Lets Encrypt Wildcard Zertifikat (ACME v2)

[luddi]

Werf doch mal einen Blick hier hinein...

Das key File musst du wohl anders konvertieren. Anstatt von x509 --> rsa

https://stackoverflow.com/questions/991758/how-to-get-pem-file-from-key-and-crt-files

--luddi

 

[seger85]

okay, man muss es "nur" umbenennen...

openssl rsa -in /volume1/DiskStation/Programme/5\ Backup/Synology\ Zertifikat/Wildcard/Beispieldomain.de/Beispieldomain.de.key -text > /volume1/DiskStation/Programme/5\ Backup/Synology\ Zertifikat/Wildcard/Beispieldomain.de/privkey.pem

Ich glaube ich habe es hinbekommen.... ich habe gerade die Dateien manuell kopiert und dann dein Skript ausgeführt, habe erst danach gesehen, dass es ja auch kopiert ... ich werde jetzt mal die ganzen schnipsel von deinem Code packen und morgen nochmal drauf klicken ... Zumindest hat es funktioniert und eine aktualisierte Verion ist in DSM .......

Ich glaube du hast es geschafft. Ich poste morgen nochmal deinen gesamten Code, sodass auch andere es ohne jegliche Installationen auch auf der DSM nutzen können.

 

[luddi]

Zunächst bin ich ja froh dass du es hinbekommen hast. Ich gratuliere!

[...] und dann dein Skript ausgeführt, habe erst danach gesehen, dass es ja auch kopiert [...]

Hierzu muss ich sagen, hättest du mein Skript in Ruhe durchgeschaut (was man eigentlich macht bevor man etwas blind ausführt) und vor allem die Kommentare durchgelesen, dann wüsstest du genau was das Skript Schritt für Schritt macht. Die Kommentare habe ich nicht umsonst eingefügt. Es ist nämlich oft schwer die einzelnen Codezeilen nachzuvollziehen, selbst wenn es der eigene Code ist den man einige Tage, Wochen oder sogar Monate später erneut hinein schaut.

Du kannst dein Werk hier gerne präsentieren und ich hoffe auch dass andere damit zurecht kommen werden und etwas damit anfangen können.

--luddi

 

[geimist]

Hallo in die Runde,

… Wenn du natürlcih alle dateien im Pem Format benötigst dann solltest du sie gleich nach der erstellung bzw. aktualisierung umwandeln und auch entpsrechend umbenennen damit sie in die Welt der Zertifikatsverwaltung von Synology passen und akzeptiert werden...
z.B. mit folgendem Befehl:

openssl x509 -in mycert.crt -out mycert.pem -outform PEM

vielleicht bin ich ja naiv, aber ich benenne die Dateien lediglich um. In diesem Fall handelt es sich wohl lediglich um unterschiedliche Dateiendungen die keine Konvertierung benötigen.


Zertifikatsimport per Shell:

… Zumindest hat es funktioniert und eine aktualisierte Verion ist in DSM …

Ich habe noch das Problem, dass beim Erneuern zwar im DSM das Zertifikat korrekt eingebunden ist, aber nicht in die einzelnen Anwendungen (initial hatte ich das Zertifikat über die GUI importiert und auch die Anwendungen entsprechend konfiguriert). Habt ihr euch mal das Zertifikat im Browser angesehen? Dort kommt bei mir das neue Zertifikat nicht an (wenn man es lediglich im _archive-Ordner austauscht). Auch ein restart von nginx oder DSM Neustart hilft nicht. Der Grund: Jede konfigurierbare Anwendung nutzt einen eigenen Zertifikatsordner. Man müsste das Zertifikat also noch verteilen. Das habe ich mir auch in ein Skript gegossen, bin aber noch nicht zum Testen gekommen.

Wie ist das bei euch?

 

[blinddark]

Hi, ist das ausgetauschte Zertifikat default bei dir?

 

[luddi]

vielleicht bin ich ja naiv, aber ich benenne die Dateien lediglich um. In diesem Fall handelt es sich wohl lediglich um unterschiedliche Dateiendungen die keine Konvertierung benötigen.

Umso besser. Ich persönlich habe mich nicht exakt damit auseinandergesetzt. Lediglich hatte ich nur nach einer Konvertierung im Netz gesucht. Ob alle Dateien den gleichen Inhalt aufweisen bzw. gleich aufgebaut sind war mir nicht klar. Wenn dem so ist dann reicht es mit Sicherheit aus die Dateien einfach umzubenennen.

[...] Jede konfigurierbare Anwendung nutzt einen eigenen Zertifikatsordner.

Das hatte ich bereits in dem velinkten Beitrag vermerkt --> Siehe Post #21. Für jede Anwendung gibt es ein eigenes Zertifikat. Und über die INFO Datei findet man heraus wie der random generierte Ordner in eurer Diskstation heißt.

Die INFO Datei beinhaltet alle Informationen wie die Zertifikate organisiert sind. Wenn man nach dem Parameter desc sucht, so findet man darüber das random Verzeichnis wo das Zertifikat zu finden ist.
Das Skript welches von mir in den Umlauf gekommen ist, behandelt aktuell nur einen einzigen Suchbegriff bzw. Argument für den Suchbegriff desc. Ihr könnt es natürlich erweitern und ein x-beliebige Anzahl an Argumenten übergeben und dann das ganze in einer Schleife laufen lassen bis alles Suchstrings gefunden und dem jeweiligen Random Verzeichnis zugeordnet wurden.


Somit muss für jede Anwendung explitzit das Zertifikat in das entsprechende Unterverzeichnis kopiert werden.

/usr/syno/etc/certificate/_archive
                                            /FE0bKn            # Anwendung A
                                            /FRrcqa            # Anwendung B
                                            /J5R7j4            # Anwendung C
                                            /mwq3C1            # Anwendung D

--luddi

 

[geimist]

Hi, ist das ausgetauschte Zertifikat default bei dir?

Ja, ist es.

---

… Das hatte ich bereits in dem velinkten Beitrag vermerkt --> Siehe Post #21. Für jede Anwendung gibt es ein eigenes Zertifikat. Und über die INFO Datei findet man heraus wie der random generierte Ordner in eurer Diskstation heißt. …

Es gibt nach meiner Beobachtung mindestens zwei Verzeichnisse für Zertifikate: "/usr/local/etc/certificate/" und "/usr/syno/etc/certificate/"
Es muss also in verschiedenen Verzeichnissen nach dem korrekten Pfad gesucht werden.
Ich habe diesen Ansatz jetzt mal in ein Skript gegossen (alles geschieht auf der DS). Ich hatte damit begonnen, bevor ich euren Thread hier gesehen hatte.
acme.sh installiere ich nicht, sondern rufe es live auf (ich weiß sonst nicht, ob es mit der DSM-eigenen LE-Integration korreliert).

Die Kopierfunktion ersetzt das DSM-Standardzertifikat sowie dieses Zertifikat für alle Anwendungen, die dafür in der INFO konfiguriert wurden. Außerdem wird zur Sicherheit ein Backup der alten Verzeichnisse erstellt und die Rechte und Besitzer der alten Zertifikatsdateien auf die neuen übertragen.

Da das Skript zu lang wurde, hier als Datei: Anhang anzeigen LE_wildcard.txt

 

[seger85]

Wollte mich auch nochmal zu Wort melden. Da ich ja die 4 Dateien manuel verschoben hatte, hat DSM zwar das Zertifikat übernommen, aber wie du schon geschrieben hast wurde es nicht im Browser gesetzt. Des Weiteren habe ich es so oft ausgeführt, dass ich im Moment gesperrt bin und ehrlich gesagt hab ich auch den Pfaden verloren. Da das Skript nicht ohne Fehler durchläuft. Es sind immer zu viele Argumente und der Kunstgriff das meine Zertifikate ins /Volumen1/ kopiert werden und von da aus weiterverarbeiten werden sollen hat das durcheinander dann in Summe abgerundet. Ich warte jetzt mal ob jemand von euch die Lösung findet und auf das entsperren. Nachdem entsperren versuche ich es noch einmal, danach gebe ich es auf und widme mich einer ddns Adresse von Synology.

Viele Grüße
Seger

 

[luddi]

@geimist:

Das Script sieht echt sauber aus. Prima Arbeit.

Es gibt nach meiner Beobachtung mindestens zwei Verzeichnisse für Zertifikate: "/usr/local/etc/certificate/" und "/usr/syno/etc/certificate/"
Es muss also in verschiedenen Verzeichnissen nach dem korrekten Pfad gesucht werden.

Da hast du absolut recht dass es auch ein weiteres Verzeichnis gibt "/usr/local/etc/certificate/". Dieses hatte ich bisher nicht lokalisiert gehabt.
Jetzt ist mir aber nicht ganz klar warum hier auch noch Zertifikate liegen. Der Grund warum ich Zweifel habe ist folgender...

In meiner Umgebung habe ich mir z.B. das Zertifikat für den MailPlusServer für den postfix angesehen.
Der Pfad ist wie folgt: "/usr/local/etc/certificate/MailPlus-Server/postfix/"

Parallel findet man in der INFO Datei die ja bekanntlich unter "/usr/syno/etc/certificate/_archive/INFO" liegt folgenden Inhalt zum postfix:

"kynh4B" : {
      "desc" : "MailPlus-SMTP",
      "services" : [
         {
            "display_name" : "MailPlus-Server-postfix",
            "display_name_i18n" : "MailPlus-Server-postfix",
            "isPkg" : true,
            "owner" : "MailPlus-Server",
            "service" : "postfix",
            "subscriber" : "MailPlus-Server"
         }

Somit lautet das Verzeichnis des Zertifikats für den postfix service "/usr/syno/etc/certificate/_archive/kynh4B"

Vergleicht man nun beide Inhalte binär miteinander so sieht man dass es sich um die identischen Zertifikate handelt.



Und das privkey_fullchain.pem welches im Verzeichnis /usr/local/etc/certificate/postfix existiert ist lediglich ein merge von beiden Dateien privkey.pem und fullchain.pem.
Somit stellt sich die Frage welches der beiden Verzeichnisse wohl die Wurzel ist???

Ich gehe davon aus dass die Quelle der Zertifikate "/usr/syno/etc/certificate/" ist und unter "/usr/local/etc/certificate/" ein Abbild abgelegt wird auf welche die services Zugreifen.
Bitte korrigiert mich wenn ich hier flasch liegen sollte. Oder wie ist eure Meinung hierzu?

--luddi

 

[geimist]

Die Verzeichnisse der INFO sind bei mir eindeutig, d.h. ENTWEDER unter /usr/syno/… ODER unter /usr/local/… zu finden.
Kann es sein, dass du selbst die Verzeichnisse beim Testen erstellt hast? Herausbekommen kannst du es, indem du im DSM testweise das Zertifikat für den Mailserver änderst. Dann siehst du ja, welches Verzeichnis sich ändert.

 

[geimist]

… habe ich es so oft ausgeführt, dass ich im Moment gesperrt bin und ehrlich gesagt hab ich auch den Pfaden verloren. … Ich warte jetzt mal ob jemand von euch die Lösung findet …

Zum Testen lohnt sich der Parameter [FONT=&quot]--test[/FONT] für acme.sh. Damit spart man sich Abfragen.
Ansonsten läuft mein Skript komplett durch - habe heute mein Wildcard-Zertifikat für 4 Domainnamen erfolgreich erstellt (zunächst mit dem Parameter create), die TXT-Records in den Domains hinterlegt und mit einem 2. Aufruf das Standardzertifikat im DSM für alle damit konfigurierten Anwendungen ersetzt.

 

[luddi]

Ich habe für das Testen überhaupt nichts zusätzliches erstellt. Diese Verzeichnisse wie sie vorliegen wurden allein durch DSM erstellt und nicht von mir persönlich.

Stehen wohl in deiner INFO Datei explizit die Pfade?

--luddi

 

[geimist]

nein, keine expliziten Pfade. subscriber ist der Hauptordner und service ist der Unterordner und die finde ich nur jeweils in einem der beiden Zertifikatsverzeichnisse.
Meine Vermutung war nur, dass die bei dir durch dein Kopierskript (unbewusst) erstellt wurden.

Magst du das mal checken, indem du das Zertifikat für MailPlus mal wechselst?

P.S.: ist nutze nicht den MailPlus Server, aber sollte der als einziger abweichen? Ich habe 21 Zertifikatsordner, die sich alle eindeutig einem der beiden Verzeichnisse zuordnen lassen.

 

[luddi]

Meine Vermutung war nur, dass die bei dir durch dein Kopierskript (unbewusst) erstellt wurden.

Bei mir passiert nichts unbewusst... auch nicht durch Scripte

Magst du das mal checken, indem du das Zertifikat für MailPlus mal wechselst?

Habe ich bereits getan. Ergebnis ist wie folgt...

Ich habe dem Postfix ein anderes Zertifikat zugewiesen, das Standardzertifikat in diesem Beispiel.

Somit haben sich nun die Dateien in dem Verzeichnis "/usr/local/etc/ceritificate/MailPlusServer/postfix" geändert. D.h. es ist eine Kopie der vorhandenen Zertifikate die unter "/usr/syno/etc/certificate/_archive/nkKHt3" liegen erstellt worden.

Hier nochmal die Zeitstempel:

root@hostname:/usr/syno/etc/certificate/_archive/nkKHt3 $ ls -la
total 28
drwx------  2 root root 4096 Feb 25 08:48 .
drwx------ 15 root root 4096 May 19 15:23 ..
-r--------  1 root root 1894 Feb 25 08:48 cert.pem
-r--------  1 root root 1647 Feb 25 08:48 chain.pem
-r--------  1 root root 3543 Feb 25 08:48 fullchain.pem
-r--------  1 root root 1675 Feb 25 08:48 privkey.pem
-r--------  1 root root  185 Feb 25 08:48 renew.json

root@hostname:/usr/syno/etc/certificate/_archive/nkKHt3 $ ls -la /usr/local/etc/certificate/MailPlus-Server/postfix
total 32
drwxr-xr-x 2 root            root            4096 May 19 15:23 .
drwxr-xr-x 4 root            root            4096 May 19 15:23 ..
-r-------- 1 MailPlus-Server MailPlus-Server 1894 May 19 15:23 cert.pem
-r-------- 1 MailPlus-Server MailPlus-Server 1647 May 19 15:23 chain.pem
-r-------- 1 MailPlus-Server MailPlus-Server 3543 May 19 15:23 fullchain.pem
-r-------- 1 MailPlus-Server MailPlus-Server 5222 May 19 15:23 privkey_fullchain.pem
-r-------- 1 MailPlus-Server MailPlus-Server 1675 May 19 15:23 privkey.pem

Und ein diff ergibt folgendes:

root@hostname:/usr/syno/etc/certificate/_archive/nkKHt3 $ diff /usr/syno/etc/certificate/_archive/nkKHt3 /usr/local/etc/certificate/MailPlus-Server/postfix
Only in /usr/local/etc/certificate/MailPlus-Server/postfix: privkey_fullchain.pem
Only in /usr/syno/etc/certificate/_archive/nkKHt3: renew.json

Gruß
luddi

 

[geimist]

Das Postfix-Cert liegt bei mir auch unter /usr/local/…
Wenn ich dich also richtig verstehe, scheint es auch bei dir eindeutige Ordner zugeben, oder?


PS.: ich habe das gerade mal auf dem Synology Demo Server gecheckt: hier ist es identisch …
Möglicherweise definiert der Wert "isPkg" : false/true in der INFO das entsprechende Verzeichnis. Das habe ich aber noch nicht verifiziert.

 

[luddi]

Also pass auf... das ist jetzt meine Vermutung damit ein Schuh daraus wird.

Hier einmal meine Verzeichnisse:

root@hostname:~ $ ls -la /usr/syno/etc/certificate/
total 28
drwxr-xr-x  7 root root 4096 Apr 13 15:29 .
drwxr-xr-x 65 root root 4096 May 19 15:40 ..
drwxr-xr-x 10 root root 4096 May 12 16:03 AppPortal
drwx------ 15 root root 4096 May 19 15:23 _archive
drwxr-xr-x  3 root root 4096 Apr 23 19:53 ReverseProxy
drwxr-xr-x  3 root root 4096 May 12 16:03 smbftpd
drwxr-xr-x  4 root root 4096 May 12 16:03 system

root@hostname:~ $ ls -la /usr/local/etc/certificate/
total 40
drwxr-xr-x 10 root root 4096 Mar  5 16:32 .
drwxr-xr-x 17 root root 4096 May 13 23:16 ..
drwxr-xr-x  3 root root 4096 May 12 16:03 CardDAVServer
drwxr-xr-x  3 root root 4096 May 12 16:03 LogCenter
drwxr-xr-x  4 root root 4096 May 19 15:23 MailPlus-Server
drwxr-xr-x  3 root root 4096 May 12 16:03 ReplicationService
drwxr-xr-x  3 root root 4096 May 12 16:03 SynologyDrive
drwxr-xr-x  3 root root 4096 May 12 16:03 VPNCenter
drwxr-xr-x  3 root root 4096 May 12 16:03 WebDAVServer
drwxr-xr-x  7 root root 4096 May 12 16:03 WebStation

Sucht man nach subsriber so sieht man dass es sich um alle Verzeichnisse handelt wie oben in blau markiert. Sie kommen entweder in /usr/local/... oder in /usr/syno/... vor.
Einige davon kommen mehrfach vor, da es zu einem subscriber auch mehrere services gibt. Die services sind dan die Unterverzeichnisse der jeweiligen subscriber. Genau wie @geimist das bereits erkannt hat.

root@hostname:~ $ grep -rnw '/usr/syno/etc/certificate/_archive/INFO' -e 'subscriber'
10:            "subscriber" : "WebStation"
22:            "subscriber" : "ReverseProxy"
34:            "subscriber" : "AppPortal"
46:            "subscriber" : "AppPortal"
58:            "subscriber" : "system"
70:            "subscriber" : "WebStation"
82:            "subscriber" : "AppPortal"
95:            "subscriber" : "MailPlus-Server"
107:            "subscriber" : "AppPortal"
119:            "subscriber" : "AppPortal"
135:            "subscriber" : "WebStation"
148:            "subscriber" : "CardDAVServer"
156:            "subscriber" : "WebDAVServer"
164:            "subscriber" : "VPNCenter"
172:            "subscriber" : "ReplicationService"
180:            "subscriber" : "LogCenter"
187:            "subscriber" : "smbftpd"
195:            "subscriber" : "system"
202:            "subscriber" : "AppPortal"
209:            "subscriber" : "AppPortal"
216:            "subscriber" : "AppPortal"
224:            "subscriber" : "SynologyDrive"
231:            "subscriber" : "WebStation"
238:            "subscriber" : "WebStation"
246:            "subscriber" : "MailPlus-Server"

Somit kann ich deine Beobachtungen bestätigen. Es gibt jeweils zwei Verzeichnisse worin Zertifikate abgelegt werden und zwar in "/usr/local/etc/certificate/" und "/usr/syno/etc/certificate/" und darin nach dem 'subscriber' im jeweiligen Unterverzeichnis.
Mir ist nicht klar weshalb einige in dem einen und einige in dem anderen Verzeichnis liegen.

Fakt ist aber... dass sich die komplette Sammlung aller Zertifikate unter /usr/syno/etc/certificate/_archive/ in den jeweiligen random generierten Unterverzeichnissen befindet.
Von hier werden sie dann entweder nach /usr/local/... oder nach /usr/syno/... kopiert.

Edit:

Möglicherweise definiert der Wert "isPkg" : false/true in der INFO das entsprechende Verzeichnis. Das habe ich aber noch nicht verifiziert.

Ich habe das mal anhand meiner Verzeichnisse geprüft und es scheint in der Tat so zu sein.

Alle mit "isPkg" : true landen in /usr/local/...
und alle mit "isPkg" : false landen in /usr/syno/...

--luddi

 

[geimist]

Wahrscheinlich hatte ich dich auch etwas missverstanden. Ich dachte, einige Verzeichnisse (subscriber) wären bei dir in beiden Verzeichnissen gleichzeitig. Dem ist wohl nicht so …

Ich gehe auch davon aus, dass das _archive-Verzeichnis als Speicherort für jedes Zertifikat dient (daher auch der Name). Für alle dafür konfigurierten Dienste wird es von dort kopiert.

… Ich habe das mal anhand meiner Verzeichnisse geprüft und es scheint in der Tat so zu sein. …

Vielen Dank fürs Testen
So könnte man sich die 2. Schleife ersparen und das passende Verzeichnis direkt angeben. Im Ergebnis ist es aber egal.

 

[seger85]

Zum Testen lohnt sich der Parameter [FONT="]--test[/FONT] für acme.sh. Damit spart man sich Abfragen.
Ansonsten läuft mein Skript komplett durch - habe heute mein Wildcard-Zertifikat für 4 Domainnamen erfolgreich erstellt (zunächst mit dem Parameter create), die TXT-Records in den Domains hinterlegt und mit einem 2. Aufruf das Standardzertifikat im DSM für alle damit konfigurierten Anwendungen ersetzt.

Okay sobald ich wieder Create ausführen kann werde ich es testen und mich nochmal melden.

Danke schon mal, sind ja tolle Nachrichten.

Viele Grüße
Seger

 

[luddi]

Wahrscheinlich hatte ich dich auch etwas missverstanden.

Keine Ursache, vermutlich hatte ich mich auch nicht korrekt ausgedrückt. Sorry für die Verwirrung. Jedenfalls hatte ich mich bisher immer nur auf _archive konzentriert da aus meiner Sicht dies plausibel als Ablage erschien. Dank dir habe ich nun auch den Rest der INFO datei verstanden ('subscriber' und 'service') und auch gelernt dass mit dem Parameter "isPkg" entschieden wird wohin sie kopiert werden (/usr/local/... oder /usr/syno/...).

Somit war mein erstes Script welches ich für @blinddark erstellt hatte vermutlich nur die halbe miete. Denn es hat sich darauf konzentriert die aktualisierten Zertifikate in das _archive Verzeichnis hinein zu kopieren. Und ein restart des nginx hätte an dieser Stelle nicht viel bewirkt wenn die Zertifikate nicht rechtsprechend an ihr Bestimmungsort (Ziel) verteilt wurden.

Schöne Grüße
luddi

 

[geimist]

… Und ein restart des nginx hätte an dieser Stelle nicht viel bewirkt wenn die Zertifikate nicht rechtsprechend an ihr Bestimmungsort (Ziel) verteilt wurden.

Das war meine erste Hürde, weil ich mich wunderte, dass die Anwendungen die Zertifkate nicht ausliefern.

Um das regelmäßige Anpassen des TXT-Records wird man aber vorerst nicht drum rum kommen, sofern man keine API des Domainhosters nutzen kann.

Da hat sich mir auch schon die Frage gestellt:
Derzeit nutze ich Domains von selfhost.de und domainssaubillig.de. Beide bieten meines Wissens derzeit keine API an. Sofern es aber mal möglich ist, ob dann das acme.sh Skript mit unterschiedlichen APIs zurechtkommt? Ich bin gespannt …