DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern

[gente]

...das Problem ist ein neues Zertifikat immer wieder auf den Clients neu zu installieren.
Es heisst eindeutig erneuern, CSR erstellen ist die Option darüber und wenn diese Funktion schon auswählbar ist sollte sie auch so funktionieren.
Wo genau ist denn dein Problem, hier im Thread geht es eindeutig um die Erneuerungsfunktion, ;-) kannst ja mit dem Auto auch einmal um den Block fahren und vorwärts Einparken, wenn der Rückwärtsgang nicht funktioniert, mußt dich halt so hinstellen das man vorwärts wieder wegfahren kann ;-)
LG Thomas

 

[Matthieu]

Ich kann es aktuell nicht ausprobieren, aber IMHO meckern (speziell die Syno-Clients) immer. Egal ob Verlängerung oder Neu-Beantragung. Der Fingerabdruck des Zertifikates ändert sich so oder so und damit haben die Clients ein Problem.
Der Knopf tut was er soll: Er erstellt einen CSR. Dazu gehören die Dateien die man dann zum Download angeboten bekommt. LE akzeptiert diese aber nicht und daran wird sich auch nichts ändern.

MfG Matthieu

 

[meagain]

syno-letsencrypt renew-all

Danke Götz, funktioniert so einwandfrei (sofern man zuvor die Ports öffnet).

 

[gente]

...genau wie schon diskutiert kann mit dem certbot client das zertifikat erneuert werden und so sollte das dann auch eingebunden werden und alles funktioniert wie es sollte.
LG Thomas

 

[Frogman]

Vorschlag: wende Dich doch damit an den Support - wir hier sind da nicht die richtigen Ansprechpartner

 

[gente]

...hab ich doch schon längst wie man aus den Posts unschwer erkennen kann
außerdem bin ich nicht der Einzige wie aus anderen Threads ersichtlich der dies Fehlverhalten bemängelt und das ganze lieber manuell mit kontrollierter Portfreigabe verlängert ohne gleich ein Neues Zertifikat zu erstellen um so die Domain Limits nicht unnötig zu strapazieren!
LG Thomas

 

[Frogman]

Die Bedingungen für den Einsatz von Let's Encrypt werden nicht von Synology definiert - wenn Du es nutzen willst, ist eben ein offener Port 80 oder 443 Bedingung für die automatische Erneuerung des Zertifikats (und - das wirst Du vielleicht verstanden haben - gerade der Automatismus ist einer der zentralen Benefits von Let's Encrypt).
Ansonsten stehen Dir manuell auch viele andere Class1-Anbieter kostenfrei zur Verfügung

 

[gente]

...genau lets encrypt limitiert aber die Zertifikate für domains und da ist dann egal über welchen client (synology...) das Zertifikat erstellt wird, ist das Limit von 5 pro woche erreicht dann geht die restlichen Tage nichts mehr auch nicht die Automatik!
Deswegen ist erneuern bei weitem die bessere und komfortablere Lösung wie jedesmal neu zu Erstellen.
Desweiteren muß man auch den Dienst des Webservers beenden der auf Port 80 hört, sonst kannst du trotz Portfreigabe auf die automatische Verlängerung lange warten
LG Thomas

 

[Frogman]

...genau lets encrypt limitiert aber die Zertifikate für domains und da ist dann egal über welchen client (synology...)

Allein die Tatsache, dass Zertifikate für Subdomains von DDNS-Anbietern (und nur dort ist das relevant) angeboten werden, kann man hinreichend diskutieren. Wenn Dir die 5 EUR per anno für eine eigene Domain zu viel sind, musst Du in diesen sauren Apfel beißen. Nach meiner Ansicht berechtigt!

...Desweiteren muß man auch den Dienst des Webservers beenden der auf Port 80 hört, sonst kannst du trotz Portfreigabe auf die automatische Verlängerung lange warten

Wie kommst Du darauf? Bei der Challenge wird nach Vorhandensein einer Datei geschaut, dafür braucht es den Webserver...

 

[gente]

...genau und dafür startet Let’s Encrypt-Client während der Erstellung der Zertifikate selbst einen Dienst, der auf den Standard-Ports 80 und 443 läuft.
Deswegen eigenen Webserver kurz stoppen.
So mußte ich das beim erneuern via Konsole handhaben.
LG Thomas

 

[Frogman]

Ja sicher - aber wo ist jetzt Dein Problem?

 

[gente]

...das Erneuern der Zertifikate nicht aus der DSM Oberfläche heraus funktioniert (obwohl als "Zertifikat erneuern" optional auswählbar). Deswegen nicht richtig in die Weboberfläche der Software implementiert wurde was ja eigentlich kein Problem darstellen sollte und es so einfacher und kontrollierbarer für den normalen User machen würde!
LG Thomas

 

[mördock]

So, ich hänge mich da mal einfach rein.
Habe 3 Wochen vor Ablauf den Port 80 geöffnet und einfach mal drei Tage lang gewartet. In der letzten Nacht wurde dann das Zertifikat automatisch verlängert. Natürlich wäre es auch schön wenn man kontrolliert über den DSM die Aktualisierung manuell anstoßen könnte. Aber ich finde es auch nicht dramatisch wenn man den Port 80 mal 3 Tage offenhält und abwartet.
Viel Spaß beim weiterdiskutieren.

 

[Kurt-oe1kyw]

LE Zertifikat verlängern, Achtung dann auch in Hyperbackup aktualisieren!

syno-letsencrypt renew-all

und der Fisch ist gegessen.

Vielen Dank Götz für die Codezeile, damit ist es relativ einfach die Verlängerung vom letsencrypt Zertifikat durchzuführen und hat bei mir auch einwandfrei funktioniert.
Normalerweise wird das Zertifikat ja automatisch verlängert, aber meine Backup-DS ist nur für 1 Stunde eingeschaltet für die Backupzeit und schaltet sich danach wieder ab, daher bekam ich die Warnung dass das Zertifikat abläuft und mit Hilfe der Codezeile konnte ich "manuell" das Zertifikat verlängern.

HINWEIS Hyperbackup:
ABER Achtung für jene welche Hyperbackup benutzen, solltet ihr die Variante verwenden wo eine Zertifikatsprüfung durch Hyperbackup selbst auch erfolgt, dann müsst ihr unbedingt das geänderte/verlängerte Zertifikat durch Klicken auf "Serverzertifikat vertrauen" aktivieren! So lange das nicht gemacht wird, erscheint in Hyperbackup bei der Zertifikatsprüfung der Eintrag "Fehlgeschlagen" und dadurch ist das Sicherungsziel "Offline"- also nicht erreichbar und die Backupaufgabe wird nicht durchgeführt!

Daher unbedingt nach dem Verlängern/ändern vom Zertifkat das "neue"/geänderte/verlängerte Zertifikat auch in Hyperbackup "freigeben":



Danach steht die Zertifikatsprüfung auch in Hyperbackup wieder auf grün "Erfolgreich", das Sicherungsziel geht wieder auf ONLINE und die Backupaufgabe werden wie gewohnt durchgeführt.

 

[hauwech]

....Desweiteren muß man auch den Dienst des Webservers beenden der auf Port 80 hört, sonst kannst du trotz Portfreigabe auf die automatische Verlängerung lange warten
LG Thomas

Ich möchte einen Aspekt hinzufügen:
Bei der Installation von phpMyAdmin muß man Webstation als Abhängigkeit mitinstallieren.
Wenn man nun den Port 80 nicht oder nur mit etlichen Verrenkungen umbiegen kann, habe ich auf dieser Syno ein Problem mit der Zertifikatserneuerung, oder?
Wie müßte ich den Webservice auf der Konsole anhalten/starten?

Gruß Roland

 

[PatrickS3]

Musst Du nicht. Bei mir ist die Webstation auch aktiv und ich konnte ein Let*s Encrypt Zertifikat installieren ohne etwas umzubiegen.

 

[hauwech]

Danke, gut zu wissen, daß es daran nicht hängt.
Jetzt bin ich gespannt. Auf meiner ersten Syno läuft das Zertifikat am 05.06. ab. Die Hinweis-mail von Lets encrypt kam am 16.05.
Ein "syno-letsencrypt renew-all [-vv]" habe ich schon mehrmals gemacht in den letzten Tagen, da tut sich aber gar nix in der DSM-Zertifikatsübersicht. Das Ablaufdatum bleibt auf 06.05. stehen.
Die Ports 443 und 80 stehen seit der expiration-mail offen.

Gruß Roland

 

[Kurt-oe1kyw]

hmmmmmmmmm, hast du den Befehl

syno-letsencrypt renew-all (Enter drücken)

exakt so eingetippt auf der Konsole?
Nach dem Drücken auf Enter hat bei mir der Cursor in PuTTY einige Zeit lang nichts gemacht, ich vermute in dieser Zeit wurde wohl das Zertifikat erneuert.
Nach ca. 1 Minute begann dann der grüne Cursor im PuTTY Fenster von winSCP wieder zu blinken und ich konnte mit "Exit" aussteigen.
Dann kam kurz die Panik auf, da im DSM mehrere Fehlermeldungen kamen, wie zB Profildatei konnte nicht geladen werden usw., einfach im Browser DSM Fenster schliessen und neu im DSM anmelden, dann war alles wieder wie gewohnt.
Ich habe das als "root" gemacht und nicht als Admin und da hat es fehlerfrei funktioniert.
Im DSM wurde dann sofort das aktuelle, neue Datum (3 Monate in der Zukunft) angezeigt für das Zertifikat.

Das Datum sollte 4 Wochen vor dem Ablaufen statt in grüner Schrift in oranger Schrift angezeigt werden im DSM:



Nach dem Eintippen von der Codezeile oben, sollte das Datum wieder grün angezeigt werden und 3 Monate in der Zukunft liegen.

 

[hauwech]

Danke, Kurt: DAS war's
Das geht nur als root. Mit meinen anderen Admin-usern kam der Prompt - auch mit -vv - ohne Rückmeldung sofort wieder.
Führt man das script als root aus, überlegt er einen Moment. Anschließend ist das Cert verlängert und das Datum in der Zukunft und grün.
Sehr komfortabel ist die Prozedur insgesamt aber nicht.
Das ist so wie mit den freien DynDNS accounts, irgendwann geht einem der regelmäßige manuelle Eingriff auf den Keks und man nimmt doch Geld in die Hand.
Solange die Zertifikate noch 90 Tage laufen mache ich das weiter so, aber wenn LetsEncrypt doch irgendwann auf 30 Tage geht, wird neu entschieden.

Gruß Roland

 

[meagain]

Ich habe bei mir das ganze als Aufgabe eingeplant.



Aktuell führe ich die Aufgabe manuell aus (weil ich den Port 80 nicht permanent geöffnet haben möchte), aber wenn es sein muss, kann man das natürlich auch monatlich einplanen