Let´s Encrypt erneuern ohne Port 80 oder 443

[Inschinjör]

Ich verwende Synology DDNS und Let´s Encrypt und habe mir im Kalender vorgemerkt, wann ich die Ports 80 und 443 auf meiner FritzBox öffnen muss, um das Zertifikat zu erneuern. Als ich das nun machen wollte, habe ich bemerkt, dass das Zertifikat bereits verlängert ist (die Ports 80 und 443 sind in der FritzBox nicht geöffnet). In der FritzBox habe ich den Port 6281 für HyperBackup und die Ports 1701, 500 und 4500 für L2TP/IPsec für VPN geöffnet. Ich habe daraufhin unter Systemsteuerung-Sicherheit-Zertifikat das Zertifikat nochmal erneuert - auch das funktioniert problemlos.
Hab ich da nur eine Neuerung verschlafen, oder reichen die vier geöffneten Ports für die Erneuerung des Zertifikats aus?
Kann mich bitte jemand aufklären, warum das funktioniert - wäre schön!

 

[Fusion]

Wie lautet denn die Domain für welche du Zertifikate benutzt?
Sollte es eine synology.me Adresse sein wird die Aktualisierung vermutlich über dns01 laufen, also einen TXT record im DNS System.
Und da Synology volle Kontrolle darüber hat kann die DS diese Records vermutlich dort dynamisch anlegen lassen.

Damit fände eine Domain-Validierung über 80/443 nicht mehr statt.
Dass Ports von anderen Diensten glaube ich nicht, da lets encrypt das meines Wissens nicht unterstützt.

Wenn du es selber überprüfen willst müsste man es via Aufgabenplaner oder Konsole angehen, dass man eine ausführliche Logausgabe bekommen kann.

 

[Inschinjör]

@Fusion,
vielen Dank für die rasche Antwort.
Ja, ich verwende xxx.synology.me.
Um das über Aufgabenplaner oder Konsole verifizieren zu könne fehlt mir das notwendige Fachwissen.
Nochmals Danke!

 

[Fusion]

Normal via Konsole, daher habe ich jetzt nicht getestet wie es mit Umgebungsvariablen Probleme gibt oder ähnliches via Aufgabenplaner.

Im Aufgabenplaner ein benutzerdefiniertes Script anlegen mit Befehl

/usr/syno/sbin/syno-letsencrypt renew-all -vv > /volume1/GemeinsamerOrder/log.txt

Den Gemeinsamen Ordner noch ersetzen mit dem Namen eines bei die existierenden auf Volume1.

In der log.txt sollte dann die Ausgabe des Befehls landen. Dauert sicher ein paar Sekunden, ähnlich lang wie die Erneuerung über die Gui.

Darin solltest du dann challenge dns-01 anstatt http-01 finden.

https://letsencrypt.org/de/docs/challenge-types/

 

[Inschinjör]

@Fusion,
hab ich gemacht:

das Ergebnis ist:


Ist nicht das, was ich erwartet habe.
Hab ich was falsch gemacht?

 

[the other]

Moinsen,
also für meine müden gefährlich halbwissenden Augen sieht das doch ok aus für jetzt: du hast einmal die Meldung bekommen, dass LE eben nix mit dem Syno-Zertifikat anfangen kann und einmal, dass dein LE Zertifikat nicht erneuert wird, da es nicht abgelaufen ist, wie du ja auch oben selber gesagt hast (dass es eben durch Zauberhand irgendwie DOCH erneuert wurde, auch ohne freigegebenen Port 80/443)...
Wäre also spannend, wie das Debug aussieht, wenn das Zertifikat auch abgelaufen ist (also in einem Monat...).

Wie gesagt, nur gefährliches Halbwissen, mal schauen was die Pros hier dazu sagen...

 

[Inschinjör]

@the other,
bin auch gespannt wie das geht, zumal Synology für das Erneuern die Ports verlangt:



Ich habe es nach dem Skript unter Systemsteuerung-Sicherheit-Zertifikat nochmal erneuert - hat wieder funktioniert.
Gruß
Inschinjör

 

[Fusion]

Was heißt 'hat wieder funktioniert'?
Hat sich das Datum oder der Fingerabdruck des Zertifikat geändert, oder einfach nur, dass es ohne Fehlermeldung durchgelaufen ist (vermutlich ohne was zu ändern wie beim Konsole Aufruf auch)?

Man könnte jetzt per Gewalt erneuern, aber die Empfehlung wäre der Einfachheit: Mach die ne Notiz und lasse das Script in zwei Monaten oder so noch mal laufen.

Oder es gibt jemand der ähnlich arbeitet und es in der Zwischenzeit ebenfalls bestätigt.

 

[Syno-OS]

1. die 'synology.me' Adressen nutzen die Domain Verfikation Methode (DNS-01 challenge), dh. der Synology DNS Server wird zur Verifikation genutzt
https://letsencrypt.org/de/docs/challenge-types/
Bei anderen Adressen müsst ihr die Host Verifikation verwenden, dann Ports öffnen.

2. Let's Encrypt beschränkt die Anfrage mit einem Stunden/Tages Anfrage Limit
https://letsencrypt.org/de/docs/rate-limits/

3. Und ersetzt dieses Standard Zertifikat, einfach löschen...(wenn man ein anderes hat, natürlich lieber erwähnen, man weiss ja nie hier )

 

[Inschinjör]

Was heißt 'hat wieder funktioniert'?
Hat sich das Datum oder der Fingerabdruck des Zertifikat geändert, oder einfach nur, dass es ohne Fehlermeldung durchgelaufen ist (vermutlich ohne was zu ändern wie beim Konsole Aufruf auch)?

Das Datum ändert sich, sonst ?

@Syno-OS,
danke für die Info!
Funktioniert also so wie es @Fusion schon erwähnt hat.
Kannst Du noch was zu Deiner Bemerkung sagen:

3. Und ersetzt dieses Standard Zertifikat, einfach löschen...(wenn man ein anderes hat, natürlich lieber erwähnen, man weiss ja nie hier )

Ich sichere meine Daten bei einem Verwandten über HyperBackup. Auch er hat bisher immer brav die Ports geöffnet und das Zertifikat verlängert. Wie das von Synology auch verlangt wird (siehe mein print screen von gestern 18:02). Auch bei Ihm funktioniert es (nach Test) ohne die Ports. Ich bin sicher, wir sind nicht die einzigen, die diese "Blödbewegung" machen bzw. gemacht haben. Ich geh mal davon aus, dass die meisten Synology-Benutzer keine IT-Experten sind - kann Synology das nicht mal klarstellen ?!?!?!

 

[peterhoffmann]

Zwecks Test habe ich jetzt mal Port 80 und 443 geöffnet und ein Zertifikat erstellt. Das klappte problemlos.
Port 80 und 443 sind nun wieder zu.
Am 1. März läuft das Zertifikat ab, sprich Anfang Februar müsste es sich ja erneuern. Ich werde berichten.

 

[Fusion]

Normal geht Synology denke davon aus, dass man den Webserver mit Zertifikat auch aus dem Internet erreichen will, deshalb sollte 80/443 offen sein (https-Umleitung aktiv). Deshalb sehe ich nicht was Synology da klarstellen sollte.
Klar ist es sicherer die Syno nicht ins Netz zu hängen, aber dann trotzdem let's encrypt Zertifikate zu haben, ist halt vermutlich nicht der Hauptanwendungsfall der da angedacht war. Und bei selbst signierten muss man die Nutzung halt einmalig abnicken und dann läuft es auch.
Und es in der Doku zu erwähnen..
.. Die lesen ja eh die wenigsten.

Zu Punkt 3)
Das synology.com selbst signierte Zertifikat einfach so lassen wie es ist. Das zu löschen ist nur Ordnungswahn in meinen Augen. Einfach nicht zuordnen / konfigurieren. Das stört nicht weiter.

 

[Inschinjör]

So, bin wieder etwas schlauer - vielen Dank!
Gruß
Helmut

 

[Splash_er]

Hallo,
ich klemme mich mal an diesen Thread, da ich ein Problem habe.
Entweder ich sehe es richtig, dass es nicht funktioniert, oder ich stehe auf dem Schlauch und bitte daher um Hilfe und Erklärung.
Ich nutze eine FritzBox 7590, wo dahinter zwei unabhängige Synology NAS hängen, die jeweils mit Let´s Encrypt Zertifikaten (einmal Subdomain und zwei mal xxx.synology.me) versorgt werden.
Um die Erneuerung dieser zu gewährleisten, muss ich ja in der FritzBox den 80 & 433 Port öffnen, was ja aber leider immer nur für ein Gerät dahinter funktioniert.
Nun müsste ich ja immer, wenn die Erneuerung ansteht, die Portfreigabe auf das andere Gerät legen, damit es eben funktioniert/das Zertifikat erneuert wird.
Gibt es irgendeine Möglichkeit, mit der FritzBox, dies doch zu ermöglichen?
Um jeden Ratschlag wäre ich dankbar...
Vielen Dank
Tilo

 

[plang.pl]

FritzBox den 80 & 433 Port öffnen

Nein. Synology.me Zertifikate brauchen keinen offenen Port

 

[ctrlaltdelete]

Let´s Encrypt Zertifikaten

und für die würde ich acme.sh verwenden

 

[Splash_er]

Hallo,
danke für die Aussagen.
Ich habe es gerade noch einmal getestet und kann bestätigen, trotz der Warnmeldung von der Synology (Port 80 & 433) zu öffnen, dass es mit den Synology-Zertifikaten funktioniert.

In Bezug zu acme.sh
https://www.howtoforge.de/anleitung/erste-schritte-mit-acmesh-lets-encrypt-ssl-client/
habe ich bereits die Aufgabe der Erneuerung gestezt...wenn ich die Aussage richtig verstehe.
Wenn nicht, und es in Bezug zu einer SSL-Zertifikatserneuerung einer SubDomain (die in der Synology unter Zertifikate hinterlegt ist) ist, ohne den 80 & 433 Port öffnen zu müssen, wäre ich da für eine weitere Info echt dankbar.

 

[plang.pl]

Der Hinweis der DS ist tatsächlich irreführend.
Für acme brauchst du auch keine Ports zu öffnen.
Bei einer synology.me Domain sehe ich aber keinen Vorteil darin, acme.sh zu nutzen. Bzw glaube ich, dass Synology diese API gar nicht anbietet

 

[Splash_er]

Darum geht es mir ja auch nicht, sondern, wie geschrieben, um eine eigene, individuelle SubDomain, wie meinenas.meinesynolgy.de.
Die Erneuerung funktionier ja nicht ohne die Öffnung der Ports…zumindest bei mir.

 

[plang.pl]

Du hast doch geschrieben, dass es funktioniert:

und kann bestätigen, trotz der Warnmeldung von der Synology (Port 80 & 433) zu öffnen, dass es mit den Synology-Zertifikaten funktioniert.

Alternativ kannst du auch nur auf einem NAS das Zertifikat anfordern / hinterlegen und die zweite NAS dann via Reverse Proxy über die erste erreichbar machen (mit Subdomain)