[acme.sh] Fehlermeldung - Selbes Zertifikat mit anderem User erstellen?

[alexhell]

Guck mal hier https://www.synology-forum.de/threads/eigener-dyndns-server.131173/post-1132920 (der verlinkt auch woanders hin ) Da steht wie ich es eingerichtet habe. Also mit Screenshots und was man wählen soll.

 

[*kw*]

Lach, fängt bei der Registrierung schon gut an...



Da war also schon mal was. Weiter geht's...

Gibt es Probleme, wenn ich dort während der Cert-Sperrung schon was eintrage? Nicht, dass sich der Mist noch verlängert.

 

[*kw*]

@Benares: ich habe vorhin mal deine Werte im CCP übernommen und als ich eben für cloudflare die Seite erneut aufgerufen haben, entsprachen sie wieder den Ursprungswerten von oben.

 

[alexhell]

Sollte eigentlich nichts passieren, weil Cloudflare wird ja kein Zertifikat für dich beantragen. Also geht auch kein Request zu denen raus. Aber selbst wenn, die Sperre wird ja nicht verlängert oder?

 

[Benares]

entsprachen sie wieder den Ursprungswerten

weiß ich nicht, kann ich nichts zu sagen. Bei mir klappte das Ändern immer.

 

[*kw*]

@alexhell: Okay. Und mit diesen (angepassten) Daten kann ich jetzt meine yaml-Datei (auch für IPv4) erstellen? Wenn ich die ausgeführt und den Container installiert habe, was passiert dann? Macht das "Ding" nur seinen Job im Hintergrund oder muss ich noch was anpassen?

Ich würde dann Freitag nach Ablauf der "2-Tages-Strafe" acme.sh nochmal komplett mit neuem user (ohne 2FA) aufsetzen.

@Benares: bettbedingt nur ein "60cm-Problem" und die Auflösung auf dem Notebook (GöGa will Standard mit 1440). Hab den Speicherbutton weiter unten im "off" gefunden

 

[alexhell]

@*kw* Der Container läuft im Hintergrund und aktualisiert den DNS Record, wenn sich deine IP ändert. Wenn er einmal läuft, dann musst du gar nix mehr machen.

 

[*kw*]

Okay, ist installiert und das sind die aktuellen Protokollzeilen. Das "pending" vermute ich durch die Sperre?

 

[alexhell]

Bei mir sehen die Logs anders aus....

🌐 Detected the IPv4 address: <ipv4>
🤷 The A records of "<domain>" are already up to date
🌐 Detected the IPv6 address: <ipv6>
🤷 The AAAA records of "<domain>" are already up to date
⏰ Checking the IP addresses in about 1m0s .

 

[*kw*]

Update Protokoll: dieser Zeilenblock wiederholt sich jetzt. Wie bekomme ich die Fehlermeldung raus? Ich nutze ja kein IPv6.

 

[alexhell]

Füg bei den Envs folgendes hinzu: IP6_PROVIDER=none. Siehe https://github.com/favonia/cloudflare-ddns

 

[*kw*]

Ach, wenn wir den Cashy und die "stadt-bremerhaven.de" nicht hätten.

Dank dieser Seite weiß ich jetzt, welche Daten ich aus dem "3km-TOPT-String" benötige, um in der account.conf das richtige SYNO_TOTP_SECRET einzugeben. Gegencheck mit neuem User in Bitwarden bestätigt.

Jetzt heißt's nur noch abwarten.

 

[*kw*]

Puuuh, geschafft. Dank Zeitverschiebung durfte ich schon wieder rein. Ich habe das jetzt auch mit den Parametern in der account.conf hinbekommen.

Nur eine Frage bleibt offen: bevor mir CA das Zertifikal ausgestellt hat, kam zwischendrin diese error-Meldung:

[Fri Feb  2 13:04:11 UTC 2024] {"serverrequestid":"0TXNnwNhO0d=zIQUM","clientrequ
estid":"","action":"updateDnsRecords","status":"error","statuscode":4001,"shortme
ssage":"Api session id in invalid format","longmessage":"The session id is not in
 a valid format.","responsedata":""}                                             
[Fri Feb  2 13:04:11 UTC 2024] Error removing txt for domain:_acme-challenge.meinedomain.de

 

[plang.pl]

Hm. Komisch. Schau mal in die Verwaltung von netcup, ob der TXT Entry noch da ist.
Aber selbst wenn, ist das ja eigentlich egal, denke ich

 

[*kw*]

Wie gesagt, gültig isses, in die DS deployed isses auch und mit reverse proxy funktioniert wieder alles.

Ich schau mal nach und wenn ich noch was auffälliges finde, melde ich mich noch mal.

PS: Memo an mich selbst: netcup newsletter bestellen, Domains auf die Wishlist , Angebot abwarten, zuschlagen und Ersatzdomains haben.

 

[*kw*]

Ein Eintrag mehr als gestern (jetzt mit 2FA?), aber alle gültig und sonst keine Hinweise.

 

[alexhell]

Wäre es nicht leichter statt andere Domains zu nutzen, weil man die ja überall anpassen muss, einfach einen anderen SSL Zertifikat anbieter zu nehmen? Statt Lets Encrypt könntest du auch ZeroSSL nutzen. Bis zu 3 Zertifikate sind ja kostenlos. Wildcard wird soweit ich weiß auch kostenlos unterstützt und acme.sh kann das auch.

 

[plang.pl]

Da komm ich jetzt nicht ganz mit. Kann mich jemand aufklären?

 

[*kw*]

EIGENTLICH und tatsächlich geht's nur noch um eine "passendere Alternativdomain" für die Family. Hat nix mit dem internen Zertifikat oder einem externen Zugriff zu tun.

@plang.pl: Aufklärung abschalten!

 

[plang.pl]

Wenn ich es richtig verstanden habe, könnte man es auch so lösen: z.B. "*.oliver.domain.de" zeigt auf den RP der DS. Und "*.famile.domain.de" zeigt auf den RP der Familie.
So ähnlich hab ich es auch. Für meine Eltern am anderen Standort ist eine Subdomain meiner eigenen Domain abgestellt.