DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern

[JuliusCaesar]

Guten Abend,
benötige noch einmal eure Hilfe.
Habe mir ein Lets Encrypt Zertifikat eingerichtet.
Leider hat da sja nur eine sehr kurze Laufzeit, daher wollte ich das mal verlängern

Im Reiter CSR gibt es die Möglichkeit Zertifikate zu erneuern. Nach Befolgen der Anweisung im Assistenten bekomme ich eine Zip Datei mit einem Privaten Schlüssel und einer Zert Anfrage (CSR).

Wie binde ich diese Dateien nun in meine Synology ein? Könnt ihr mir da weiterhelfen?

viele Grüße
Julian

 

[Fusion]

Vermute eher, dass da was falsch gelaufen ist. Der LE Client sollte das ja direkt erneuern. Ein CSR (Certificate Signing Request) braucht man normal, wenn man z.B. bei StartSSL ein Zertifikat anfordert.

 

[gente]

...da ist nichts falsch gelaufen, wie schon in anderen Threads diskutiert erstellt die Synology server.csr und server.key.
Bitte die Suche anwenden dann hätte man in schon vorhandene threads posten können.
Bis jetzt hat anscheinend niemand das Zertifikat verlängert --> keine Ideen und Tipps.
LG Thomas

 

[Ulfhednir]

.Bis jetzt hat anscheinend niemand das Zertifikat verlängert -

Das stimmt so nicht. Nur leider auch schon wieder einige Woche zurückliegend, sodass ich echt keine Ahnung mehr habe, wie ich das erneuert habe.

 

[Outlaw]

Ich habe bei mir das StartSSL Zerti eingerichtet und seit längerem keine Probleme.
Die Zertis sollen auch 1 Jahr laufen und wenn mich mein Englisch nicht täuscht, soll es da jetzt angeblich auch eine Art Autoverlängerung geben, bin mir aber (noch) nicht sicher, da noch nicht genauer damit befasst.

 

[gente]

...diejenigen die das Zertifikat erneuern wollten sind gescheitert wie ich auch. Haben dann alle ein neues Zertifikat angelegt, soll aber nicht Sinn der Sache sein.
LG Thomas

 

[Matthieu]

Portfreigabe wieder einrichten und über Nacht abwarten. Ob das bei gänzlich abgelaufenen Zertifikaten auch hilft kann ich nicht mti Sicherheit sagen, aber kurz vor Ablauf versucht der DSM das Zertifikat selbstständig zu erneuern. Wenn das gelingt muss man sich um nichts kümmern.
Wenn es schon abgelaufen ist sollte es einfacher sein ein neues zu erstellen. Dauert ja nicht gerade lange. Und ab da den Hinweis mit der Portfreigabe beherzigen ...

MfG Matthieu

 

[gente]

...ist ja ok, hat aber alles nichts mit der Option Zertifikat erneuern zu tun, das sollte ja auch schon nach 2 Monaten funktionieren ohne das man Abwarten und Hoffen muß das mein Zertifikat auch tatsächlich automatisch erneuert wird. Gab schon Userr bei denen es trotz Portfreigabe nicht funzte.
Da werden nur wie oben beschrieben zwei so unnütze Dateien (server.csr und server.key) mit dem Hinweis zur Erneuerung des Zertifikats diese an die gewünschte Zertifizierungsstelle zu senden!
Welche Stelle wohin???
LG Thomas

 

[Matthieu]

Nirgendwohin! Ich gehe davon aus dass Synology schlicht vergessen hat dieses Feature für LE zu deaktivieren. Bei anderen Diensten kann man damit eine Verlängerung beantragen. Bei LE geht das nur über den Client und damit über den DSM (weil der als Schnittstelle fungiert). Das ganze ist für LE unsinn und wird hoffentlich mit einem Update deaktiviert.

Certbot, die offizielle Referenzimplementierung des Protokolls, erlaubt nur eine Verlängerung innerhalb der letzten 30 Tage. Ob das auch LE-seitig so forciert wird weiß ich nicht, aber ich würde nicht darauf setzen dass man schon Monate vorher ein Renewal durchführen kann.

MfG Matthieu

 

[gente]

...kann man definitiv,man kann einen Cronjob erstellen, der monatlich ein neues Zertifikat mit Hilfe des „letsencrypt-auto“ Python-Script bezieht.
Da bin ich zu wenig fit so ein Script zu schreiben um es dann im Aufgabenplaner einzurichten: http://letsencrypt.readthedocs.io/en/latest/using.html
LG Thomas

 

[Fusion]

Bei renewal steht dort aber trotzdem "This will attempt to renew any previously-obtained certificates that expire in less than 30 days".
Beim certbot-auto / letsencrypt-auto steht nicht explizit, dass man damit jederzeit erneuern kann.

 

[gente]

...ist doch auch egal ob 30 Tage oder mehr (mir würde es reichen nach 60 Tagen manuell zu Erneuern), die Option zum Erneuern geht schlichtweg nicht und ist so unnütz. So muß man den Port dauerhaft freigeben und hoffen das Zertifikat erneuert wird.
LG Thomas

 

[Outlaw]

...diejenigen die das Zertifikat erneuern wollten sind gescheitert wie ich auch. Haben dann alle ein neues Zertifikat angelegt, soll aber nicht Sinn der Sache sein.
LG Thomas

Das ist ja bei den kostenlosen Zertis auch nicht vorgesehen. Die wollen ja Kohle verdienen mit verlängerbaren Zertis.

Ich habe nirgends gelesen, dass die Class 1 verlängerbar wären, erst ab Class 2 und da geht es schon gut ins Geld für das Hobby ....

Ergo bleibt nur die Neuerstellung.

 

[gente]

...sind aber definitiv erneuerbar mit dem certbot client, nur Synology hat das nicht richtig implementiert.
LG Thomas

 

[JuliusCaesar]

hmpf, son Schmarn...
also haben die wohl einfach wieder gepfuscht. Werde dann 1 Monat vor Ablauf den Port 80 mal öffnen und hoffen dass das Zert verlängert wird.
Wenn nicht fliegt das einfach wieder raus. Habe keine Lust alle 3 Monate nen neues Zertifikat zu beantragen :O

aber Danke aufjedenfall für euere vielen Antworten, offenbar bin ich nicht der einzige der diese Funktion vermisst

 

[gente]

...hab mal ein Ticket gezogen, mal schaun was dabei rauskommt.
LG Thomas

 

[Frogman]

Das ist ja bei den kostenlosen Zertis auch nicht vorgesehen. Die wollen ja Kohle verdienen mit verlängerbaren Zertis.

Weißt Du, wovon Du da schreibst? Ich denke eher nicht. Du solltest Dich vielleicht einmal zur Let's Encrypt-Initiative informieren

Ich habe nirgends gelesen, dass die Class 1 verlängerbar wären, erst ab Class 2 und da geht es schon gut ins Geld für das Hobby ....

Auch hier habe ich den Eindruck, Dir sind die Hintegründe nicht bekannt.
Ein Class 2-Zertifikat wird ebenso wie ein Class 1-Zertifikat nicht verlängert - jedes SSL-Zertifikat hat definitionsgemäß ein Enddatum und erlischt damit. Man kann lediglich auf Basis des gleichen privaten Keys ein neues, gleich lautendes Zertifikat aussstellen lassen, welches ab dem Antragsmoment wiederum nur bis zum Ablaufszeitpunkt gültig ist.
Ansonsten unterscheiden sich Class 1 und Class 2 nur darin, dass erstere domainvalidierte Zertifikate sind, geprüft bspw. über eine email an den Webmaster.
Class 2 sind eingeschränkte Identitätszertifikate für Personen/Firmen - kommen daher aber meist nur als S/MIME- oder Client-Mitarbeiter-Zertifikate zum Einsatz, weniger als Serverzertifikat (dafür nutzen viele eher Class 3, mit dem dann selbst Class 2-Mitarbeiterzertifikate erzeugt werden).

 

[goetz]

Hallo,

syno-letsencrypt renew-all

und der Fisch ist gegessen. Schaut mal in /var/log/messages

root@DS1513:~# grep letsencryp /var/log/messages
Jun  4 09:20:32 DS1513 builtin-syno-letsencrypt-syno-letsencrypt: autorenew: syno-letsencrypt.cpp:288 Failed to renew /usr/syno/etc/certificate/_archive/XXX/. { "error": 101, "msg": "XXX.XXX.de: Could not connect to http://XXX.XXX.de/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxx", "file": "client.cpp:317"}

am 04.06. hat die DS versucht das Cert zu erneuern, scheiterte am geschlossenen Port 80.

Gruß Götz

 

[gente]

...der thread frägt nicht nach der automatischen Erneuerung was ja auch wie gepostet bei geöffnetem Port funktioniert. Hier geht es um die Möglichkeit der manuellen Erneuerung des Zertifikats was ja optional wählbar ist.
LG Thomas

 

[Matthieu]

Wo genau ist das Problem einfach ein neues Zertifikat zu beantragen? Frogman hat doch schön dargelegt dass es technisch eh kaum einen Unterschied macht. Der DSM macht das mit dem Ersetzen eines Zertifikates auch sehr einfach.
Abgesehen davon: Der Knopf heißt nicht verlängern, sondern "CSR". Dient also der Erstellung eines Certificate Signing Requests. Und den gibt es im LE-Universum nicht. Braucht es auch nicht.

MfG Matthieu