Let´s encrypt Zertifikat und Synology´s Port 80-Freischaltforderung!

[nastestit]

Hallo,

ich habe eine DS412+ und vor einiger Zeit bereits schon einmal ein Let´s encrypt Zertifikat angefordert und aktiviert.

Die von Synology propagierte autom. Verlängerung des Zertifikats über die DS hat leider nicht funktioniert, sodass ich heute das Ganze erneut durchgeführt habe.

Im Hilfesystem der DSM steht u. a.:

Bevor die Zertifikate für Ihre Domains ausgestellt werden, führt Let's Encrypt eine Domainüberprüfung durch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Domainüberprüfung aus dem Internet geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let's Encrypt erfolgt zum Schutz Ihrer Synology NAS über HTTPS.

Was genau ist mit vorstehenden Angaben gemeint?

Doch wohl hoffentlich nicht allen Ernstes, dass sich ein Let´s Encrypt Zertifikat nur dann durch die DS412+ automatisch erneuern lässt, wenn man im ROUTER ein Portforwarding für Port 80 auf die DS412+ aktiviert? Dadurch würden sich SynologyNAS-Besitzer andere Geräte, die via Internet auf Port 80 erreichbar sein sollen, "abschneiden".

Auch ist mir nicht klar, was mit dem Satz "stellen Sie sicher, dass auf Ihrer Synology NAS ... Port 80 ... geöffnet ist" gemeint ist!

Denn, wenn ich in den DSM-Einstellungen unter DSM-Ports für HTTP Port 80 eintrage, kann diese Konfiguration mit Hinweis auf ungültige Einstellungen mit roter Markierung des HTTP-Feldes nicht gespeichert werden.

Es wäre nett, wenn jemand Licht in´s Dunkle bringen könnte. ;-)


Viele Grüße
nastestit

 

[Fusion]

Doch, port 80 muss für die Domainprüfung frei sein und auf das NAS geleitet werden und nicht in der Firewall blockiert sein.

Wer mehrere Geräte im LAN betreibt, die Port 80 benutzen.... dafür gibt es abhängig von den Randbedingungen (eingesetzte Soft- und Hardware) technische Lösungen, dass nichts "abgeschnitten" wird.

Der DSM Port unter Systemsteuerung > Netzwerk > DSM Einstellungen hat nichts damit zu tun. Der ist nur für die DSM GUI und nicht für die normale Webserver Erreichbarkeit auf 80/443 zuständig.
Deshalb ist dort auch der Eintrag von Port 80 nicht erlaubt.

 

[nastestit]

Hallo,

herzlichen Dank für Deine Hinweise!

Lt. Synology Hilfe würde das SSL Zertifikat vor Ablauf verlängert! Folglich liegt aus meiner Sicht auch kein plausibler Grund vor, bei noch funktionierender SSL-Verbindung dem Anwender aufzuerlegen, Port 80 auf die DS zu forwarden!


Ad "... dafür gibt es abhängig von den Randbedingungen (eingesetzte Soft- und Hardware) technische Lösungen, dass nichts "abgeschnitten" wird."

Dann sei so nett und gib doch diesbezüglich einen kurzen Hinweis!
(Und damit meine ich nicht VPN-Verbindungen!)


Viele Grüße
nastestit

 

[Fusion]

Das Zertifikat wird im Grunde nicht verlängert sondern technisch gesehen durch ein neues Zertifikat mit denselben Namen ersetzt. Deshalb gibt es auch jedes mal diesselben Domain-Prüfungen zu durchlaufen.

Ein möglicher Hinweis wäre z.B. ein Reverse Proxy, der Anfragen z.B. nach Domainnamen getrennt weiterleiten kann.
Ich habe mir Hinweise gespart, weil du keinerlei Details zu deinen Anforderungen geschrieben hattest... und ins Blaue hinein alle möglichen technischen Kniffe aufzulisten oder neu ins Gedächtnis zu rufen habe ich ehrlich gesagt keine Lust.
Wenn du schreibst, was bei dir alles unter Port 80 erreichbar sein soll, kann man konkreter werden.
Und nein, VPN hat mit dem Thema 0,0 zu tun.

 

[NSFH]

Warum machst du einen neuen Thread auf, wenn diese Thematik fast schon bis zum Erbrechen hier diskutiert wird?

 

[kader]

Herrschaftszeiten - weil dafür ein Forum da ist, wenn man nichts findet.
Und weil kein Mensch sich 20 Pages durchliest, um dann doch nicht die Lösung für sein Problem zu finden. Solche Arroganz nervt. Dann helfe besser nicht, dass hilft mehr.

 

[synfor]

Jahre alte Threads aus der Versenkung zu holen nur um herum zumeckern, ist auch nicht besser.

 

[NSFH]

@kader! Lesen bildet. Du scheinst auch zu den Typen zu gehören, die schlicht zu faul sind sich Wissen anzueignen, was nun mal lesen erfordert.
Hier immer wieder die gleichen Fragen zu stellen kann auch nicht im Sinne des forums sein, weil genau das zu dem Problem führt, dass man 100 Treffer zum gleichen Thema hat.
Im übrigen lassen sich dann aber auch diese 100 Treffer weiter durchsuchen, eben feiner selektiert.
Achja, und zum Lesen gehört auch mal auf den Thread und dessen Aktualität zu achten. Nach 3,5 Jahren hier zu antworten ist (k)eine Meisterleistung.

 

[Kurt-oe1kyw]

Nach 3,5 Jahren hier zu antworten ist (k)eine Meisterleistung.

*hüstel* wir haben 2022, es sind über 4,5 Jahre...

 

[Rotbart]

Man könnte das Forum auch sicherlich so einrichten das vor erstellung eines neuen Themas ein Verweis auf das Wiki kommt.
Apropos Wiki, ich glaube das müsste mal überarbeitet werden, am besten von jemand dem sowas Spass macht.
Was macht @Kurt-oe1kyw eigentlich so am Wochenende ?

duck und weg

 

[NSFH]

Erbsen zählen

 

[Kurt-oe1kyw]

Was macht @Kurt-oe1kyw eigentlich so am Wochenende ?

Zwillings Co-Admins vom Serverschrank hinten im Bild fernhalten.



Die blinkenden LEDs vom Switch, den Synologys usw hinter der versperrten Glastür üben eine unheimliche Anziehungskraft auf die beiden aus...
Standardspruch der beiden wenn sie sich wieder mal die Nasen an der Glasfront plattdrücken: "Neeeeeeeiiiiiiin, Opa ghörts"...

 

[Guckweg]

Das Zertifikat wird im Grunde nicht verlängert sondern technisch gesehen durch ein neues Zertifikat mit denselben Namen ersetzt

@nastestit so ist das, und ich habe auch Port 80 gesperrt auf meinem Router/Firewall. Nur HTTP/S kommt durch.
Aber kurz vor Ablauf des Zertifikats (man wird ja informiert), leite ich den Port 80 auf die DS um, und starte manuell den Renew (eigentlich "reissue") Prozess. Dabei nutze ich die Möglichkeit neue, weitere oder veraltete Sub-Domains hinzuzufügen oder zu entfernen.
Danach, sperre ich wieder Port 80, da ich nur HTTPS verwende. Einmal alle 90 Tage, ist nicht so schlimm.

 

[NSFH]

@Guckweg
HUHU! Dieser Thread ist vor 4 Jahren beendet worden!!!!!
Manche merken aber auch gar nichts!

 

[Andy+]

Wieso ist der beendet? Ich habe gerade das gleiche Thema und möchte nicht immer Ports rumswitchen.

 

[plang.pl]

Dann musst du
-ein synology.me Zertifikat anfordern, dafür braucht's keine Portweiterleitung
-acme.sh oder den NGINX Proxy Manager nutzen und via DNS/acme Challenge Zertifikate anfordern

 

[Andy+]

acme.sh oder den NGINX Proxy Manager

Mit diesen Dingen kann ich momentan leider wenig anfangen. Das eine scheint ein Script zur Sache zu sein und den Proxy Manager kenne ich leider nicht. Was ich gesehen habe, kann dieser als Docker Image installiert werden und ist nach aussen auch wieder an Port 80 orientiert. Selbst wenn dann statt 80 nun 82 habe, ist noch immer die Frage, wie die vorhandenen Zertifikate zum Host wandern, um den es im Grunde geht.

 

[plang.pl]

Sind im Endeffekt beides Docker Container. Letzterer kann aber das Zertifikat nicht nach DSM deployen. Ist aber dafür ein sehr umfangreicher Reverse Proxy. Ersterer ist von der Funktionsweise wie ein Script. Beide können Wildcart Certs erstellen.
Wenn du dich damit nicht herumschlagen willst, kannst du einfach via Systemsteuerung ein synology.me Zertifikat passend zu deiner DDNS Adresse via Let's Encrypt anfordern. Das ist 1. ebenfalls ein Wildcard-Zertifikat und 2. musst du dafür keine Ports aufmachen

 

[ctrlaltdelete]

Schau mal hier und wenn du Fragen hast melde dich einfach:
https://www.synology-forum.de/threads/externer-zugriff-ds220-funktioniert-nicht.125018/post-1053328
Welchen Hoster hast du?

 

[alexhell]

Je nachdem wo deine Domain liegt, kannst du es per acme.sh direkt (script auf der Synology oder als ein Docker Image) erledigen ohne Ports zu öffnen. Die Validierung findet dann über DNS Records statt. https://github.com/acmesh-official/acme.sh Da findest du die Informationen wie es genau funktioniert und was unterstützt wird.