Kann kein zweites Lets Encrypt Zertifikat erstellen

Hein06 · 27. Apr 2024

Hallo
Ich habe eine www.domain.de bei Strato die ich hauptsächlich für emails nutze. Vor ca. 6 Monaten habe ich syno Photos gestartet. Ich habe eine Subdomain me.domain.de konfiguriert und mein DDNS bei CName eingetragen, auf der DS habe ich dann ein Zertifikat für me.domain.de erstellt. Klappte alles ohne Probleme.
Nun wollte ich ein Drive Verzeichnis für einige Leute freigeben. Ich habe also eine Subdomain drv.domain.de erstellt, den DDNS auch bei CName eingetragen und den Reverse Proxy konfiguriert. Die Fritzbox macht Portfreigaben für Port 80 nach 8070 und 443 nach 443 Ziel ist die IP der DS.

Der Reverse Proxy sollte funktionieren, soweit ich das testen konnte. (Photo funktioniert einwandfrei und drive mit http)
Zunächst wollte ich das Zertifikat von me.domain.de nutzen, klappte aber nicht. Ich habe dann versucht ein neues Zertifikat für drv.domain.de zu erstellen. Ich bekomme immer diese Fehlermeldung :

Die IP Adresse ist ok , die Firewall der DS war zur Zertifikat Erstellung komplett deaktiviert.

Anzeige · 27. Apr 2024

Hallo Hein06,

Bücher und Hardware zum Thema gibt es bei Amazon: Kann kein zweites Lets Encrypt Zertifikat erstellen

Dreamdancer77 · 27. Apr 2024

Für die Erstellung der Zertifikate wird eine Verbindung auf Port 80 (oder 443) auf die Synology benötigt (für den Webserver). Ich habe für so diesen Fall eine temporäre Portweiterleitung im Router (Port 80 extern auf Port 80 Synology) eingerichtet, die zum Einrichten/Verlängern der Zertifikate kurzzeitig scharf gestellt und nach der Aktualisierung wieder deaktiviert wird.

Hein06 · 28. Apr 2024

Das sollte eigentlich funktionieren. Laut Lets Encrypt Webseite akzeptieren sie bis zu 10 Portweiterleitungen. Ich brauche die Portweiterleitungen auch für den Reverse Proxy, der bestimmt ja das Ziel. Außerdem würden fehlende Ports in der Fehlermeldung direkt angemeckert.
Das habe ich bei Verlängerung des Zertifikats für Photo gesehen. Die Firewall der DS war zunächst noch aktiv, dort werden Port 80 und die Weiterleitungen geblockt. Deshalb hatte ich auch die Firewall zur Zertifikats Erstellung komplett deaktiviert. Nach erfolgreicher Erstellung wird auch die Portfreigabe für Port 80 in der Fritzbox gelöscht.
Ist es möglich für www.domain.de (strato) ein Wildcard Zertifikat von Lets Encrypt zu bekommen ?

Dreamdancer77 · 28. Apr 2024

Ja, Wildcard Zertifikate lassen sich erstellen, du kannst ja in die Aliase die Subdomains mit eintragen.

P.S. Du kannst bei Deinem Zertifikat auch die andere Subdomain als Alias eintragen, dann brauchst Du nur ein Zertifikat (musst dieses allerdings nochmal neu anlegen).

Hein06 · 28. Apr 2024

Einen weiteren Alias einzutragen ist mir jetzt eigentlich zu riskant. Wenn es schief geht , geht Photo auch nicht mehr. Ich mache mal einen Test : Ich exportiere das Zertifikat von der ds423+(DSM7.2) und versuche es auf der ds214 (DSM7.1) zu importieren. Falls das klappt könnte ich ja das Zertifikat im Notfall wieder auf der Ds423+ importieren. Oder spricht irgendetwas dagegen ?

Dreamdancer77 · 28. Apr 2024

Nein, sollte so funktionieren.

Hein06 · 28. Apr 2024

Das Zertifikat konnte ich auf der DS 214 importieren, sieht gut aus : grünes Schloss
werde ich später testen ob es auch funktioniert.
Eine Frage noch zu den alias für die Subdomains. Kann ich da 2-3 mehr als Reserve anlegen oder müssen die in der Domain auch vorhanden sein ?

Dreamdancer77 · 28. Apr 2024

Nein, kannst die auch auf Reserve anlegen, mache ich bei meinem Zertifikat auch.

Hein06 · 28. Apr 2024

Das importierte Zertifikat auf der DS214 funktioniert. Ich habe dann versucht das Zertifikat mit weiteren Aliasen auf der Ds423+ zu ersetzen. Ich bekomme nach wie vor die gleiche Fehlermeldung. Ich habe dann versucht es einfach zu machen und habe nur mit Synophoto versucht das Zertifikat zu ersetzen. Immer die gleiche Fehlermeldung. Aktuell bin ich 3 Stunden gesperrt wegen zu vieler Fehlversuche. Mir gehen allerdings auch die Ideen aus.

Janüscht · 28. Apr 2024

Ich würde einen anderen Weg gehen. Nutze doch einfach acme.sh als Script oder in Docker (empfohlen). Damit kannst du einfach ein Wildcard-Zertifikat beantragen und auf die DS automatisch installieren und aktualisieren (alle 60 Tage). Dazu benötigst du keine Portfreigaben oder ähnliches.

Was ich von Strato halte, habe ich schon hier geschrieben. Leider biete Strato keine acme-Schnittstele, wodurch man den Weg über einen Andren Anbieter (Alias-Mode) oder die Verwaltung über einen anderen Dienst z.B. Dynv6 (empfohlen) oder Cloudflare. Dazu ist es nur nötig, die Nameserver in Strato zu ändern. Die Verwaltung über Dynv6 ist sehr schnell und einfach. Eine Anleitung braucht man dafür nicht wirklich. Schlechter als bei Strato kann es eh nicht sein.

Ich würde das Zertifikat mit acme in Docker erstellen und auf die 423+ importieren. Es ist auch möglich, das Zertifikat von der 423+ auf die 214 zu übertragen/importieren. Natürlich würde acme.sh auch nativ auf der 214 funktionieren. Auch eine Übertragung über das Internet oder VPN ist kein Problem.

Ich stelle immer ein Zertifikat für die Domain selbst als auch als Wildcard aus: domain.xy & *.domain.xy. Damit sind alle Subdomain (erstelle & zukünftige) abgedeckt. Ein erneutes Beantragen bei Änderung ist nicht nötig. Durch die Automatik, wird das Zertifikat alle 60 Tage, also 30 Tage vor Ablauf aktualisiert.

Ich hoffe, es hilft dir weiter. Es könnte dein Arbeitsablauf vereinfachen, weil du nur noch ein Zertifikat benötigst!