acme.sh / Synology DS1821 / dyndnsfree.de

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Ich bin da quasi "vom Land in die Großstadt"...alle neu, günstiger und besser. ;)

Edit: @alexhell: ja, das wäre auch bei all-inkl gegangen, aber teurer und immer noch kein Wildcard. Von daher, ich kannte es nicht besser. 😄
 
Zuletzt bearbeitet:

FleischFlori

Benutzer
Mitglied seit
12. Jul 2014
Beiträge
22
Punkte für Reaktionen
3
Punkte
3
Heureka, ich habe es tatsächlich geschafft. Und wie es immer ist, war es etwas ganz Banales.

Ich habe in den Einstellungen der DS beim Punkt Sicherheit -> Konto den Haken für die Erzwingung des 2. Faktors entfernt. Und schon lief es. Jetzt darf ich den aber auch sicherlich nicht mehr setzen ;)
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Sehr schön. Danke für die Rückmeldung
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Wie sagte meine Oma: "Gott sei's gedankt und getrommelt!" 😄

Edit: weil, irgendwo musste dieser besch**** 2FA-Fehler ja herkommen... ;)
 

FleischFlori

Benutzer
Mitglied seit
12. Jul 2014
Beiträge
22
Punkte für Reaktionen
3
Punkte
3
Abschließende Fragen:

Muss ich jetzt in der account.conf noch irgendetwas rausnehmen? Das Create z. B.?
Das Script für den AutoRenew muss ich aber schon noch einrichten, right?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Puh, das war ja eine schwere Geburt :rolleyes:
Das Script, dass innerhalb des Containers jeden Tag läuft, meist aber nichts macht, bis das Zertifikat fast abgelaufen ist, macht eigentlich alles.
Nur, wenn man Sonderwünsche hat, z.B. das Deploy an mehrere DSen, muss man noch Hand anlegen, oder was drumrum basteln.
 
Zuletzt bearbeitet:
  • Haha
Reaktionen: ctrlaltdelete

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ne, musst nix rausnehmen, das passt so.
Und nein, der Renew läuft automatisch
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Dafür bekommst du ja den CA-Eintrag in der conf zurück AUTO_UPGRADE='1'
 
  • Like
Reaktionen: plang.pl

FleischFlori

Benutzer
Mitglied seit
12. Jul 2014
Beiträge
22
Punkte für Reaktionen
3
Punkte
3
Also was soll ich sagen, bevor ich jetzt hier überall Daumen verteile ein riesiges DANKESCHÖN an eure Geduld und Hilfe. Geiles Forum mit geilen Leuten.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Eine letzte Frage habe ich noch: wie sieht denn in der Systemsteuerung deine Zert-Anezeige aus?

So?

cert.jpg
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Es muss nicht unbedingt das Standard-Zert sein. Es kommt darauf an, was man beim Erstellen/Verlängern in "export SYNO_Certificate="..." mitgibt. Das landet in der Beschreibung des Zertifikats und wird in Zukunft für dessen Adressierung beim Deploy verwendet.
 

FleischFlori

Benutzer
Mitglied seit
12. Jul 2014
Beiträge
22
Punkte für Reaktionen
3
Punkte
3
Ja, genau so. Nur musste ich das selbst als Standard setzen. Und R3 ist bei mir nicht eingerückt, aber ich denke, dass ist zu vernachlässigen.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Mich hätte letztendlich nur das "wildcard" interessiert, also ob da wirklich "*.domain.de" steht.

Bei meinem all-inkl (ich erinnere mich jetzt), stand www.domain.de, domain.de

PS: das eingerückte kommt durch die Bildbearbeitung
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Ja, "Betreff Alternativer Name" sind alle Namen, für die das Zertifikat gilt.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
@plang.pl

Ich dokter gerade hier noch ein wenig verzweifelt rum und bekomme es nicht zu greifen.

Mit diesen account.conf Daten bekommt du im Anschluss den deployhook auf die DS ohne 2FA hin?

Code:
export NC_Apikey="KEY"
export NC_Apipw="PW"
export NC_CID="ID"
export SYNO_Username="DS_USERNAME"
export SYNO_Password="DS_PW"
export SYNO_Port="5000"
export SYNO_Hostname="127.0.0.1"
export SYNO_Scheme="http"
export SYNO_Create="1"
export SYNO_Certificate="Let's Encrypt"
AUTO_UPGRADE='1'

Müssen die Parameter zwingend beim issue/deploy schon vorliegen? acme.sh greift bei Unstimmigkeiten immer noch mal auf die account.conf zu und gleicht die Daten ab, bzw. passt sie an.

Nachdem ich jetzt die github-Seiten durchforstet habe, wäre ich vom Verständnis her - ohne TOTP - hierbei:

Code:
export NC_Apikey="key"
export NC_Apipw="passwort"
export NC_CID="user"
export SYNO_Username="DS_AdminUser"
export SYNO_Password="DS_AdminUser_Passwort"
export SYNO_Port="5000"
export SYNO_Hostname="localhost"
export SYNO_Scheme="http"
export SYNO_Create="1"
export SYNO_Certificate=""                    # - default, ich habe nur eins oder muss ein Wert ein? Will ja keins ersetzen
export SYNO_Device_Name="CertRenewal"         # - required for skipping 2FA-OTP
export SYNO_Device_ID="DS_NAME"             # - required for skipping 2FA-OTP
AUTO_UPGRADE='1'
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Kann sein, dass die das mittlerweile geändert haben.
Wie ich das initial neu aufgesetzt habe (was vor ca. 2-3 Monaten gewesen sein müsste), hat es einwandfrei mit der von dir zuerst genannten account.conf funktioniert.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Das beruhigt mich dahingehend, dass - wie im anderen Thread geschildert - Synology neue Vorgaben eingetütet hat, die in acme.sh jetzt angepasst werden müssen. Mein Cert ist auch am 03.01. abgelaufen und habe mich vorher nicht drum kümmern müssen, weil's wie bisher funktioniert hat.

Ich habe nichts gegen TOTP. Der "gewollte" Weg ist wohl https und TOPT. Ich hab mal temporär beim renew 2FA aktiviert, musste den TOTP eingeben, wurde angenommen, aber schon sind mir wieder die anderen Parameter um die Ohren geflogen.

Ein erneuter Versuch endete mal wieder auf der Strafbank, was ich a) geflissentlich in Kauf nahm, weil ich b) das Cert wieder händisch reinschieben konnte.

Die Eingabe des TOTP erfolgt wohl beim issue, worauf über die DSM API eine device_ID für den spezifischen User angefragt und lokal abgelegt wird.

SYNO_Certificate = wenn normalerweise nichts drin steht, wird es als Standard angenommen und überschreibt das alte Synology ("zurückgesetzt")

Edit: Wenn's ganz blöd kommt...der Cert-Abruf klappt ja, dann hau ich es die vier Mal im Jahr händisch da rein. Ist ja nur eine DS.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich hab's mir mal aufgeschrieben. Mal schauen, ob ich da beim nächsten Renew tätig werden muss (läuft bei mir am 12.03. aus)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat