acme.sh / Synology DS1821 / dyndnsfree.de

[*kw*]

Ich bin da quasi "vom Land in die Großstadt"...alle neu, günstiger und besser.

Edit: @alexhell: ja, das wäre auch bei all-inkl gegangen, aber teurer und immer noch kein Wildcard. Von daher, ich kannte es nicht besser.

 

[FleischFlori]

Heureka, ich habe es tatsächlich geschafft. Und wie es immer ist, war es etwas ganz Banales.

Ich habe in den Einstellungen der DS beim Punkt Sicherheit -> Konto den Haken für die Erzwingung des 2. Faktors entfernt. Und schon lief es. Jetzt darf ich den aber auch sicherlich nicht mehr setzen

 

[plang.pl]

Sehr schön. Danke für die Rückmeldung

 

[*kw*]

Wie sagte meine Oma: "Gott sei's gedankt und getrommelt!"

Edit: weil, irgendwo musste dieser besch**** 2FA-Fehler ja herkommen...

 

[FleischFlori]

Abschließende Fragen:

Muss ich jetzt in der account.conf noch irgendetwas rausnehmen? Das Create z. B.?
Das Script für den AutoRenew muss ich aber schon noch einrichten, right?

 

[Benares]

Puh, das war ja eine schwere Geburt
Das Script, dass innerhalb des Containers jeden Tag läuft, meist aber nichts macht, bis das Zertifikat fast abgelaufen ist, macht eigentlich alles.
Nur, wenn man Sonderwünsche hat, z.B. das Deploy an mehrere DSen, muss man noch Hand anlegen, oder was drumrum basteln.

 

[plang.pl]

Ne, musst nix rausnehmen, das passt so.
Und nein, der Renew läuft automatisch

 

[*kw*]

Dafür bekommst du ja den CA-Eintrag in der conf zurück AUTO_UPGRADE='1'

 

[FleischFlori]

Also was soll ich sagen, bevor ich jetzt hier überall Daumen verteile ein riesiges DANKESCHÖN an eure Geduld und Hilfe. Geiles Forum mit geilen Leuten.

 

[*kw*]

Eine letzte Frage habe ich noch: wie sieht denn in der Systemsteuerung deine Zert-Anezeige aus?

So?

 

[Benares]

Es muss nicht unbedingt das Standard-Zert sein. Es kommt darauf an, was man beim Erstellen/Verlängern in "export SYNO_Certificate="..." mitgibt. Das landet in der Beschreibung des Zertifikats und wird in Zukunft für dessen Adressierung beim Deploy verwendet.

 

[FleischFlori]

Ja, genau so. Nur musste ich das selbst als Standard setzen. Und R3 ist bei mir nicht eingerückt, aber ich denke, dass ist zu vernachlässigen.

 

[*kw*]

Mich hätte letztendlich nur das "wildcard" interessiert, also ob da wirklich "*.domain.de" steht.

Bei meinem all-inkl (ich erinnere mich jetzt), stand www.domain.de, domain.de

PS: das eingerückte kommt durch die Bildbearbeitung

 

[FleischFlori]

Ja, steht sowohl die Domain als auch *.domain drin

 

[Benares]

Ja, "Betreff Alternativer Name" sind alle Namen, für die das Zertifikat gilt.

 

[*kw*]

@plang.pl

Ich dokter gerade hier noch ein wenig verzweifelt rum und bekomme es nicht zu greifen.

Mit diesen account.conf Daten bekommt du im Anschluss den deployhook auf die DS ohne 2FA hin?

export NC_Apikey="KEY"
export NC_Apipw="PW"
export NC_CID="ID"
export SYNO_Username="DS_USERNAME"
export SYNO_Password="DS_PW"
export SYNO_Port="5000"
export SYNO_Hostname="127.0.0.1"
export SYNO_Scheme="http"
export SYNO_Create="1"
export SYNO_Certificate="Let's Encrypt"
AUTO_UPGRADE='1'

Müssen die Parameter zwingend beim issue/deploy schon vorliegen? acme.sh greift bei Unstimmigkeiten immer noch mal auf die account.conf zu und gleicht die Daten ab, bzw. passt sie an.

Nachdem ich jetzt die github-Seiten durchforstet habe, wäre ich vom Verständnis her - ohne TOTP - hierbei:

export NC_Apikey="key"
export NC_Apipw="passwort"
export NC_CID="user"
export SYNO_Username="DS_AdminUser"
export SYNO_Password="DS_AdminUser_Passwort"
export SYNO_Port="5000"
export SYNO_Hostname="localhost"
export SYNO_Scheme="http"
export SYNO_Create="1"
export SYNO_Certificate=""                    # - default, ich habe nur eins oder muss ein Wert ein? Will ja keins ersetzen
export SYNO_Device_Name="CertRenewal"         # - required for skipping 2FA-OTP
export SYNO_Device_ID="DS_NAME"             # - required for skipping 2FA-OTP
AUTO_UPGRADE='1'

 

[plang.pl]

Kann sein, dass die das mittlerweile geändert haben.
Wie ich das initial neu aufgesetzt habe (was vor ca. 2-3 Monaten gewesen sein müsste), hat es einwandfrei mit der von dir zuerst genannten account.conf funktioniert.

 

[plang.pl]

ich habe nur eins oder muss ein Wert ein? Will ja keins ersetzen

Naja ich würde da was reinschreiben. Spätestens beim Renew willst du ja schon eins ersetzen.

 

[*kw*]

Das beruhigt mich dahingehend, dass - wie im anderen Thread geschildert - Synology neue Vorgaben eingetütet hat, die in acme.sh jetzt angepasst werden müssen. Mein Cert ist auch am 03.01. abgelaufen und habe mich vorher nicht drum kümmern müssen, weil's wie bisher funktioniert hat.

Ich habe nichts gegen TOTP. Der "gewollte" Weg ist wohl https und TOPT. Ich hab mal temporär beim renew 2FA aktiviert, musste den TOTP eingeben, wurde angenommen, aber schon sind mir wieder die anderen Parameter um die Ohren geflogen.

Ein erneuter Versuch endete mal wieder auf der Strafbank, was ich a) geflissentlich in Kauf nahm, weil ich b) das Cert wieder händisch reinschieben konnte.

Die Eingabe des TOTP erfolgt wohl beim issue, worauf über die DSM API eine device_ID für den spezifischen User angefragt und lokal abgelegt wird.

SYNO_Certificate = wenn normalerweise nichts drin steht, wird es als Standard angenommen und überschreibt das alte Synology ("zurückgesetzt")

Edit: Wenn's ganz blöd kommt...der Cert-Abruf klappt ja, dann hau ich es die vier Mal im Jahr händisch da rein. Ist ja nur eine DS.

 

[plang.pl]

Ich hab's mir mal aufgeschrieben. Mal schauen, ob ich da beim nächsten Renew tätig werden muss (läuft bei mir am 12.03. aus)