Let´s Encrypt erneuern ohne Port 80 oder 443

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Ich verwende Synology DDNS und Let´s Encrypt und habe mir im Kalender vorgemerkt, wann ich die Ports 80 und 443 auf meiner FritzBox öffnen muss, um das Zertifikat zu erneuern. Als ich das nun machen wollte, habe ich bemerkt, dass das Zertifikat bereits verlängert ist (die Ports 80 und 443 sind in der FritzBox nicht geöffnet). In der FritzBox habe ich den Port 6281 für HyperBackup und die Ports 1701, 500 und 4500 für L2TP/IPsec für VPN geöffnet. Ich habe daraufhin unter Systemsteuerung-Sicherheit-Zertifikat das Zertifikat nochmal erneuert - auch das funktioniert problemlos.
Hab ich da nur eine Neuerung verschlafen, oder reichen die vier geöffneten Ports für die Erneuerung des Zertifikats aus?
Kann mich bitte jemand aufklären, warum das funktioniert - wäre schön!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Wie lautet denn die Domain für welche du Zertifikate benutzt?
Sollte es eine synology.me Adresse sein wird die Aktualisierung vermutlich über dns01 laufen, also einen TXT record im DNS System.
Und da Synology volle Kontrolle darüber hat kann die DS diese Records vermutlich dort dynamisch anlegen lassen.

Damit fände eine Domain-Validierung über 80/443 nicht mehr statt.
Dass Ports von anderen Diensten glaube ich nicht, da lets encrypt das meines Wissens nicht unterstützt.

Wenn du es selber überprüfen willst müsste man es via Aufgabenplaner oder Konsole angehen, dass man eine ausführliche Logausgabe bekommen kann.
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
@Fusion,
vielen Dank für die rasche Antwort.
Ja, ich verwende xxx.synology.me.
Um das über Aufgabenplaner oder Konsole verifizieren zu könne fehlt mir das notwendige Fachwissen.
Nochmals Danke!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Normal via Konsole, daher habe ich jetzt nicht getestet wie es mit Umgebungsvariablen Probleme gibt oder ähnliches via Aufgabenplaner.

Im Aufgabenplaner ein benutzerdefiniertes Script anlegen mit Befehl
Code:
/usr/syno/sbin/syno-letsencrypt renew-all -vv > /volume1/GemeinsamerOrder/log.txt
Den Gemeinsamen Ordner noch ersetzen mit dem Namen eines bei die existierenden auf Volume1.

In der log.txt sollte dann die Ausgabe des Befehls landen. Dauert sicher ein paar Sekunden, ähnlich lang wie die Erneuerung über die Gui.

Darin solltest du dann challenge dns-01 anstatt http-01 finden.

https://letsencrypt.org/de/docs/challenge-types/
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
@Fusion,
hab ich gemacht:
Screenshot (1842B).png
das Ergebnis ist:
Screenshot (1843).png

Ist nicht das, was ich erwartet habe.
Hab ich was falsch gemacht?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
also für meine müden gefährlich halbwissenden Augen sieht das doch ok aus für jetzt: du hast einmal die Meldung bekommen, dass LE eben nix mit dem Syno-Zertifikat anfangen kann und einmal, dass dein LE Zertifikat nicht erneuert wird, da es nicht abgelaufen ist, wie du ja auch oben selber gesagt hast (dass es eben durch Zauberhand irgendwie DOCH erneuert wurde, auch ohne freigegebenen Port 80/443)...
Wäre also spannend, wie das Debug aussieht, wenn das Zertifikat auch abgelaufen ist (also in einem Monat...).

Wie gesagt, nur gefährliches Halbwissen, mal schauen was die Pros hier dazu sagen...
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
@the other,
bin auch gespannt wie das geht, zumal Synology für das Erneuern die Ports verlangt:

Screenshot (1844B).png

Ich habe es nach dem Skript unter Systemsteuerung-Sicherheit-Zertifikat nochmal erneuert - hat wieder funktioniert.
Gruß
Inschinjör
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Was heißt 'hat wieder funktioniert'?
Hat sich das Datum oder der Fingerabdruck des Zertifikat geändert, oder einfach nur, dass es ohne Fehlermeldung durchgelaufen ist (vermutlich ohne was zu ändern wie beim Konsole Aufruf auch)?

Man könnte jetzt per Gewalt erneuern, aber die Empfehlung wäre der Einfachheit: Mach die ne Notiz und lasse das Script in zwei Monaten oder so noch mal laufen.

Oder es gibt jemand der ähnlich arbeitet und es in der Zwischenzeit ebenfalls bestätigt.
 

Syno-OS

Benutzer
Mitglied seit
23. Jun 2020
Beiträge
361
Punkte für Reaktionen
64
Punkte
28
1. die 'synology.me' Adressen nutzen die Domain Verfikation Methode (DNS-01 challenge), dh. der Synology DNS Server wird zur Verifikation genutzt
https://letsencrypt.org/de/docs/challenge-types/
Bei anderen Adressen müsst ihr die Host Verifikation verwenden, dann Ports öffnen.

2. Let's Encrypt beschränkt die Anfrage mit einem Stunden/Tages Anfrage Limit
https://letsencrypt.org/de/docs/rate-limits/

3. Und ersetzt dieses Standard Zertifikat, einfach löschen...(wenn man ein anderes hat, natürlich lieber erwähnen, man weiss ja nie hier :p)
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Was heißt 'hat wieder funktioniert'?
Hat sich das Datum oder der Fingerabdruck des Zertifikat geändert, oder einfach nur, dass es ohne Fehlermeldung durchgelaufen ist (vermutlich ohne was zu ändern wie beim Konsole Aufruf auch)?
Das Datum ändert sich, sonst ?

@Syno-OS,
danke für die Info!
Funktioniert also so wie es @Fusion schon erwähnt hat.
Kannst Du noch was zu Deiner Bemerkung sagen:
3. Und ersetzt dieses Standard Zertifikat, einfach löschen...(wenn man ein anderes hat, natürlich lieber erwähnen, man weiss ja nie hier :p)

Ich sichere meine Daten bei einem Verwandten über HyperBackup. Auch er hat bisher immer brav die Ports geöffnet und das Zertifikat verlängert. Wie das von Synology auch verlangt wird (siehe mein print screen von gestern 18:02). Auch bei Ihm funktioniert es (nach Test) ohne die Ports. Ich bin sicher, wir sind nicht die einzigen, die diese "Blödbewegung" machen bzw. gemacht haben. Ich geh mal davon aus, dass die meisten Synology-Benutzer keine IT-Experten sind - kann Synology das nicht mal klarstellen ?!?!?!
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Zwecks Test habe ich jetzt mal Port 80 und 443 geöffnet und ein Zertifikat erstellt. Das klappte problemlos.
Port 80 und 443 sind nun wieder zu.
Am 1. März läuft das Zertifikat ab, sprich Anfang Februar müsste es sich ja erneuern. Ich werde berichten. ;)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Normal geht Synology denke davon aus, dass man den Webserver mit Zertifikat auch aus dem Internet erreichen will, deshalb sollte 80/443 offen sein (https-Umleitung aktiv). Deshalb sehe ich nicht was Synology da klarstellen sollte.
Klar ist es sicherer die Syno nicht ins Netz zu hängen, aber dann trotzdem let's encrypt Zertifikate zu haben, ist halt vermutlich nicht der Hauptanwendungsfall der da angedacht war. Und bei selbst signierten muss man die Nutzung halt einmalig abnicken und dann läuft es auch.
Und es in der Doku zu erwähnen..
.. Die lesen ja eh die wenigsten. :)

Zu Punkt 3)
Das synology.com selbst signierte Zertifikat einfach so lassen wie es ist. Das zu löschen ist nur Ordnungswahn in meinen Augen. Einfach nicht zuordnen / konfigurieren. Das stört nicht weiter.
 

Inschinjör

Benutzer
Mitglied seit
23. Aug 2020
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
So, bin wieder etwas schlauer - vielen Dank!
Gruß
Helmut
 

Splash_er

Benutzer
Mitglied seit
25. Okt 2018
Beiträge
51
Punkte für Reaktionen
2
Punkte
8
Hallo,
ich klemme mich mal an diesen Thread, da ich ein Problem habe.
Entweder ich sehe es richtig, dass es nicht funktioniert, oder ich stehe auf dem Schlauch und bitte daher um Hilfe und Erklärung.
Ich nutze eine FritzBox 7590, wo dahinter zwei unabhängige Synology NAS hängen, die jeweils mit Let´s Encrypt Zertifikaten (einmal Subdomain und zwei mal xxx.synology.me) versorgt werden.
Um die Erneuerung dieser zu gewährleisten, muss ich ja in der FritzBox den 80 & 433 Port öffnen, was ja aber leider immer nur für ein Gerät dahinter funktioniert.
Nun müsste ich ja immer, wenn die Erneuerung ansteht, die Portfreigabe auf das andere Gerät legen, damit es eben funktioniert/das Zertifikat erneuert wird.
Gibt es irgendeine Möglichkeit, mit der FritzBox, dies doch zu ermöglichen?
Um jeden Ratschlag wäre ich dankbar...
Vielen Dank
Tilo
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.402
Punkte
564

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.085
Punkte für Reaktionen
6.093
Punkte
569

Splash_er

Benutzer
Mitglied seit
25. Okt 2018
Beiträge
51
Punkte für Reaktionen
2
Punkte
8
Hallo,
danke für die Aussagen.
Ich habe es gerade noch einmal getestet und kann bestätigen, trotz der Warnmeldung von der Synology (Port 80 & 433) zu öffnen, dass es mit den Synology-Zertifikaten funktioniert.
1687526724465.png
In Bezug zu acme.sh
https://www.howtoforge.de/anleitung/erste-schritte-mit-acmesh-lets-encrypt-ssl-client/
habe ich bereits die Aufgabe der Erneuerung gestezt...wenn ich die Aussage richtig verstehe.
Wenn nicht, und es in Bezug zu einer SSL-Zertifikatserneuerung einer SubDomain (die in der Synology unter Zertifikate hinterlegt ist) ist, ohne den 80 & 433 Port öffnen zu müssen, wäre ich da für eine weitere Info echt dankbar.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.402
Punkte
564
Der Hinweis der DS ist tatsächlich irreführend.
Für acme brauchst du auch keine Ports zu öffnen.
Bei einer synology.me Domain sehe ich aber keinen Vorteil darin, acme.sh zu nutzen. Bzw glaube ich, dass Synology diese API gar nicht anbietet
 

Splash_er

Benutzer
Mitglied seit
25. Okt 2018
Beiträge
51
Punkte für Reaktionen
2
Punkte
8
Darum geht es mir ja auch nicht, sondern, wie geschrieben, um eine eigene, individuelle SubDomain, wie meinenas.meinesynolgy.de.
Die Erneuerung funktionier ja nicht ohne die Öffnung der Ports…zumindest bei mir.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.402
Punkte
564
Du hast doch geschrieben, dass es funktioniert:
und kann bestätigen, trotz der Warnmeldung von der Synology (Port 80 & 433) zu öffnen, dass es mit den Synology-Zertifikaten funktioniert.
Alternativ kannst du auch nur auf einem NAS das Zertifikat anfordern / hinterlegen und die zweite NAS dann via Reverse Proxy über die erste erreichbar machen (mit Subdomain)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat