DSM 6.x und darunter DSM Version: 6.2.3-25423

[Kurt-oe1kyw]

Andy, dass ist so nicht richtig.

Es gab für alle DSen die DSM Version 6.2.3-25423, die läuft bei mir auf der DS 218+, DS916+ , ABER die wurde zurückgezogen und wurde jetzt durch die neuste DSM 6.2.3-25426 ersetzt.
Ich muss aber auch dazu sagen, dass ich seit Erscheinen die (jetzt nicht mehr erhältliche DSM) 6.2.3-25423 problemlos verwendet habe und die läuft noch immer:



also, die hat es gegeben, jetzt nicht mehr. Jetzt wird dir nur mehr für die neuesten Modelle angeboten.
Und jetzt installier ich schnell die 25426, denn wer weiß ob die morgen überhaupt noch da ist.....

 

[Andy+]

Die haben doch ne Meise ... ... und wo hattest Du die her, auch vom Downloadserver? Der von mir gezeigte Stand ist ja einige Tage alt und jeden Tag guck ich da auch nicht.

 

[Kurt-oe1kyw]

Ja, die habe ich damals für alle meine DSen heruntergeladen, dann waren sie ca. 2 Wochen vorhanden und dan waren die alle weg und jetzt sind nur mehr die paar für die ganz neuen Modelle da.

 

[Andy+]

Ah okay, tja aber jetzt nicht mal mehr die. Diese sind nun im neusten Build.

 

[laurooon]

Also meine DS1618+ zeigt noch die DSM 6.2.2-24922 an und sagt, diese sei aktuell...
EDIT: OK, nur manuelle Installation. Ist das zu empfehlen, oder ist das eher noch BETA?

 

[Kurt-oe1kyw]

Kannst installieren, die neueste DSM 6.2.3-25426 läuft bis jetzt.

Erste Details kannst du hier nachlesen <klick>

 

[synfor]

Schräg wäre schon, ein Update 3 zurückzuziehen und ein verändertes Update 3 wieder zu veröffentlichen, das sollte dann schon Update 4 sein.

Genau das ist bei Version: 6.1.4-15217-3 passiert. Da hatte man erst einen Fehler mit nachgeschobenen u4 (ausnahmsweise mal nicht kumulativ) beseitigt und einen Tag später gabs ein neu verpacktes u3 mit dem Fix aus u4. Alles in den Releasenotes nachzulesen.

 

[Heaven1976]

für nicht synology-Domains scheint es noch nicht zu funktionieren. Es kommt "Verbindung zu LE konnte nicht hergestellt werden. Prüfen Sie ob der Domainname richtig ist." lasse ich *.domain.tld weg funktioniert alles.

für meine richtige Domain geht das nicht.
Es erscheint gleich ein fenster mit einem Hinweis



Man kommt gar nicht dazu auf weiter zu klicken oder das es überprüft wird.
Daher ist das für mich unbrauchbar, daher ich nur eigene Domains einsetze wo Mailserver und Webserver drüber laufen.

Genutzte DS: DS218+

 

[Fusion]

Wildcard für andere Domains geht nur von Hand/Script auf der Konsole. In der DSM GUI nur für synology.me Domains, weil Synology hier die volle Kontrolle über das DNS hat.
Man kann aber ohne Probleme Zertifikat mit diversen Alternate Names (max 10 pro Zertifikat) ausstellen lassen um diverse Subdomains mit zu versorgen.

 

[Heaven1976]

Kann man das hier noch mit der aktuellen dsm version nutzen: https://vdr.one/how-to-create-a-lets-encrypt-wildcard-certificate-on-a-synology-nas/
oder gibs noch ne bessere Methode?

 

[Fusion]

Ja, sollte noch gehen.

Wird ja an diversen Stellen im Forum diskutiert. Die eine Methode die für alle gleich gut funktioniert hat sich noch nicht herauskristallisiert.
Mit ursächlich ist dafür eben, dass für Wildcards TXT records im DNS hinterlegt werden müssen, da gibt es dann 1000 Wege nach Rom mit den verschiedensten DNS/Domain/dynDNS Anbietern.

 

[Heaven1976]

Bei meinem Anbieter OVH kann ich was dns angeht alles selbstständig eintragen.
Das sollte das geringste Problem sein.

Problem ist das erneuern alle 3 Monate zu automatisieren.
Die jetzigen Zertifikate die ich im GUI eingeteagen sind aktualisieren sich immer von selber.
Da fehlt mir noch das nonplus ultra, um das zu erreichen.

 

[Fusion]

Da es für OVH ein Plugin für das acme.sh script gibt
https://github.com/acmesh-official/acme.sh/blob/master/dnsapi/dns_ovh.sh
sollte sich auf script Basis vermutlich was realisieren lassen zur Automatisierung.

 

[Heaven1976]

So weit reichen meine Kenntnisse nicht für das ändern des Scriptes.

Also Manuel habe ich das jetzt mal getestet und funktioniert soweit nach der Anleitung:

root@NAS-Webserver:~# sudo ./acme.sh --issue -d *.meinedomain.tld --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please
[Fri May 15 17:34:13 CEST 2020] Create account key ok.
[Fri May 15 17:34:14 CEST 2020] Registering account
[Fri May 15 17:34:15 CEST 2020] Registered
[Fri May 15 17:34:15 CEST 2020] ACCOUNT_THUMBPRINT='XXXXXXX'
[Fri May 15 17:34:15 CEST 2020] Creating domain key
[Fri May 15 17:34:16 CEST 2020] The domain key is here: /root/.acme.sh/*.meinedomain.tld/*.meinedomain.tld.key
[Fri May 15 17:34:16 CEST 2020] Single domain='*.meinedomain.tld'
[Fri May 15 17:34:16 CEST 2020] Getting domain auth token for each domain
[Fri May 15 17:34:18 CEST 2020] Getting webroot for domain='*.meinedomain.tld'
[Fri May 15 17:34:18 CEST 2020] Add the following TXT record:
[Fri May 15 17:34:18 CEST 2020] Domain: '_acme-challenge.meinedomain.tld'
[Fri May 15 17:34:18 CEST 2020] TXT value: 'XXXXXXX'
[Fri May 15 17:34:18 CEST 2020] Please be aware that you prepend _acme-challenge. before your domain
[Fri May 15 17:34:18 CEST 2020] so the resulting subdomain will be: _acme-challenge.meinedomain.tld
[Fri May 15 17:34:18 CEST 2020] Please add the TXT records to the domains, and re-run with --renew.
[Fri May 15 17:34:18 CEST 2020] Please add '--debug' or '--log' to check more details.
[Fri May 15 17:34:18 CEST 2020] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

root@NAS-Webserver:~# sudo ./acme.sh --renew -d *.meinedomain.tld --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please
[Fri May 15 17:40:25 CEST 2020] Renew: '*.meinedomain.tld'
[Fri May 15 17:40:27 CEST 2020] Single domain='*.meinedomain.tld'
[Fri May 15 17:40:27 CEST 2020] Getting domain auth token for each domain
[Fri May 15 17:40:27 CEST 2020] Verifying: *.meinedomain.tld
[Fri May 15 17:40:31 CEST 2020] Success
[Fri May 15 17:40:31 CEST 2020] Verify finished, start to sign.
[Fri May 15 17:40:31 CEST 2020] Lets finalize the order, Le_OrderFinalize: XXXXXX
[Fri May 15 17:40:33 CEST 2020] Download cert, Le_LinkCert: XXXXX
[Fri May 15 17:40:33 CEST 2020] Cert success.


-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
[Fri May 15 17:40:33 CEST 2020] Your cert is in /root/.acme.sh/*.meinedomain.tld/*.meinedomain.tld.cer
[Fri May 15 17:40:33 CEST 2020] Your cert key is in /root/.acme.sh/*.meinedomain.tld/*.meinedomain.tld.key
[Fri May 15 17:40:33 CEST 2020] The intermediate CA cert is in /root/.acme.sh/*.meinedomain.tld/ca.cer
[Fri May 15 17:40:33 CEST 2020] And the full chain certs is there: /root/.acme.sh/*.meinedomain.tld/fullchain.cer

Jetzt nur ein weg finden das ganze automatisiert zu aktualisieren dann wäre ich schon ganz froh
Zertifikat wurde in meine NAS eingepflegt und wird dort auch richtig angezeigt und mit meiner Domain ist auch alles prima und funktioniert richtig ^^

 

[rritter]

Moin, was mich wundert ist, dass seit der version 6.2.2-24922-6 die Verfuegbarkeit der Updates nicht mehr erkannt und gemeldet werden. Ich habe dann vor ein paar Wochen manuell auf 6.2.3-25423 aktuelisiert, Version welche im dowload center explizit auch fuer die 1512+ publiziert wurde. Nun habe ich gesehen dass ein weiteres Update, die Version 6.2.3-25426, zur Verfuegung steht welche mein 1512+ weder gemeldet noch erkannt hat.
Danke im Voraus fuer Euer Feedback,
Gruss, Rolf

 

[Heaven1976]

Also ich wollte das Multi Zertifikat auch für mein Mailserver nutzen, aber das funktioniert nicht und bekomme gleich eine Warnung in Thunderbird ob ich eine ausnahme Regelung hinzufügen will.
Bei den anderen Zertifikaten funktioniert das auch ohne.

Woran kann das liegen??
Bei meiner Webseite funktioniert es aber tadellos ohne das ich da eine Warnung bekomme.

 

[maulsim]

Ich weiß nicht wie es explizit beim Mailserver ist, aber ich habe die Erfahrung gemacht, dass Wildcard Zertifikate bei manchen Diensten nicht vertrauenswürdig genug sind. Ich kenne das von meiner WLAN RADIUS Authentifizierung unter Windows 10. Das akzeptiert mein Wildcard Zertifikat auch nicht. Ich kann mich nur über RADIUS im WLAN anmelden, wenn ich ein Nicht-Wildcard Zertifikat verwende.

 

[Heaven1976]

Das wäre natürlich doof, wenn es daran scheitert
Weil dann kann ich genauso gut meine anderen derzeit benutzten 2 Zertifikate nutzen.

Hab schon gegoogelt aber diesbezüglich nix gefunden bisher.

 

[maulsim]

Vielleicht findet sich hier noch jemand der sich mit Mailserver besser auskennt oder da gesicherte Details hat. Ich hatte es für Windows 10 damals als Problem ergoogelt. Ich verwende mein Wildcard Zertifikat für die ganzen Subdomains der Dienste wie Audio, Video, Foto, Kalender,.... Ich habe aber auch nicht das Lets Encrypt Wildcard Zertifikat sondern eines von meinem Domain Anbieter, welches ich dort gebucht habe. Meine Android Handys haben sich damals übrigens nicht quergestellt beim Wildcard Zertifikat und WLAN. Ich weiß nicht mehr wie es mit dem Mac war. Aber da entscheidet jedes System/Programm selbst was es vertrauenswürdig findet.

Wildcard Zertifikate sind halt recht einfach und praktisch, aber es findet keine Überprüfung der Subdomains mehr statt, was vermutlich die Missbrauchsmöglichkeiten erhöht. Wenn man im DSM die einzelnen Subdomains mit in das Zertifikat aufnimmt, wird ja auch jede auf die Erreichbarkeit geprüft. Das findet beim Wildcard Zertifikat entsprechend nicht statt. (Korrigiert mich, falls ich hier mit der Meinung falsch liegen sollte)

 

[Heaven1976]

als postausgangsserver und posteinangserver ist: meinedomain.tld eingetragen.
Dafür habe ich auch ein Zertifikat erstellt welches immer erneuert wird und auch super funktioniert.

Aber nutze ich das Wildcard zertifikat und den selbe domain als post eingangs und ausgangsserver meckert thunderbird rum und will das ich eine ausnahme hinzufüge.
Wenn ich die Zertifikatsinfo mir anzeigen lasse steht auch drin *.meinedomain.tld





Also scheint irgendwie nicht zu funktionieren.
bzw. evtl mag Thunderbird solche Zertifikate nicht.