acme.sh - automatische Verlängerung des Zero-SSL Zertifikats

[XuseX]

Hallo liebe Synology-Community,

ich habe vor ein paar Monaten meinen Zero-SSL Zertifikat über acme.sh für eine Subdomain, die ich als mit benutzerdefinierte Domain für Freigabe-Link (Synology Drive) verwende, eingerichtet. Die Einrichtung funktionierte nur teilweise, denn ich musste das Zertifikat manuell im DSM zuweisen.

Das Zertifikat wurde für folgende Domain erstellt und funktioniert auch.
.example.de
*.example.de
drive.example.de

In wenigen Tagen läuft das Zertifikat aus. Ich habe auch eine automatische Verlängerung im DMS > Aufgabenplaner für root-Benutzer als Skript hinterlegt

/usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/

Aber wenn ich die Aufgabe ausführe, dann sehe ich im Log nur:
[Mon Dec 4 09:29:17 CET 2023] ===Starting cron===
[Mon Dec 4 09:29:17 CET 2023] ===End cron===

Jetzt wollte ich mit acme.sh das Zertifikat manuell erneuern.

acme.sh --renew -d .example.de -d *.example.de -d drive..example.de --force --ecc

Und da kommt die Meldung: '.example.de' is not an issued domain, skip.

Einzeln hat es auch nicht funktioniert. Es kommt jeweils die Meldung:
'*.example.de' is not an issued domain, skip.
'drive.example.de' is not an issued domain, skip.

Dann habe ich mich bei ZeroSSL eingeloggt und wollte von dort aus, das Zertifkat erneuern. Dort sehe ich mein Zertifikat, aber wenn ich es erneuern möchte, dann kommt die Meldung, dass es sich in meinem Fall um 3 Domains handelt und dafür brauche ich einen Tarif für Multi-Domain Cert. :-(

Könnt Ihr mir bitte weiterhelfen? Warum hat die Erneurung über acme.sh nicht funktioniert?

Ich danke Euch im Voraus für die Unterstützung.

Viele Grüße
XuseX

 

[Benares]

Wie ist das Zertifikat ursprünglich entstanden? Und wieso liegt es bei ZeroSSL?
Um ein Zertifikat mit --renew zu erneuern, muss es auf dem gleichen System erstmal mit --issue entstanden sein.

 

[alexhell]

Wahrscheinlich weil er nicht angeben hat, dass Lets Encrypt verwendet werden soll. Default ist bei Acme.sh halt ZeroSSL (siehe https://community.letsencrypt.org/t...fault-ca-to-zerossl-on-august-1st-2021/144052)
Ich würde eher ein neues bei Lets Encrypt erzeugen und es neu zuweisen.

 

[XuseX]

Ich verwende bereits ein kostenloses Lets Encrypt für die DDNS .synology.me. Aus diesem Grund bin ich davon ausgegangen, dass ich kein weiteres über Acme.sh beziehen kann. Ist es korrekt?

 

[alexhell]

Nein. Du kannst dir auch weitere Lets Encrypt Zertifikate erzeugen. Das ist nicht auf eins beschränkt

 

[XuseX]

Super, vielen Dank für die Infos. Dann werde ich es erneut mit Lets Encrypt versuchen und hier berichten. Ich bin von diesem Forum immer wieder begeistert! Einfach nur klasse!

 

[Kachelkaiser]

Warum verwendet du zusätzlich zu deinem Wildcard-Zertifikat noch ein Zertifikat drive.example.de?

 

[XuseX]

Das Wildcard-Zertifikat von Lets Encrypt benutze ich nur für die DDNS .synology.me. Mein Zeil war es, die DDNS .synology.me beim Erstellen von öffentlichen Links mit Synology Drive nicht zu offenbaren. Darum nutze ich eine Subdomain drive.example.de von meinem Hoster als eine benutzerdefinierte Domain. Diese Subdomain soll bei Freigabe-Links angezeigt werden. Darum brauchte ich für die drive.example.de ein weiteres Zertifikat.

 

[XuseX]

Ich danke Euch nochmal. Es hat funktioniert. Ich habe mit acme.sh ein neues LetsEncrypt Zertifikat für example.de und *example.de ausgestellt und das ZeroSSL Zertifikat durch dieses ersetzt. Alles super.

Würdet Ihr mir bitte mit dem Skript fürs Erneuern des LetsEncrypt Zertifikats mit acme.sh helfen?
Im Terminal müsste es mit diesem Befehl funktionieren, aber mir wäre es lieber, wenn es automatisch über DSM im Aufgabenplaner funktionieren würde.
acme.sh --renew -d example.de -d *example.de --force --ecc

 

[dil88]

Geh in den Aufgabenplaner, erstelle eine geplante Aufgabe vom Typ "Benutzerdefiniertes Skript". Unter "Aufgabeneinstellungen" setzt Du dann den Skriptaufruf in das Textfeld "Benutzerdefiniertes Skript" und legst unter "Zeitplan" fest, wann das Skript ausgeführt werden soll und in welchem Turnus.

 

[plang.pl]

Normal brauchst du da keinen Befehl. Das macht amce automatisch. Und wenn du das doch machen, willst, lautet der Befehl für den Planer so (als root ausführen!):
docker exec acme.sh acme.sh --renew -d example.de -d *.example.de --force --ecc
Vorausgesetzt, dein Docker-Container heißt acme.sh

Und ACHTUNG!

*example.de

Das ist kein Wildcard. Wildcard wäre *.example.de

 

[alexhell]

Wenn er es ohne Docker nutzt, dann erneuert er es nicht automatisch. Glaube das macht nur die Docker Version.

 

[plang.pl]

Ahja nach dem Eingangspost wird nicht die Docker-Variante verwendet. Dass das die "nicht-Docker" Version nicht automatisiert macht, wusste ich nicht.
Ich würde hier auf Docker setzen (falls möglich)

 

[alexhell]

Laut Doku (https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide#configuring-certificate-renewal) muss man das selber machen.
Ich würde da auch eher auf Docker setzen. Dann hat man auch keine Probleme bei DSM Updates. Alleine weil es den Punkt "Fix a broken environment after Synology DSM upgrade" in der Doku