acme.sh / Synology DS1821 / dyndnsfree.de

[*kw*]

@Benares: ich habe jetzt noch mal in Ruhe in die deployhooks geschaut. Bei den optionalen sind mir zwei ins Auge gefallen:

export SYNO_Device_Name="CertRenewal" - required for skipping 2FA-OTP, set via script upon first run
export SYNO_Device_ID="" - required for skipping 2FA-OTP, set via script upon first run

Könnte das den ständigen 2FA-Abfrage-Fehler "aushebeln"?

 

[Benares]

Keine Ahnung. Ich weiß nur, dass ich mit 2FA und diesen Variablen noch nie was gemacht habe und diese Abfragen bei mir nicht kommen.

 

[*kw*]

Ich hab's mit 2FA (TOTP) jetzt funktionsfähig laufen, aber wenn in drei Monaten der Zappes wieder anfängt, fliegt's auch wieder raus. Ging ja auch vorher.

 

[Benares]

Probier doch bitte damit mal aus, ob das reine Deployen damit auch klappt, oder ob da was zu ändern ist.
Ich "deploye" an mehrere DSen und hab keine Lust da zu experimentieren.

 

[*kw*]

Mein Vorschlag richtete sich an @FleischFlori , weil er beim Deployen ständig die TOTP Fehler bekommt.

Im Zweifel noch einen Tag warten, bis die TXT-Records und configs aktualisiert sind.

 

[FleischFlori]

Bei mir steht in der example.com.conf ein Eintrag SAVED_SYNO_Device_ID='irgendwascryptisches'

Und bei mir steht dazu leider rein gar nichts in den Confs.

Es hilft auch nichts, wenn ich 2FA bei dem User aktiviere, er will einfach keine Verbindung zum NAS intern aufbauen. Egal über welche IP oder Adresse. Auch die Hinweise im deployhooks bringen mich nicht weiter.

 

[plang.pl]

Läuft bei dir der Container im Host-Netz?
Wenn ja, klappte der Deploy bei mir mit http und Port 5000. Zudem als Adresse die 127.0.0.1 eintragen.

 

[FleischFlori]

@plang.pl Ja, der Container läuft im Host-Netz. Nur zum Verständnis, ich nutze doch den Port, den ich im Anmeldeportal hinterlegt habe. Oder geht hier grundsätzlich die 5000?

 

[plang.pl]

Nein, der Port im Anmeldeportal. Wichtig ist halt nur, dass du statt der IP den Loopback ansprichst, also 127.0.0.1 einträgst und den http Port nutzt und nicht https.

 

[Benares]

Da geht auch jeder andere Port. Die Verbindung scheint ja bei dir auch zu klappen, nur die Authentifizierung nicht.
Hast du es mal mit dem echten "admin"(-Ersatz) probiert?

 

[FleischFlori]

Mit dem echten Admin habe ich es nicht versucht.

Mein letzter Test war nochmal alles von vorn. Also alles gelöscht, die DS neugestartet, Nutzer und Container neu angelegt, account.conf erstellt und abfeuern. Ich sage euch, das Ding macht mich schwach. Jetzt kann sich acme.sh angeblich nicht mehr bei All-Inkl. einloggen.

[KAS] -> Either no domains were found or another e
rror =>got_no_login_data<= occurred, please check manually.

Ich könnte heulen. Es wurde nichts verändert. Mit den Login-Daten komme ich ohne Probleme ins KAS.

 

[*kw*]

Es muss nicht der "echte" Admin sein, nur ein User in der Admin-Gruppe. Um sicher zu gehen, benötigt er auch keinerlei Zugriffsrechte auf Verzeichnisse.

Alles mal im KAS gecheckt?

 

[FleischFlori]

nur ein User in der Admin-Gruppe

Das werde ich mal noch machen, gibt ja hier noch einen anderen für den Home Assistant.

Alles mal im KAS gecheckt?

Was soll ich denn checken? Ich kann mich ganz normal einloggen, sehe alle meine Domains und kann auch alles einstellen.

 

[*kw*]

Ich war bis vor einem Jahr bei all-inkl und gerade kommen ein paar "dunkle Erinnerungen" hoch.

Entschuldige, wenn ich jetzt nochmal "klippschulmäßig" frage:

Welchen Tarif hast du denn bei all-inkl? Wenn inkludiert, gibt es grundsätzlich LE-Zertifikat für Domain und Subdomain: ja. Zudem fragt der o.g. deploy-Befehl nämlich ein Wildcard-Zertifikat ab, dass es bei all-inkl standardmäßig aber nicht gibt. Das kostet richtig Geld. Das war auch der Grund für meinen Wechsel zu netcup.

Es macht auch einen Unterschied zwischen meinedomain.de und www.meinedomain.de

Du kannst den Befehl nochmal ohne die Wildcard (*.meinedomain.de) probieren.

 

[FleischFlori]

Ich war soweit eigentlich immer zufrieden mit all-inkl. Habe den Premium-Tarif. Mir war bei einem Hoster halt wichtig, viele Postfächer anlegen zu können sowie einen einfachen Website-Creator zu bekommen, da ich für einige Vereine Landingpages gebaut habe und auch 6 Domains aktuell damit verwalte. Das kann mir netcup glaube ich nicht bieten.

Die Domain, für die ich ein Zertifikat haben möchte, hat aktuell auch keins bei all-inkl hinterlegt. Und ein Wildcard-Zertifikat sollte es schon sein, da es für diese Domain mehrere Subdomains gibt.

Mich wundert wirklich nur, dass es heute Mittag ja noch mit der Erstellung des Zertifikats funktioniert hat und jetzt plötzlich nicht mehr.

 

[Benares]

Na ja, bis zur Zertifikatserstellung/-Verlängerung hat's doch bisher geklappt, oder? Nur das Deploy klappte nicht.
Ich denke, die beiden Punkte muss man definitiv gedanklich trennen.
Überleg mal, was da inzwischen anders ist. Evtl. zu viel gelöscht? Ist aus der Ferne echt schwer zu sagen.

 

[*kw*]

Wie gesagt, ich kann mich nicht mehr im Detail erinnern, aber EDvonSchleck und ich haben es irgendwann aufgegeben, weil es nicht funktionier hat und kein Wildcard-Cert dabei war (siehe Zusatzleistung)

Wenn du keine Eile hast und es nur intern ist, abonnier den netcup-Newsletter und nimm das nächste 13Cent-Angebot. Anschließend war das in "5 Sekunden" eingerichtet.

Ja, löst dein Problem nicht, bin aber gerade mit meinem Latein ein wenig am Ende.

Edit: PS: er war tief im Thema drin, ist aber nicht mehr Mitglied. Hier ist mal ein Suchergebnis "acme.sh und EDvonSchleck". Evtl. springt bei den Überschriften was ins Auge.

 

[FleischFlori]

Überleg mal, was da inzwischen anders ist. Evtl. zu viel gelöscht?

Eigentlich gar nichts. Gelöscht wurde der Ordner, der Container und das Image. Danach wurde alles wieder neu aufgesetzt. Seit dem sagt mir acme, es kann sich nicht mehr bei all-inkl anmelden.

@*kw* Vielleicht schaue ich mir Netcup doch einmal genauer an. Das Webhosting-Paket 4000 würde ja für mich passen und ist sogar noch etwas günstiger. Wie ist der Support bei Netcup? Bzw. habe ich dort mehr Möglichkeiten als bei all-inkl was bspw. Nameserver usw. angeht? Haben die auch einen einfachen Website-Designer?

 

[*kw*]

Zum ersten: dieses Forum wird bei netcup gehostet. Mit dem Support bin ich super zufrieden, habe ihn glücklicherweise erst einmal gebraucht. Aber schnell und freundlich.

Wie gesagt, du kannst dort - unabhängig eines Webhostingpaketes - optinale Domains erwerben, die quasi "inaktiv" sind, bis du sie einem Webhostingpaket zuweist. Hat gegenüber einer Inklusivdomain den Vorteil, dass du sie jederzeit zwischen mehreren Paketen switchen kannst.

Oder, und jetzt kommt der interessante Teil, du kaufst erstmal nur eine Domain im Angebot (13ct/mtl., inkl. wildcard) und mit der bist du bereits berechtigt, mit acme.sh über die CA ein LE Zertifikat ausstellen zu lassen. Denen ist quasi egal, was sich hinter der Domain inhaltlich verbirgt, es geht nur um die Legitimation als Eigentümer. Die muss auch nie eingehängt werden. So läuft das bei schon seit über einem Jahr.

Ansonsten bezüglich deiner Projekt einfach mal bei denen durchklingeln.

PS: unabhängig/zusätzlich für webhosting 1000 zahle ich aktuell 1,07€/mtl.

 

[alexhell]

Oder, und jetzt kommt der interessante Teil, du kaufst erstmal nur eine Domain im Angebot (13ct/mtl., inkl. wildcard) und mit der bist du bereits berechtigt, mit acme.sh über die CA ein LE Zertifikat ausstellen zu lassen. Denen ist quasi egal, was sich hinter der Domain inhaltlich verbirgt, es geht nur um die Legitimation als Eigentümer. Die muss auch nie eingehängt werden

Aber das gilt doch für alle Anbieter. Du bist nie verpflichtet eine Domain auch wirklich zu nutzen. Und Zertifikate bekommst du da genauso.