

 

[EDvonSchleck]

Nein du musst nichts machen außer die Config in /docker/acme erstellen und im Container die 3 Befehle ausführen.
Den Befehl kannst du direkt eingeben (Erstellen > Mit Befehl starten):



oder über den Befehl sh als manuelle Eingabe:

Danach kannst du im Terminal den Code von Hand eintragen. Je nach Browser funktioniert auch c&p.


Bei Firefox kannst du es mit strg+a und danach strg+v ins Terminal kopieren. Bei Apple geht es direkt. Siehe auch den Button "Hotkey".

 

[wjavixxassuj]

Danke mit "sh" bei "mit Befehl starten" konnte ich jetzt ins Terminal was eintippen.

Hab auch alles gemäß deiner Anleitung gemacht.

Ich schicke folgenden Befehl ab:
acme.sh --issue --dns dns_duckdns -d domain.duckdns.org -d *.duckdns.org --dnssleep 300

[Sun Mar 19 23:31:12 UTC 2023] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Sun Mar 19 23:31:12 UTC 2023] Multi domain='DNS:domain.duckdns.org,DNS:*.domain.duckdns.org'
[Sun Mar 19 23:31:12 UTC 2023] Getting domain auth token for each domain
[Sun Mar 19 23:31:15 UTC 2023] Getting webroot for domain='domain.duckdns.org'
[Sun Mar 19 23:31:15 UTC 2023] Getting webroot for domain='*.domain.duckdns.org'
[Sun Mar 19 23:31:15 UTC 2023] Adding txt value: hNgyPadXmXF3lfxkK3BnI_1rz-oj_3TLW5rTIN1fi8Y for domain: _acme-challenge.domain.duckdns.org
[Sun Mar 19 23:31:15 UTC 2023] Trying to add TXT record
[Sun Mar 19 23:31:15 UTC 2023] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 3
[Sun Mar 19 23:31:15 UTC 2023] Errors happened during adding the TXT record, response=
[Sun Mar 19 23:31:15 UTC 2023] Error add txt for domain:_acme-challenge.domain.duckdns.org
[Sun Mar 19 23:31:15 UTC 2023] Please add '--debug' or '--log' to check more details.
[Sun Mar 19 23:31:15 UTC 2023] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

Gib einfach deine Domain mit Wildcard oder nur Wildcard bei der Beantragung an: mydomain.duckdns.org *.mydomain.duckdns.org oder *.mydomain.duckdns.org. Die Subdomain lässt du denn weg! Du musst lediglich den Wert: mydomain ersetzen

ich habe alle drei Varianten ausprobiert. Es kommt immer derselbe Fehler.
Bei duckdns habe ich eine DynDNS angelegt, die ist auch noch da (also nicht gelöscht o.ä.).

account.conf sieht wie folgt aus
export DuckDNS_Token="cdba120c-3a6d-4e7a-xxx"
export SYNO_Username="MeinBenutzername"
export SYNO_Password="MeinPasswort"

Update: übrigens muss ich nicht DuckDNS nutzen. Ich würde auch jeden anderen Dienst nehmen, hauptsache der Kram funktioniert. Scheint ja irgendwie ein Problem mit DuckDNS zu sein.

 

[EDvonSchleck]

Am einfachsten mit vielen Einstellungen funktioniert dynv6.com. Dieser Dienst kann auch mit der Fritz!Box upgedatet werden.
Alternativ eine eigene Domain für ca. 1,60 € im Angebot (ich denke zu Ostern). Bis dahin kannst du Dynv6 aber ohne Probleme einsetzen.

 

[EDvonSchleck]

Ich schicke folgenden Befehl ab:
acme.sh --issue --dns dns_duckdns -d domain.duckdns.org -d *.duckdns.org --dnssleep 300

acme.sh --issue --dns dns_duckdns -d domain.duckdns.org -d *.domain.duckdns.org --dnssleep 300

Die 300 Sekunden lässt du aber durchlaufen und brichst sie nicht ab?

 

[wjavixxassuj]

Da läuft nichts durch also kein Countdown o.ä.
Ich habe es auch teilweise ohne das dnssleep probiert, ohne Erfolg.

 

[luddi]

Ich schicke folgenden Befehl ab:
acme.sh --issue --dns dns_duckdns -d domain.duckdns.org -d *.duckdns.org --dnssleep 300

Ich stelle mir gerade folgende Frage.

Wie sollst du denn bitte ein wildcard Zertifikat für duckdns.org erstellen können? Du bist doch nicht der owner der Domain.
Siehe deinen Befehl -d *.duckdns.org

Wie @EDvonSchleck bereits im Beitrag #16 rot markiert hat das wildcard Zertifikat für deine Subdomain zu erstellen.
-d *.domain.duckdns.org

 

[wjavixxassuj]

@luddi
wir konnten das Problem gestern lösen, weil mir @EDvonSchleck bei einer Fernwartung geholfen hat. Fand ich super und hätte nicht mit so einer Hilfe gerechnet.

Wie sollst du denn bitte ein wildcard Zertifikat für duckdns.org erstellen können? Du bist doch nicht der owner der Domain.
Siehe deinen Befehl -d *.duckdns.org

Ich wollte keine Wildcard für duckdns.org haben. Für folgende DynDNS habe ich versucht ein Zertifikat zu erhalten:
domain.duckdns.org
*.domain.duckdns.org

Das größte Problem war, dass ich die account.conf in Notepad++ erstellt und dann auf die Synology übertragen habe. Wäre ich der Anleitung gefolgt und hätte die Datei im Texteditor auf der Synology erstellt, wäre ich nicht in diese Probleme geraten.

1. Docker Container per Aufgabenplanner erstellen (es muss nichts extra konfiguriert werden)

2. In der FritzBox die DynDNS von dynv6 eintragen


3. account.conf konfigurieren (***Erstellt unbedingt eure account.conf im Texteditor direkt auf der Synology***)

export DYNV6_TOKEN="DEIN TOKEN"
export SYNO_Port="PORT (VON HTTP ODER HTTPS)"
export SYNO_Scheme="HTTP ODER HTTPS"
export SYNO_Username="DEIN BENUTZERNAME"
export SYNO_Password="DEIN PASSWORT"
export SYNO_Create=1

4. Befehle abschicken

acme.sh --set-default-ca --server letsencrypt
acme.sh --issue --dns dns_dynv6 -d domain.dynv6.net -d *.domain.dynv6.net --dnssleep 300
acme.sh --deploy -d domain.dynv6.net --deploy-hook synology_dsm

Das wars. Danach sollte man in der Synology ein Zertifikat von dynv6 haben. Das arbeiten mit dynv6.net empfinde ich als angenehmer als mit den Synology Diensten oder DuckDNS. URLs vom Reverse Proxy angepasst und alle Dienste sind seitdem wieder erreichbar und per SSL verschlüsselt.

 

[luddi]

Das größte Problem war, dass ich die account.conf in Notepad++ erstellt

Das ist natürlich ärgerlich. Aber selbst Notepad beherrscht Unix „LF“ und kann entweder als Standard in den Einstellungen gesetzt werden oder im Editor unten rechts direkt für die jeweils geöffnete Datei geändert werden.
Windows CRLF nach Unix LF