Let´s encrypt Zertifikat und Synology´s Port 80-Freischaltforderung!

nastestit

Benutzer
Mitglied seit
04. Nov 2013
Beiträge
67
Punkte für Reaktionen
14
Punkte
8
Hallo,

ich habe eine DS412+ und vor einiger Zeit bereits schon einmal ein Let´s encrypt Zertifikat angefordert und aktiviert.

Die von Synology propagierte autom. Verlängerung des Zertifikats über die DS hat leider nicht funktioniert, sodass ich heute das Ganze erneut durchgeführt habe.

Im Hilfesystem der DSM steht u. a.:

Bevor die Zertifikate für Ihre Domains ausgestellt werden, führt Let's Encrypt eine Domainüberprüfung durch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Domainüberprüfung aus dem Internet geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let's Encrypt erfolgt zum Schutz Ihrer Synology NAS über HTTPS.

Was genau ist mit vorstehenden Angaben gemeint?

Doch wohl hoffentlich nicht allen Ernstes, dass sich ein Let´s Encrypt Zertifikat nur dann durch die DS412+ automatisch erneuern lässt, wenn man im ROUTER ein Portforwarding für Port 80 auf die DS412+ aktiviert? Dadurch würden sich SynologyNAS-Besitzer andere Geräte, die via Internet auf Port 80 erreichbar sein sollen, "abschneiden".

Auch ist mir nicht klar, was mit dem Satz "stellen Sie sicher, dass auf Ihrer Synology NAS ... Port 80 ... geöffnet ist" gemeint ist!

Denn, wenn ich in den DSM-Einstellungen unter DSM-Ports für HTTP Port 80 eintrage, kann diese Konfiguration mit Hinweis auf ungültige Einstellungen mit roter Markierung des HTTP-Feldes nicht gespeichert werden.

Es wäre nett, wenn jemand Licht in´s Dunkle bringen könnte. ;-)


Viele Grüße
nastestit
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Doch, port 80 muss für die Domainprüfung frei sein und auf das NAS geleitet werden und nicht in der Firewall blockiert sein.

Wer mehrere Geräte im LAN betreibt, die Port 80 benutzen.... dafür gibt es abhängig von den Randbedingungen (eingesetzte Soft- und Hardware) technische Lösungen, dass nichts "abgeschnitten" wird.

Der DSM Port unter Systemsteuerung > Netzwerk > DSM Einstellungen hat nichts damit zu tun. Der ist nur für die DSM GUI und nicht für die normale Webserver Erreichbarkeit auf 80/443 zuständig.
Deshalb ist dort auch der Eintrag von Port 80 nicht erlaubt.
 

nastestit

Benutzer
Mitglied seit
04. Nov 2013
Beiträge
67
Punkte für Reaktionen
14
Punkte
8
Hallo,

herzlichen Dank für Deine Hinweise!

Lt. Synology Hilfe würde das SSL Zertifikat vor Ablauf verlängert! Folglich liegt aus meiner Sicht auch kein plausibler Grund vor, bei noch funktionierender SSL-Verbindung dem Anwender aufzuerlegen, Port 80 auf die DS zu forwarden!


Ad "... dafür gibt es abhängig von den Randbedingungen (eingesetzte Soft- und Hardware) technische Lösungen, dass nichts "abgeschnitten" wird."

Dann sei so nett und gib doch diesbezüglich einen kurzen Hinweis!
(Und damit meine ich nicht VPN-Verbindungen!)


Viele Grüße
nastestit
 
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Das Zertifikat wird im Grunde nicht verlängert sondern technisch gesehen durch ein neues Zertifikat mit denselben Namen ersetzt. Deshalb gibt es auch jedes mal diesselben Domain-Prüfungen zu durchlaufen.

Ein möglicher Hinweis wäre z.B. ein Reverse Proxy, der Anfragen z.B. nach Domainnamen getrennt weiterleiten kann.
Ich habe mir Hinweise gespart, weil du keinerlei Details zu deinen Anforderungen geschrieben hattest... und ins Blaue hinein alle möglichen technischen Kniffe aufzulisten oder neu ins Gedächtnis zu rufen habe ich ehrlich gesagt keine Lust.
Wenn du schreibst, was bei dir alles unter Port 80 erreichbar sein soll, kann man konkreter werden.
Und nein, VPN hat mit dem Thema 0,0 zu tun.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Warum machst du einen neuen Thread auf, wenn diese Thematik fast schon bis zum Erbrechen hier diskutiert wird?
 
  • Like
Reaktionen: Guckweg und Adrian-S

kader

Benutzer
Mitglied seit
30. Mai 2012
Beiträge
198
Punkte für Reaktionen
12
Punkte
24
Herrschaftszeiten - weil dafür ein Forum da ist, wenn man nichts findet.
Und weil kein Mensch sich 20 Pages durchliest, um dann doch nicht die Lösung für sein Problem zu finden. Solche Arroganz nervt. Dann helfe besser nicht, dass hilft mehr.
 
Zuletzt bearbeitet von einem Moderator:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
@kader! Lesen bildet. Du scheinst auch zu den Typen zu gehören, die schlicht zu faul sind sich Wissen anzueignen, was nun mal lesen erfordert.
Hier immer wieder die gleichen Fragen zu stellen kann auch nicht im Sinne des forums sein, weil genau das zu dem Problem führt, dass man 100 Treffer zum gleichen Thema hat.
Im übrigen lassen sich dann aber auch diese 100 Treffer weiter durchsuchen, eben feiner selektiert.
Achja, und zum Lesen gehört auch mal auf den Thread und dessen Aktualität zu achten. Nach 3,5 Jahren hier zu antworten ist (k)eine Meisterleistung.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
  • Like
Reaktionen: stulpinger

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
618
Punkte
134
Man könnte das Forum auch sicherlich so einrichten das vor erstellung eines neuen Themas ein Verweis auf das Wiki kommt.
Apropos Wiki, ich glaube das müsste mal überarbeitet werden, am besten von jemand dem sowas Spass macht.
Was macht @Kurt-oe1kyw eigentlich so am Wochenende ?😎

duck und weg
 
  • Haha
Reaktionen: stulpinger

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Erbsen zählen :)
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Was macht @Kurt-oe1kyw eigentlich so am Wochenende ?

Zwillings Co-Admins vom Serverschrank hinten im Bild fernhalten.

zwillingadmins_serverschr.png

Die blinkenden LEDs vom Switch, den Synologys usw hinter der versperrten Glastür üben eine unheimliche Anziehungskraft auf die beiden aus...:love:
Standardspruch der beiden wenn sie sich wieder mal die Nasen an der Glasfront plattdrücken: "Neeeeeeeiiiiiiin, Opa ghörts"...
 
  • Haha
Reaktionen: tschortsch

Guckweg

Benutzer
Mitglied seit
27. Okt 2019
Beiträge
214
Punkte für Reaktionen
29
Punkte
28
Das Zertifikat wird im Grunde nicht verlängert sondern technisch gesehen durch ein neues Zertifikat mit denselben Namen ersetzt
@nastestit so ist das, und ich habe auch Port 80 gesperrt auf meinem Router/Firewall. Nur HTTP/S kommt durch.
Aber kurz vor Ablauf des Zertifikats (man wird ja informiert), leite ich den Port 80 auf die DS um, und starte manuell den Renew (eigentlich "reissue") Prozess. Dabei nutze ich die Möglichkeit neue, weitere oder veraltete Sub-Domains hinzuzufügen oder zu entfernen.
Danach, sperre ich wieder Port 80, da ich nur HTTPS verwende. Einmal alle 90 Tage, ist nicht so schlimm.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
@Guckweg
HUHU! Dieser Thread ist vor 4 Jahren beendet worden!!!!!
Manche merken aber auch gar nichts!
 
  • Sad
Reaktionen: Guckweg

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Wieso ist der beendet? Ich habe gerade das gleiche Thema und möchte nicht immer Ports rumswitchen.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Dann musst du
-ein synology.me Zertifikat anfordern, dafür braucht's keine Portweiterleitung
-acme.sh oder den NGINX Proxy Manager nutzen und via DNS/acme Challenge Zertifikate anfordern
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
acme.sh oder den NGINX Proxy Manager

Mit diesen Dingen kann ich momentan leider wenig anfangen. Das eine scheint ein Script zur Sache zu sein und den Proxy Manager kenne ich leider nicht. Was ich gesehen habe, kann dieser als Docker Image installiert werden und ist nach aussen auch wieder an Port 80 orientiert. Selbst wenn dann statt 80 nun 82 habe, ist noch immer die Frage, wie die vorhandenen Zertifikate zum Host wandern, um den es im Grunde geht.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Sind im Endeffekt beides Docker Container. Letzterer kann aber das Zertifikat nicht nach DSM deployen. Ist aber dafür ein sehr umfangreicher Reverse Proxy. Ersterer ist von der Funktionsweise wie ein Script. Beide können Wildcart Certs erstellen.
Wenn du dich damit nicht herumschlagen willst, kannst du einfach via Systemsteuerung ein synology.me Zertifikat passend zu deiner DDNS Adresse via Let's Encrypt anfordern. Das ist 1. ebenfalls ein Wildcard-Zertifikat und 2. musst du dafür keine Ports aufmachen
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.650
Punkte für Reaktionen
5.820
Punkte
524

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Je nachdem wo deine Domain liegt, kannst du es per acme.sh direkt (script auf der Synology oder als ein Docker Image) erledigen ohne Ports zu öffnen. Die Validierung findet dann über DNS Records statt. https://github.com/acmesh-official/acme.sh Da findest du die Informationen wie es genau funktioniert und was unterstützt wird.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat