DSM 6.x und darunter DSM Version: 6.2.3-25423

[Fusion]

Ich hab kein Problem mit Mail Server, allerdings läuft der auch unter mail.example.com. Egal ob explizites oder Wildcard-Zertifikat, kein Problem.

Vermutlich musst du bei der Anforderung des Wildcard Zertifikats sowohl *.example.com wie auch example.com selbst inkludieren.

 

[Heaven1976]

wie soll das gehn?
Laut anleitungen im netz muss man nur *.domain.tld angeben

 

[Fusion]

Muss ich auch nachschauen, aber erlaubt ist es
https://community.letsencrypt.org/t/acme-v2-production-environment-wildcards/55578

Alternativ machst dein Mail server unter Subdomain erreichbar und setzt den MX Record via dynDNS update.
Das geht auch, wenn du direkt die example.com als dynDNS betreibst, z.B. bei Strato.
https://www.synology-forum.de/showt...trato-Allinkl)&p=869541&viewfull=1#post869541
Müsste man sehen, ob das bei OVH auch geht.

Edit:
Für acme.sh einfach mehrere -d Parameter angeben

-d example.com -d *.example.com

https://kb.virtubox.net/knowledgebase/how-to-issue-wildcard-ssl-certificate-with-acme-sh-nginx/

 

[Heaven1976]

Also mit:

./acme.sh --renew --force -d *.domain.tld domain.tld --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

geht es leider nicht.

 

[Heaven1976]

Ok habe die domain mit aufgenommen an den wildcard hat sich nix geändert aber die normale domain.tld wurde mit aufgenommen und Thunderbird meckert zumindest nicht mehr:

Scheint jetzt zu gehen habe mit force einfach domain.tld mit aufgenommen
Alte zertifikat gelöscht und das neue in DSM eingespielt

[
sudo ./acme.sh --renew --force -d *.meinedomain.tld -d meinedomain.tld --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

Sat May 16 12:57:48 CEST 2020] Renew: '*.meinedomain.tld'
[Sat May 16 12:57:49 CEST 2020] Multi domain='DNS:*.meinedomain.tld,DNS:meinedomain.tld'
[Sat May 16 12:57:49 CEST 2020] Getting domain auth token for each domain
[Sat May 16 12:57:49 CEST 2020] *.meinedomain.tld is already verified, skip dns-01.
[Sat May 16 12:57:49 CEST 2020] Verifying: meinedomain.tld
[Sat May 16 12:57:54 CEST 2020] Success
[Sat May 16 12:57:54 CEST 2020] Verify finished, start to sign.
[Sat May 16 12:57:54 CEST 2020] Lets finalize the order, Le_OrderFinalize: xxxx
[Sat May 16 12:57:56 CEST 2020] Download cert, Le_LinkCert: xxxxx
[Sat May 16 12:57:57 CEST 2020] Cert success.

Dann werde ich mal eine test subdomain machen ob das dann auch geht.

Aber de frage ist wie erneuert man das dann in 3 monaten?
muss ich jedesmal das zertifikat löschen und neu einspielen und neu konfigurieren?

*edit*

Ok mit einer neuen erstellten Subdomain geht es auch.

 

[geimist]

Ganz genau. Das Problem hatte ich auch. Erst als ich die Hauptdomain mit einbezogen hatte, war das Zertifikat auch bei entsprechenden Aufruf der Hauptdomain vertrauenswürdig. Das finde ich auch logisch, da das Platzhalterzeichen (*) vor dem Punkt steht.

 

[Heaven1976]

Ja habe das ja dann so gemacht und wird von allen dann auch Akzeptiert.
Aber die sehr große Preisfrage ist wie Aktualisiert man nach 3 Monaten das ganze?

Klar man kann ein renew machen, aber die Diskstation hat dadurch nicht automatisch das neue Zertifikat.
Man müsste wohl das ganze löschen und dann wieder das neue Zertifikat importieren, um dann wieder für 3 Monate ruhe zu haben.
Bei nicht wildcard Zertifikate geht das bei mir immer automatisch und muss mich da nicht drum kümmern, aber bei den jetzt wildcard Zertifikaten muss man dann wohl mit dem vorschlaghammer ran, um es zu aktualisieren, weil offiziell ja nur synology urls als wildcard unterstützt wird

 

[Fusion]

https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide
Gibt inzwischen ein deploy hook für Synology
Man muss sich Infos zusammensuchen...

Persönlich nutze ich aktuell noch das reload-certs.sh und ein copy script. Musste aber einmalig die neuen Certs importieren oder von Hand in der "INFO" Datei einpflegen.
Habe es noch nicht automatisiert, da ich bei 1blu/strato aktuell auch den DNS TXT record von Hand setzen musste weil die keine dnsapi Unterstützung bieten.

 

[Heaven1976]

Hab mir das mal angesehn und versteh nur Bahnhof.
Und mit der ovh api habe ich mich auch noch nicht so auseinander gesetzt.

Da wäre mir ein gutes Tutorial angenehmer als aus code snipseln was zu basteln soweit reicht mein kenntnisstand dann doch leider nicht

 

[Fusion]

Tja, das wäre den meisten wohl lieber... muss halt jemand umsetzen und zusammenschreiben.
Selber machen und Wissen verbreiten, oder abwarten.

 

[Heaven1976]

Du ich bastel gerne und probiere aus, aber wenn ich merke das es an meine Grenzen stößt, dann muß ich da leider kapitulieren.
Früher wo ich noch normalen Rootserver hatte da konnte man das mittels nebeninstallation in einer VM realisieren wo man ungehindert rumspielen konnte.

DSM Linux ist leider eine Marke eigenbau von Synology und folgt nicht dem klassischem Linux auch wenn man hier teils klassische Linux Befehle ausführen kann die aber auch beschnitten sind. Musste auch diverse pakete installieren, um überhaupt erweiterte Linux Befehle zu haben.
Das erschwert das ganze ein wenig und jemand der sich besser mit dem DSM Linux auseinander gesetzt hat der hat da bessere Chancen solch ein Tutorial/Guide/Script zu basteln.

 

[Heaven1976]

Lets encrypt ist gut, aber bei wildcard hapert es leider nu habe ich ein paar euros in die hand genommen und mir für 2 jahre ein wildcard zertifikat gekauft.
2 Jahre für 138 € das ist noch sehr günstig wenn ich manch preise sehe die für ein jahr schon mehr als hundert euro wollen.

Gab ein paar kleine anlaufschwierigkeiten, aber der Support war klasse und half mir und nu läuft das erste sahne das ganze und habe 2 Jahre ruhe
Daher ich vor habe paar subdomain zu hosten mit verschiedenen inhalten komme ich an einen Wildcard zertifikat nicht mehr vorbei.

Vielleicht gibs ja irgendwann ja das nonplus ultra um über das NAS GUI oder vereinfacht über die Konsole oder beides oder jemand bastelt da was wer weiß in 2 Jahren kann viel passieren

wen es interessiert hier habe ich mein Wildcard Zertifikat gekauft: https://www.sslpoint.com/de/

 

[Fusion]

Ein paar Subdomains gehen aber auch mit den Standard let's encrypt Zertifikaten, die bis zu 10 alternative Namen aufnehmen. Und zur Not halt mehrere davon.
Kann man ja den einzelnen Diensten/vhosts zuordnen.
Wildcard sehe ich eher dort, wo man häufig sich ändernde Domain Namen hat und nicht jedes mal das Zertifikat erneuern/ergänzen will.

Ist man halbwegs statisch unterwegs braucht es das von diesem Standpunkt aus nicht.

 

[Heaven1976]

Ja ich nutze oft wechselnde subdomains um verschiedene Projekte zu nutzen angefangen von test umgebungen bis hin zu private webseiten für freund und familie etc.
Habe lange gewartet bis Lets encrypt auch Wildcard unterstützt und auch im NAS aber das auffrischen für wildcard ist einfach zu aufwendig meine Meinung, weil es noch keine nonplus ultra lösung dafür gibt.

Dann habe ich mich mal schlau gemacht über kosten (Damals auch schon) aber war für mich einfach zu teuer, aber nu habe ich ein günstigen anbieter gefunden und schlug da einfach mal zu.
Für meine Privaten Projekte gebe ich keine 300€+ aus für 2 Jahre. Man muss es immer wie du schon sagtest in relation sehn kosten/nutzen.

Wer jetzt nur eine "Hallo Welt hier ist meine webseite" hat braucht das dann sicher nicht.
Ist ja wie in der Spielebranche wer noch 60 € für ein Game ausgibt ist selber schuld gibt halt genug alternativen von reseller die mal ebend 20% oder mehr güsntiger sind und so ist das nu auch bei SSL Zertifikaten...Angebot und Nachfrage diktiert halt den Preis.
Kann mir das auch hier kaufen: https://www.psw-group.de/ssl-zertifikate/wildcard-ssl-zertifikate/ wo ich für ein jahr mal ebend 170 € bezahle ebend jenes Zertifikat was ich woanders deutlich günstiger bekam und genau das selbe macht.