Wie LetsEncrypt Zertifikat automatisieren ?

[Hein06]

Guten Morgen
Ich habe eine DS423+ mit Adguard und unbound und DDNS ...synology.me und Zertifikat wie von plang.pl beschrieben. Funktioniert problemlos.
Außerdem habe ich für Synology Photos schon länger eine Subdomain aa.domain.de von Strato . Bei Cname ist der DDNS von synology oder auch myfritznet eingetragen. In der Fritzbox ist eine Portweiterleitung für Port 443 zur DS 423+ eingerichtet. Um das LetsEncrypt Zertifikat zu erstellen oder zu erneuern muss in der Fritzbox zusätzlich Port 80 weiterleiten und die Firewall der DS 423+ ausschalten. Nach der Erneuerung Firewall wieder einschalten und Port 80 in der Fritzbox wieder löschen.
Ich habe einiges über acme gelesen, bin mir aber nicht sicher ob das mit Strato funktioniert. Oder muss ich den DDNS von Synology oder myfritz angeben ?

 

[Annika Hansen]

Wenn es nur darum geht LetsEncrypt Zertifikate automatisiert und regelmässig zu erneuern, dann reicht es aus im Aufgabenplaner eine Aufgabe einzurichten, die das für Dich erledigt. Dazu den Aufgabenplaner starten, dann "Erstellen > Geplante Aufgabe > Benutzerdefiniertes Skript" auswählen und folgende Eingaben in den drei Reitern machen:

- Allgemein: Name Deiner Wahl und als Benutzer "root" wählen
- Zeitplan: z.B. jeden 15. eines Monats
- Aufgabeneinstellungen: Unter Benutzerdefiniertes Sktipt folgendes eingeben: /usr/syno/sbin/syno-letsencrypt renew-all

Das war's dann schon, Du kannst dann noch auswählen ob Du eine Benachrichtung per eMail erhalten möchtest.

 

[Hein06]

Es geht nicht um das Zertifikat für xy.synology.me, das erneuert sich automatisch.
Für die Zertifikatserneuerung für aa.domain.de (Synology Photo) bei Strato muss ich eine Portweiterleitung für Port 80 in der Fritzbox aktivieren und die Firewall in der DS deaktivieren und nach der Erneuerung Port 80 wieder deaktivieren und die DS Firewall wieder aktivieren. (Methode http-01). Deshalb suche ich eine Lösung mit acme oder ähnlich, die eventuell im Docker als Container läuft. Dort könnte dann Methode DNS-01 funktionieren , das heißt ich brauche keinen Port 80 in der Fritzbox und muss meine Firewall nicht abschalten. Ich kenne mich aber mit acme und Co nicht gut aus. Deshalb die Frage ob das so geht und wie ich das machen muss.

 

[Annika Hansen]

Du schreibst im Titel des Threads "Wie LetsEncrypt Zertifikat automatisieren ?" ... das ist dann ein wenig irreführend.

 

[Kachelkaiser]

Hier gibt es bereits einen Thread dafür

https://www.synology-forum.de/threads/acme-sh-mit-strato.127385/

 

[Hein06]

Danke für den Link
Ich habe es gelesen , habe aber noch nicht alles verstanden.

 

[adm105]

Ich hol das Thema noch einmal hoch, weil die Antwort von Annika Hansen so nicht funktioniert. Es muss vorübergehend Port 80 an der FB geöffnet werden. Hat jemand das komplette Script für DS 7.22 im Einsatz?

 

[w00dcu11er]

Bitte beschreibe, was genau nicht funktioniert und was du davor gemacht hast?
"so nicht funktioniert" ist kein Fehlerbild an und für sich.
Wie weit bist du? Was hast du versucht?
Welches System und welche Version?
Port 80 geöffnet und das funktioniert nicht?

 

[adm105]

Nun, der Beitrag suggeriert, dass die Zeile "/usr/syno/sbin/syno-letsencrypt renew-all" im Aufgabenplaner ausreicht, um den Vorgang anzustoßen. Das ist so leider nicht der Fall, weil dafür der Port 80 in der FB (6591C) geöffnet und wieder geschlossen werden muss. Mich interessiert, wie das komplette Script lautet.
DSM Version 7.22 -72806 Version 3

 

[Caramlo]

Ich habe acme in einem Docker Container laufen und nutze die DNS-01 Methode. Vorteil: Es müssen keine Ports für die Erstellung des Zertifikats geöffnet werden. Läuft seit über einem Jahr vollautomatisch mit Renewal des Zertifikates.
Hier ist eine gute Anleitung, nach der ich auch vorgegangen bin:
https://www.christosgeo.com/2022/02/03/renew-lets-encrypt-certificates-on-synology-using-acme-sh/