DSM 6.x und darunter Let's Encrypt Zertifikat: Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM

[SomeUser123d]

Hallo an alle!

Ich möchte ein Let's Encrypt Zertifikat für meine NAS haben. Dazu habe ich schon folgendes getan:

• Port 80 / 443 im Router freigeschaltet
• WebStation installiert
• Firewall deaktiviert
• curl http://nas.domain.com funktioniert. Siehe hier: https://paste.ee/p/ZmpWj
• curl https://nas.domain.com funktioniert (aber halt das Standardzertifikat von Synology). Siehe hier: https://paste.ee/p/sKr8B
• Eigene Domain (domain.com)

Allerdings kann ich irgendwie immer noch kein Let's Encrypt Zertifikat erstellen. Zum debuggen habe ich folgendes mal auf der Kommandozeile ausgeführt:

root@mynas:~# syno-letsencrypt new-cert -d nas.domain.com -m mail@domain.com -vv

[...]
DEBUG: Curl Reply: [403][HTTP/1.1 100 Continue
Expires: Wed, 10 Aug 2016 20:57:25 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache

HTTP/1.1 403 Forbidden
Server: nginx
Content-Type: application/problem+json
Content-Length: 168
Boulder-Request-Id: kk9VDDDCew0CzsF5SRFASDFFF1C8Gw7QQlIc
Boulder-Requester: 1234561
Replay-Nonce: SASDMGr5BM7xh_kkkm1BK-ASDDDF94laand6ef8
Expires: Wed, 10 Aug 2016 20:57:25 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Wed, 10 Aug 2016 20:57:25 GMT
Connection: close

{
  "type": "urn:acme:error:unauthorized",
  "detail": "Error creating new cert :: Authorizations for these names not found or expired: nas.domain.com",
  "status": 403
}]
{ "error": 200, "msg": "new-cert: Unexpect httpcode. (new-cert)", "file": "client.cpp:575"}

Ist das Problem bekannt?

 

[yosemite]

Das Einbinden eines LE-Zertifikats geht ja seit der DSM 6.0 relativ einfach. Erhälst Du die gleiche Fehlermeldung, wenn Du das Zertifikat über den dafür vorgesehen Dialog im DSM abforderst?

 

[SomeUser123d]

Hallo yosemite,

Erhälst Du die gleiche Fehlermeldung, wenn Du das Zertifikat über den dafür vorgesehen Dialog im DSM abforderst?

Ja. Die Fehlermeldung ist natürlich unterschiedlich aber ich vermute dass die Ursache die gleiche ist.

Hier Screenshots vom Vorgang:
Bild "1whkx7.png" anzeigen.
Bild "2c0ksz.png" anzeigen.
Bild "37djp6.png" anzeigen.
Bild "4rij28.png" anzeigen.

 

[SomeUser123d]

Gelöst!

Ich bin bei Kabeldeutschland und habe jetzt den Bridgemodus aktiviert. Dadurch wird der Router von KD (cbn) zum Modem. Meinen eigenen Router habe ich dahinter gehängt und dann klappte das mit der Portfreischaltung auch. Leider habe ich jetzt durch den Bridgemodus keine IPv6 mehr sondern nur eine IPv4. Über tunnelbroker.net habe ich mir dann aber noch eine IPv6 geholt (6in4).

 

[heavy]

Schön dass es bei dir jetzt klappt, aber dein IPv6 Problem finde ich persönlich lustig, denn eigentlich haben die Leute dieses eher andersherum, weil sie mit einer v6 nicht mehr per Händy auf die DS kommen.

 

[Banesh]

Ich habe genau das gleiche Problem. Ich bekommen die gleichen Fehlermeldungen.
Meine Domain ist jedoch definitiv über Port 80 und 443 von außen zu erreichen, auch mit dem NAS und dem curl Befehl.

Ich nutze kein Kabel Deutschland, und auch kein Kabelmodem/-router. Mein Provider heißt Martens Deutsche Telekabel (Primacom). Ich habe dabei eine normale Fritzbox nicht über DSL, sondern direkt über ein LAN Port laufen. Also vielleicht nicht ganz vergleichbar.

Mir ist nicht ganz klar inwieweit das mit dem Bridgemode einen Einfluss auf die Zertifikataustellung hat. Das NAS ist ja von außen erreichbar! Kann mir das vielleicht einer erklären? Vielleicht verhindert ein ähnlicher Mechanismus die Zertifikataustellung bei mir?
Ich hab absolut keine Ahnung mehr was ich noch machen könnte.

 

[fteheesen]

Ich habe gerade dasselbe Problem. Ist inzwischen eine Lösung für das Zertifikatsproblem bekannt?

 

[Fusion]

Es gibt kein allgmeines Zertifikatsproblem, nur unterschiedliche Konfigurationen und Netzwerk-Aufbauten und Internetanschlüsse die hier manchmal quer schiessen.

Bridge-Mode leitet alle Traffic direkt an den dahinter liegenden Router.
Im Router-Mode gibt es eine weitere NAT Instanz zwischen Internet und LAN.
je nach Gerät kann man keine Portweiterleitung einstellen, oder man hat eine Router-Kaskade muss mehrfache Weiterleitungen bauen.
Oder man hängt an DS-Lite und hat überhaupt keine direkte Erreichbarkeit (außer via IPv6) von außen.
Die Möglichkeiten sind vielfältig.

Ohne detaillierte Angaben zum jeweiligen Setup/Netzwerk/Anschluß kann man da nicht viel sagen, außer "Lass mal in der Glaskugel lesen".

 

[fteheesen]

Danke für die Aufklärung, aber ich habe ein "normales Szenario":
-FRITZ!box als DSL-/Internet-Router
-DiskStation per LAN angeschlossen
-Port-Forwarding in FRITZ!box für Ports 80 und 443 auf die DiskStation konfiguriert und per Handy via LTE-Netz getestet, dass sich jeweils auch der Webserver der DiskStation meldet.

So weit so gut.

Aber sobald ich versuche, ein Let's Encrypt Zertifikat zu beantragen bekomme ich folgende Fehlermeldung: "Verbindung zu Let's Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf Ihrer DiskStation und Ihrem Router Port 80 für Internet-Domainprüfung durch Let's Encrypt geöffnet ist."

Ich habe allerdings keine eigene Domain sondern nutze den Domainnamen eines DynDNS-Providers (ausprobiert mit dynv6.net und myfritz.net).
Liegt es vielleicht daran?

 

[Fusion]

Für dynDNS ist Lets Encrypt die einzige Möglichkeit überhaupt von offiziellen CA ausgestellte Zertifikate zu bekommen.
Das ist also kein prinzipielles Problem. Allerdings gibt es hier ab und an (in letzter Zeit z.B. gefühlt sehr oft Probleme mit selfhost.eu Domains).
Für dynv6 (und spdns) welche ich selbst auch nutze ist mir noch nichts derartiges zu Ohren gekommen bis jetzt.

Ansonsten wäre noch eine Möglichkeit mit IPv4/IPv6, dass hier noch im Netzwerk/Provider-Setup was zu finden wäre.
Du darfst mir gern per PN deine dynDNS schicken, dann würde ich mal kurz von hier aus ein wenig ausleuchten, ob mir direkt was ins Auge springt.

 

[NSFH]

In einigen Fällen hat es geholfen das uU parallel laufende IP V6 im Router und auch in der Syno abzuschalten!
Ich habe eine RS815+, die ich sogar direkt am Router auf einer festen IP laufen hatte, Firewall der Syno aus und habe trotzdem nie ein LE Cert bekommen, auch immer mit obiger Fehlermeldung.
Auf der 916+ hat es dagegen auf Anhieb funktioniert.
Keine Ahnung, warum mal geht und warum nicht, trotz identischer Konfiguration.
Auf der 815+ läuft jetzt ein Comodo Zertifikat. Das hat für 3 Jahre 32€ gekostet und ich habe Ruhe!

 

[fteheesen]

Ich konnte bei folgenden dynDNS-Providern kein LE-Zertifikat erstellen (Fehlermeldung: "Verbindung zu Let's Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf ihrer DiskStation und Ihrem Router Port 80 ..."):
-dynv6.net
-myfritz.net

Nachdem ich dynDNS auf "synology.me" umgestellt hatte, lies sich ein LE-Zertifikat problemlos erstellen.

 

[Fusion]

Hab mir grad mal für sub.dynv6.net ein LE geholt ohne Probleme. Daran alleine kann es also nicht liegen.

 

[FotografierBahr]

Hatte auch das Problem . . .
Hat sich bei mir folgendermaßen gelöst.
Auf dem Router die Umleitung auf https aus und rein über Port 80. Kurzfristige Freigabe auch in der Firewall der DS.
Anmelden auf der DS von Extern ... d.h. nicht lokal sondern über das Web
Dann hat das einwandfrei funktioniert ....

Wenn das Zertifikat erstellt ist, kann man die Schotten wieder dicht machen

LG Dieter

 

[Kugelblitz]

hatte auch das gleiche problem.

Habe die Schritte von FotografierBahr und NSFH ausprobiert.

Geklappt hat es letztendlich mit der Angabe einer anderen E-Mail Adresse.

 

[stesoell]

Tach Zusammen,

für die Nachwelt ;-)

"Betreff Alternativer Name" bleibt leer, dann klappt es auch mit dem Zertifikat ....

 

[Fettgriffel]

Seit August 2017 habe ich das gleiche Problem, es erfolgt kein automatisches Zertifikats-Renewal mehr und ein manuelles Ersetzen desselben schlägt auch permanent fehl mit den Meldungen:

- Vorgang fehlgeschlagen, ich soll mich erneut an der DSM anmelden und es wieder versuchen
- Fehler beim Kontaktieren von Let's Encrypt, ich soll den Domain-Name prüfen

Ich habe einen stinknormalen DE-Domainnamen registiert, über diesen auch die ersten Zertifikatsausstellungen Anfang 2017 funktioniert haben. Folgende Eckpunkte:

- DS-Firewall wurde für den Request deaktiviert
- Website auf der DS ist über Port 80 + 443 definitiv erreichbar (Test aus dem WAN)
- Habe beide Freigaben in der Fritzbox gelöscht und wieder eingerichtet
- IPv6 ist in der Fritzbox sowie in der DS komplett deaktiviert
- Fritzbox + DS wurden rebootet
- gemäß Forentipp habe ich auch einmal eine andere Email-Adresse angegeben, was aber lediglich zu einer längeren Antwortdauer der Fehlermeldung führt
- Alternative Domainnamen kann ich nicht weglassen, da ich diese benötige

Die Kaskade sieht bei mir so aus:
- Kabelanschluss von Unitymedia
- Originales IPv4, kein DS Lite
- Reines Kabelmodem ohne Routerfunktionalität
- Dahinter eine Fritzbox 7490
- Über einen weiteren Switch ist dann die DS angeschlossen

Aus den Forenbeiträgen ist zu ersehen, dass die erfolgreiche Zertifikatsausstellung scheinbar auch davon abhängen kann, welchen Desktophintergrund man ausgewählt hat oder was der Admin an diesem Tag zu essen hatte - es kann einfach keinerlei Ursache festgemacht werden. Wie es aussieht, bietet LE keine Zertifikate (zumindest für DE-Domains) mehr an. Traurigerweise wird man darüber nirgends informiert und findet auch keine News dazu auf deren Seite. Ist jemandem eventuell bekannt, ob es anderweitige, funktionierende kostenlose Zertifizierungsstellen gibt oder solche geplant sind?

"Was nichts kostet ist nichts wert" bestätigt sich eben immer wieder, obwohl der Ansatz ja auf jeden Fall positiv zu bewerten ist ...

Sofern jemand doch noch einen Tipp für diese zeitraubende Thematik hat, nehme ich ihn gerne und dankbar an. Vielleicht schafft es ja die Admin-Gemeinde, die Missstände von LE oder Synology zu kompensieren ...

Viele Grüße,
FG

 

[Fusion]

Zu den letzten drei Absätzen... na ja.

Lets Encrypt ist kostenlos und funktioniert. certbot, acme-protokoll und andere Clients laufen wunderbar. Es gibt auch keine Restriktion von DE oder andere Domains.
Habe jedenfalls erst vor einer Woche wieder neue Zertifikate für neue .de, .net und .me Domains geholt.
Über was man sich gerne aufregen darf ist die Implementierung von Synology und das mangelhaft bis nicht vorhandene Fehlerreporting in der GUI, auf der Konsole etwas besser.

Funktioniert es denn, wenn du nur den Haupteintrag für eine Domain ala domain.de oder sub.domain.de nimmst?
Wie viele Alternative Names brauchst du denn?
Wenn das weniger als zwei Hand voll sind würde ich dann eben einzelen Zertifikate holen, wenn es so funktionieren würde.

 

[Fettgriffel]

Hi Fusion,

danke dir sehr für deinen Input! In der Tat hätte ich ggf. noch <Sarkasmus> taggen können, aber es ist vermutlich ohnehin offensichtlich ;-)

Der reine Cert-Request nur mit der Hauptdomain funktioniert völlig problemlos, gerade getestet! Die alternativen Domains sind auch erreichbar, daran liegt es nicht - ich kann's nicht nachvollziehen. Zum Glück ist das jetzt auch nicht von so enormer Bedeutung, aber ich hätte schon gerne gewusst, wo es nun hakt.

Danke nochmal! Falls es weitere Erkenntnisse gibt, bin ich dankbar für Mitteilungen

Lieber Gruß,
FG

 

[Fusion]

Und was hindert, außer das Prinzip, daran einfach mehrere Zertifikate zu holen?
Auf der Konsole klappt die Erneuerung, oder auch nicht?
Da würde man wenigstens mehr Info bekommen.

Bei mir klappt es zwar (mit einer Haupt und 3-5 Alternative names aktuell, anfangs hatte ich auch mal Haupt + 10-12 Alternatives, aber ich wollte es logischer besser getrennt haben), aber ich freue mich auch sollte Synology dann endlich die seit Januar erhältlichen Wildcards endlich implementieren.