DSM 6.x und darunter keine Verbindung zu Letsencrypt

[rici]

Hallo zusammen,

ich bekomme keine Verbindung zur Let´s encrypt. Mein Zertifikat erneuert sich nicht selbstständig, da wurde ich drauf aufmerksam. Wenn ich es manuell verlängern / erneuern möchte, kommt " Vorgang nicht möglich, bitte neu bei DSM anmelden."

Firewall Synology aus
Portfreigabe Fritzbox 80, 443 und 5000/5001

Jemand ne Idee ?

Gruss

Ric

 

[TheGardner]

80 und 443 reichen! Nur müssen da zumindest auch Seiten hinter stehen - also bestenfalls die Syno Testseiten der Webstation

 

[rici]

80 und 443 reichen! Nur müssen da zumindest auch Seiten hinter stehen - also bestenfalls die Syno Testseiten der Webstation

kannst du das bitte etwas genauer erläutern was / wie du es meinst ? ich dachte die "ganze NAS" ist dann für die Ports frei ?

 

[rednag]

LE verlängert die Zertifikate über Port 80.
Die Domains (Subdomains) für welche die Zertifikate ausgestellt werden sollen, müssen erreichbar sein.
Kannst Du die Web Station mit DynDNS erreichen?

 

[rici]

ah jetzt wird es langsam deutlicher ich nutze den "dyndns dienst " der Fritzbox und gehe dann über Port 5000/5001 auf das NAS

 

[rednag]

Nun, was willst Du denn konkret erreichen? Port 500/1 interessiert LE nicht.
Abgesehen davon soll man DSM auch nicht ins Internet hängen.

 

[rici]

ich möchte einfach nur das das zertifikakt verlängert wird das zertifikat für den fritzbox dyndns dienst.
und so wie ich es beschrieben habe sind meine aktuellen rahmenbedingungen.

 

[rednag]

Ist das Zertifikat auch auf die subdomain ausgestellt worden? Erreichst Du die Seite über DynDNS? Siehe #4
Was gibt das manuelle Verlängern über /usr/syno/sbin/syno-letsencrypt renew-all aus?

 

[rici]

ja, ist von außen erreichbar und wurde auf die subdomain ausgestellt
beim manuellen Verlängerungsversuch per Aufgabenplanung passiert nix. Ich bekomme per Mail auch keinen Statusbericht.

 

[TeXniXo]

Ports 80 bzw. 443 müssen einfach offen sein zu dem Zeitpunkt, wo LE auslaufen wird (plus minus 3 Tage halt). Aber wie #4 und #9 erwähnt, sollen auch jene Domains und deren LE "erreichbar" sein.

 

[Fusion]

@rici - also sub.myfritz.net oder wie die Adresse für das Zertifikat lautet läßt sich im Browser per http und https feherlos aufrufen von extern (nicht LAN/WLAN)?
Wenn ja, dann liegt da schon mal kein Fehler.

Um mehr Infos von dem Script zu bekommen musst du es leider direkt auf der Konsole (SSH oder Telnet) laufen lassen und den Parameter -vv hinten anhängen.
Per Aufgabenplaner geht das denke ich nicht bzw. habe es nicht ausprobiert.
Man könnte dort ja mal das -vv anhängen und sich eine Mail bei Erfolg und Misserfolg schicken lassen, ob das ginge.

 

[rici]

ja, lässt sich aufrufen. hier die Fehlermeldung nach ausführen der Aufgabe:
Aufgabe: Task 9
Startzeit: Tue, 13 Jun 2017 15:47:29 GMT
Stoppzeit: Tue, 13 Jun 2017 15:47:30 GMT
Aktueller Status: 0
Standardausgabe/Fehler:
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/eQmDlw/cert.pem]
DEBUG: start to renew [/usr/syno/etc/certificate/_archive/eQmDlw].
DEBUG: setup acme url https://acme-v01.api.letsencrypt.org/directory
DEBUG: szUserAgent: [synology_armada370_114 DSM6.1-15101 Update 4 (DDNS)]
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/directory
DEBUG: Curl Reply: [200] Header: [HTTP/1.1 200 OK
Server: nginx
Content-Type: application/json
Content-Length: 352
Boulder-Request-Id: 1i229oHQ5DT7BIoh9nFFPnN8hlyDh8WjLPAyhDSfK0g
Replay-Nonce: asjaQGfBGLkzHZD7BDjiNUeGg77fTRYI4TI9MHKNRy8
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Expires: Tue, 13 Jun 2017 13:47:30 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Tue, 13 Jun 2017 13:47:30 GMT
Connection: keep-alive

] Body: [{
"key-change": "https://acme-v01.api.letsencrypt.org/acme/key-change",
"new-authz": "https://acme-v01.api.letsencrypt.org/acme/new-authz",
"new-cert": "https://acme-v01.api.letsencrypt.org/acme/new-cert",
"new-reg": "https://acme-v01.api.letsencrypt.org/acme/new-reg",
"revoke-cert": "https://acme-v01.api.letsencrypt.org/acme/revoke-cert"
}]
DEBUG: strat to do new-authz for blabla.myfritz.net
DEBUG: ==> start new authz.
DEBUG: new authz: do new-authz.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: Post JWS value: {
"identifier" : {
"type" : "dns",
"value" : "blabla.myfritz.net"
},
"resource" : "new-authz"
}

DEBUG: szUserAgent: [synology_armada370_114 DSM6.1-15101 Update 4 (DDNS)]
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: Post value: {
"header" : {
"alg" : "RS256",
"jwk" : {
"e" : "AQAB",
"kty" : "RSA",
"n" : "yE_EXElfkyPe8QV5ewRlHyEgR-nqQwqt7WR12SHPgO-wTO0lKZ3RsSAQ_hUSWmfHCX9vUkjwGVNqsx1cXbNDtOL4QFm4NjCPs8Y59XzvhmYe3kG6Eo_ZHsUZEbBtkiVSe7KfCCFoxCKM-dcqGufXErk6hnrcocWyv44mQfVaGpwU52wIrFkkyi1ceK-6fiU0qmb-Xyn67DQRNOKwVEg9zvpAHRg4LjhF6x-HcJTV1YPqsB0W0xRVQ2LoT9Kg8QqknICAGVaz2Q7lDDVZaHrB3Th8wx7MBCJestDFVCbyMzUImqZ8uWXWqJLrsyo7AfJnSleZ4-O_QdafOOqxF22Rzw"
}
},
"payload" : "eyJpZGVudGlmaWVyIjp7InR5cGUiOiJkbnMiLCJ2YWx1ZSI6Ink4ZTkxa3l0eTNybHVuZmEubXlmcml0ei5uZXQifSwicmVzb3VyY2UiOiJuZXctYXV0aHoifQo",
"protected" : "eyJub25jZSI6ImFzamFRR2ZCR0xrekhaRDdCRGppTlVlR2c3N2ZUUllJNFRJOU1IS05SeTgifQo",
"signature" : "UIpBYRxSKZirSD0J4qVjXpGbCS4B96-oDiFS_WSRHZ7t-T5UF9N7BS5S3Y4Jen_AqXyweeKMjFVn7eWnFa9u0yUythSHz92QdY1YawcM1AffekXKoAxQYxRa7ADPbijWZCzOUwdEGn2TUq1TUc3jc-76pQ1_-kcM_ywre6K8rDMYWt7fAp5N4mgVbvI-Drz5xNfVKwdCMxCDmuZRPMYP_4f8v6RuCMotSv03ILyw9h4AXk4dY9p3han7YuQQOgRR_nXE2szEwbo96Lpicd1NgWjP5U-WgfbXoIwG9Uhd5HlHytYNj7fCvNp_Vj8fUqwRyz0A7EMe12GSxsDQUJw6SQ"
}

DEBUG: Curl Reply: [429] Header: [HTTP/1.1 429 Unknown
Server: nginx
Content-Type: application/problem+json
Content-Length: 144
Boulder-Request-Id: m3WN-7eweqOnaw5wKz8j7qXWH4roAajZ_bT9ysoxI7o
Boulder-Requester: 2772864
Replay-Nonce: bvdRCq94ZEmOBBMKIx29Sk5p_AQ_pnAJMfEU_i6LgK0
Expires: Tue, 13 Jun 2017 13:47:30 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Tue, 13 Jun 2017 13:47:30 GMT
Connection: close

] Body: [{
"type": "urn:acme:error:rateLimited",
"detail": "Error creating new authz :: Too many invalid authorizations recently.",
"status": 429
}]
DEBUG: Not synology DDNS.
DEBUG: DNS challenge failed, reason: {"error":108,"file":"challenge.cpp","msg":"Not synology DDNS."}

DEBUG: Normal challenge failed, reason: {"error":200,"file":"client.cpp","msg":"new_authz: unexpect httpcode."}

 

[Fusion]

"detail": "Error creating new authz :: Too many invalid authorizations recently.",

Da hilft vermutlich nur warten, oder ne andere Domain zu nehmen.

 

[NSFH]

Meinst du?
"Too many invalid authorizations recently."
Die Betonung liegt auf invalid!

 

[Fusion]

Die Rate gilt ja für myfritz.net. Wer weiß wie viele da (valide) LE Anfragen stellen. Da hat @rici keinen Einfluss drauf.

Die letzten drei Zeilen kann ich allerdings auch nicht richtig einordnen.

 

[rici]

das komische ist, dass es plötzlich so ist. ich habe bisher nie eine ablauferinnerung von lets encrypt bekommen. meines erachtens bis auf die normalen updates auch nichts an der konfig verändert...

 

[rici]

Problem gelöst ! es lag an der eingestalteten IPV6 Unterstützung in der Fritzbox. Ausgeschaltet und siehe da Zertifikat verlängert

 

[Fusion]

Das war aber sicher nicht die Ursache, sondern ein Symptom.
Eventuell wird IPv6 bevorzugt und es gab aber keinen DNS Eintrag für die Domain, oder was in die Richtung.

Aber schön, dass es für dich wieder funktioniert.

 

[Outlaw]

Mein LE Update funzt prima trotz aktiviertem IPv6, daran lag es wohl sicher nicht ....

 

[rici]

doch siehe antwort vom lets encrypt support. nach deaktivieren der ipv6 unterstützung gign es sofort. ich habe nicht anderes gemacht.
"A few weeks ago Let's Encrypt switched to prefer IPv6 to IPv4 for validation purposes when both are offered. This has exposed a lot of incompatibilities and bugs because a lot of people advertise an IPv6 address yet can't properly receive incoming connections on it.

It's likely that there's a bug either in the Fritzbox or in the Synology client that means that it can't support Let's Encrypt validations over IPv6. I don't know exactly what that bug would be, but it's been very typical of other people's experiences with validations over IPv6, unfortunately. It would be great to let them know about this in the hope that they can fix it for everyone."