Eigenes Let's Encrypt Zertifakt auf NAS erstellen

[baessi]

Hallo zusammen,

ich wollte ein "gültiges" Zertifikat auf meinem NAS einrichten scheiter aber immer wieder obwohl ich die Anleitung vom Support genau befolge:

1. Öffnen Sie die Systemsteuerung von DSM.
2. Klicken Sie auf "Sicherheit".
3. Wechseln Sie in den Tab "Zertifikat".
4. Klicken Sie auf "Hinzufügen".
5. Wählen Sie "Vorhandenes Zertifikat ersetzen" und klicken Sie auf "Weiter".
6. Wählen Sie "Zertifikat von Let's Encrypt abrufen".
7. Haken Sie außerdem "Als Standardzertifikat festlegen" an.
8. Klicken Sie nun auf "Weiter".
9. Tragen Sie nun bitte Ihren DDNS-Namen sowie Ihre E-Mailadresse ein. Das letzte Feld lassen Sie leer.
10. Klicken Sie nun auf "Übernehmen".

Wenn ich dann "Übernehmen" klicke kommt die Meldung: „Vorgang fehlgeschlagen. Bitte melden Sie sich erneut an der DSM an und versuchen Sie es erneut“.

Ich habe auch auf meiner Fritz Box eine Portweiterleitung (Port 80; 443 und 5000-5001) für die NAS eingerichtet - siehe Bild


Bitte beachten: Externer Port 62125 ist intern auf 443 gemappt.

Hat jemand eine Idee woran es klemmt?

Vielen Dank für Eure Hilfe!

Viele Grüße!

Rolf

 

[iLion]

Der Port 443 sollte auf jeden Fall von extern auf den NAS Port 443 zeigen. Anders wird das keinen Sinn machen. Ich vermute das dieser Port im Moment noch von der Fritz!Box belegt ist. Neuere FRITZ!OS Versionen nutzen automatisch einen per Zufall generierten Port und geben damit den 443 frei. Das solltest Du per Hand abändern.

 

[tproko]

Bei mir klappt das Anfordern und Erneuern mit nur einem Port. Nämlich Port 80 offen via Portweiterleitung.

443 am Router wird für VPN verwendet und geht auch nicht Richtung NAS:443.
Ich betreibe keine Webstation. Darübern läuft der Handshake angeblich auch wieder anders. Bei mir dürfte das Authentifizieren über den Standard nginx abgewickelt werden.

Also es müsste nur mit Port 80 möglich sein.
Kannst du mal mit ssh aufs NAS und dort ins Log schauen.
War glaub ich /var/log/messages für LE Anforderung. Zb. anfordern und dann tail -n 100 DATEI

 

[baessi]

Hallo iLion,

intern wird auf Port 443 gemappt nur extern nimmt die FritzBox den Port 62125 - und da kann ich auch nichts verändern....
Da komm ich leider nicht weiter mit.. :-(

 

[baessi]

Hallo tproko,

ich muss zu meiner Schande gestehen ich bin nicht so ein IT-Expert wie Du offensichtlich (war schon froh dass ich das mit den Portweiterleitungen einigermassen geschafft habe)
Port 80 ist aber auch auf jeden Fall weitergeleitet (siehe auch Screenshot) - um mit Deinem Rat weiter voranzukommen (Zugriff via SSh auf das Log usw. bräuchte ich doch leider noch etwas mehr/genauere Anleitungen...

 

[Fusion]

@baessi - Fritzbox > Internet > Freigaben > Fritz!Box Dienste > TCP Port für https.

Aber es stimmt, für die Beantragung mit Domain Validierung via http-01 challenge wie sie Synology benutzt bedarf es nur Port 80
https://tools.ietf.org/html/draft-ietf-acme-acme-07#section-8.3

Zum eigentliche Thema:
Ich würde bei Erstellung ein NEUES Zertifikat erstellen und nicht ein anderes Ersetzen lassen, wenn es nicht angeraten ist.
Es gibt zwar Gründe dies zu tun, aber nicht bei einer Erstaussellung.

Dann wäre zu prüfen, dass deine sub.domain.de die du im Zertifikat einträgst auch wirklich von extern via http://sub.domain.de erreichbar ist.

Das sind die zwei Punkte die mir noch einfallen, alles andere würde den Schritt auf die Konsole bedingen um mehr Infos zu bekommen.

 

[baessi]

Hallo Fusion,

danke für die zusätzlichen Ideen....
Mir war nciht bewusst dass ich auch eine eigene Domain anmelden muss.. (ich nutze nur einen DDNS-Service - no.ip.com) - reicht das nicht aus?

 

[Fusion]

Ich hab ja von "deine" und nicht von "eigener" Domain gesprochen.
dynDNS Domains gehen auch ala meine.no-ip.com.
Da gibt es eben teilweise Raten pro Tag7Woche wie viele Domains ein Zertifikat bekommen und nach wie vielen Fehlversuchen eine Pause ansteht etc. Das sieht man meist in der Fehlermeldung in der GUI von Synology nicht.