DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern
- Ersteller JuliusCaesar
- Erstellt am
Alle DSM Version von DSM 6.x und älter
Hallo JuliusCaesar,
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrpyt Zertifikat erneuern
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrpyt Zertifikat erneuern
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.159
- Punkte für Reaktionen
- 912
- Punkte
- 424
Also bei mir (englische Oberfläche) ist es genau das. Rechts-Klick > Renew Certificate.
Nur kommt bei mir dann nur der Hinweis, dass ich bitte schauen soll, dass Port 80/443 offen sind und die DNS Einträge passen
Dann drücke ich auf Apply / Anwenden und dann holt er ein neues Zertifikat für das bald abzulaufende markierte.
Wieso er da hier in der deutschen Oberfläche ein CSR erstellen will, keine Ahnung. Das (CSR) bekomme ich nur bei einem selbst signierten Cert z.B., nicht aber bei einem LE Zertifikat.
In dem Fall bitte so wie Cosmo es gesagt hat oben über das Menü mit Hinzufügen > Ersetzen
Nur kommt bei mir dann nur der Hinweis, dass ich bitte schauen soll, dass Port 80/443 offen sind und die DNS Einträge passen
Dann drücke ich auf Apply / Anwenden und dann holt er ein neues Zertifikat für das bald abzulaufende markierte.
Wieso er da hier in der deutschen Oberfläche ein CSR erstellen will, keine Ahnung. Das (CSR) bekomme ich nur bei einem selbst signierten Cert z.B., nicht aber bei einem LE Zertifikat.
In dem Fall bitte so wie Cosmo es gesagt hat oben über das Menü mit Hinzufügen > Ersetzen
deltapapa
Benutzer
- Mitglied seit
- 06. Jan 2019
- Beiträge
- 111
- Punkte für Reaktionen
- 5
- Punkte
- 24
Moinsen,
vielen Dank, das "Hinzufügen" und ersetzen hat geklappt, die Zertifikate sind alle erneuert. Beim ersten Zertifikat hat er den Webserver neu gestartet, vllt war da irgendwo das Problem.
Noch eine kleine Frage: Ich habe eine Aufgabe mit dem Script zur Erneuerung der Zertifikate erstellt, welches jeden Tag prüft ob die Zertifikate erneuert werden können. Macht das Sinn, das jeden Tag laufen zu lassen, oder einfach abwarten ob es diesmal automatisch klappt?
Danke,
deltapapa
vielen Dank, das "Hinzufügen" und ersetzen hat geklappt, die Zertifikate sind alle erneuert. Beim ersten Zertifikat hat er den Webserver neu gestartet, vllt war da irgendwo das Problem.
Noch eine kleine Frage: Ich habe eine Aufgabe mit dem Script zur Erneuerung der Zertifikate erstellt, welches jeden Tag prüft ob die Zertifikate erneuert werden können. Macht das Sinn, das jeden Tag laufen zu lassen, oder einfach abwarten ob es diesmal automatisch klappt?
Danke,
deltapapa
Ich hatte Gestern die gleichen Probleme, das Zertifikat erneuern wollte einfach nicht klappen. Die DS hat kurz gerödelt, aber dann stets mit Fehlermeldung, man solle sich neu an der DS anmelden beendet. Man bekommt dann schon leicht Panik, wenn man erinnert wird, das das Zertifikat in ein paar Tagen ausläuft. Port 80 und 443 muss ich jedesmal in der Fritzbox ändern/ bereitstellen, da der eine von einem Smart Home System verwendung findet und dort festgenagelt ist.
Nach zigmal erneuern anklicken und mehreren Foren durchstöbern, anschreiben von LE hatte ich schon das schlimmste für die nächsten Tage befürchtet. Aber am Abend habe ich dann ein letztes Mal auf erneuern geklickt und siehe da er röddelte diesmal länger und erneuerte klaglos als wäre nichts gewesen das Zertifikat auf die nächsten 3 Monate.
Muss man jetzt jedesmal Schweißperlen auf der Stirn, feuchte Hände und Übelkeit bei der nächsten 90 Tage Zitterpartie erleiden oder wird sich hier LE in Verbindung mit Syno was komfortableres und besseres einfallen lassen.
Mein Wunschtraum. Dies sollte so problemlos wie Backups stets im Hintergrund ablaufen.
Ciao
Nach zigmal erneuern anklicken und mehreren Foren durchstöbern, anschreiben von LE hatte ich schon das schlimmste für die nächsten Tage befürchtet. Aber am Abend habe ich dann ein letztes Mal auf erneuern geklickt und siehe da er röddelte diesmal länger und erneuerte klaglos als wäre nichts gewesen das Zertifikat auf die nächsten 3 Monate.
Muss man jetzt jedesmal Schweißperlen auf der Stirn, feuchte Hände und Übelkeit bei der nächsten 90 Tage Zitterpartie erleiden oder wird sich hier LE in Verbindung mit Syno was komfortableres und besseres einfallen lassen.
Mein Wunschtraum. Dies sollte so problemlos wie Backups stets im Hintergrund ablaufen.
Ciao
- Mitglied seit
- 10. Mai 2015
- Beiträge
- 9.139
- Punkte für Reaktionen
- 1.798
- Punkte
- 314
Ich weiß dass das jetzt denjenigen von euch nicht wirklich hilft wo es tatsächlich Probleme mit LE gibt. ABER seit vielen Monaten mache ich gar nichts auf meinen LE Zertifikaten für die DSen und die Erneuern sich autom. jedes Mal selbstständig ohne mein Zutun. Ich sehe zwar dass das Datum 4 Wochen vor Ablauf dem Zertifikat "orange" wird, so als Hinweis, dass es nicht mehr lange gilt. ABER bisher haben sich die Zertifikate spätestens 24h vor tatsächlichen Ablauf selber verlängert.
Allerdings hatte ich die letzte autom Verlängerung vor dem Update vom derzeit aktuellen DSM 6.2.2 und erst im Mai bzw Juni werden die nächsten Updates fällig. Mal schauen ob es dann auch wieder selbstständig erledigt wird.
ABER im Moment läuft es tatsächlich fehlerfrei im Hintergrund mit den LE Updates, zumindest bis jetzt.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.082
- Punkte für Reaktionen
- 564
- Punkte
- 194
Wer halt der Geiz-ist-geil Mentalität unterliegt soll ruhig so weiter rumjammern.
Ein 2-Jahres Zertifikat kostet 27€!
Ein 2-Jahres Zertifikat kostet 27€!
Das hat nichts mit "Geiz ist geil" zu tun. Meine DS und RS verwenden zudem ausschliesslich mehrere (Sub-)Domainnamen. Damit wäre man bei dem von Dir verlinkten Anbieter bereits bei einem vielfachen Preises pro Jahr. Zudem ist Let's Encrypt mittlerweile von allen Browser-Herstellern anerkannt.
- Mitglied seit
- 10. Mai 2015
- Beiträge
- 9.139
- Punkte für Reaktionen
- 1.798
- Punkte
- 314
Das ist natürlich ein Argument, aber grundsätzlich hat NSFH schon auch Recht, wenn jemand eine Domain verwendet und sich nicht alle 3 Monate darüber Gedanken machen will/muss über das gültige Zertifikat dann ist der Preis für 2 Jahre in keinem Verhältnis zum Aufwand sich alle 3 Monate mit dem Zertifikat zu beschäftigen. Es kommt halt stark auf das jeweilige Einsatzgebiet der DS an. Da ich keine öffentlichen Dienste oder Webseite anbiete stört es mich nicht wenn ich alle 11-12 Wochen kontrolliere ob das LE Zertifikat autom erneuert wurde, spätestens wenn ich selber von Aussen auf Bilder zugreife erscheint ja in der handy APP DS Photo der Hinweis mit dem geänderten Fingerabdruck welcher bestätigt wird und dann weiß ich dass es wieder mal so weit war und das Zertifikat verlängert wurde.
TeXniXo
Benutzer
- Mitglied seit
- 07. Mai 2012
- Beiträge
- 4.948
- Punkte für Reaktionen
- 100
- Punkte
- 134
Nun ja, jahrelang hat es (mir) nur die Port 443 gereicht, durch die Umstellung der LE (Wegfall der Validierungsmethode tls-sni-01 lt. @Fusion) vor paar Monaten muss nun die Port 80 wieder geöffnet werden, was hier echt ätzend ist!
So, heute wollte ich mein Zertifikat von Hand erneuern, weil ich normal eine subdomain umleite auf eine zweite NAS Box, dazu muss ich im sslh etwas umkonfigurieren, damit auch die subdomain zur Prüfung durch LE bereitsteht.
Na ja, aber leider bekomme ich nur Fehlermeldungen, ich solle mich doch neu anmelden... komisch.
Im log vom sslh sehe ich aber keinerlei Anfragen von LE an meine Box??? Da müsste ja jetzt was rein kommen, aber nix. Jetzt komme mir aber keiner mit "hättest mal ein Zertifikat gekauft..." Das war und ist nicht meine Frage.
Kann man den ganzen Erneuerungsprozess auch ausserhalb von der NAS Box anstarten? Womit macht die Box das genau?
Komisch, auch ein neues Zertifikat geht nicht anzulegen.
Gefunden, die FW war es wohl, nachdem ich sie ausgestellt hatte, ging es. Welche Regeln bräuchte ich für LE in der FW?
Na ja, aber leider bekomme ich nur Fehlermeldungen, ich solle mich doch neu anmelden... komisch.
Im log vom sslh sehe ich aber keinerlei Anfragen von LE an meine Box??? Da müsste ja jetzt was rein kommen, aber nix. Jetzt komme mir aber keiner mit "hättest mal ein Zertifikat gekauft..." Das war und ist nicht meine Frage.
Kann man den ganzen Erneuerungsprozess auch ausserhalb von der NAS Box anstarten? Womit macht die Box das genau?
Komisch, auch ein neues Zertifikat geht nicht anzulegen.
Gefunden, die FW war es wohl, nachdem ich sie ausgestellt hatte, ging es. Welche Regeln bräuchte ich für LE in der FW?
Zuletzt bearbeitet:
na ja, aus DE reichte wohl nicht, US noch dazu?
sehe gerade, 80/443 war überhaupt nicht mit drin bei mir??? Aber Webzugriff ging, war wohl die ALLE/DE Regel.. mal etwas überdenken die Regeln.
sehe gerade, 80/443 war überhaupt nicht mit drin bei mir??? Aber Webzugriff ging, war wohl die ALLE/DE Regel.. mal etwas überdenken die Regeln.
Zuletzt bearbeitet:
mördock
Benutzer
- Mitglied seit
- 04. Jan 2012
- Beiträge
- 806
- Punkte für Reaktionen
- 17
- Punkte
- 44
Nabend,
Passt jetzt nicht zu 100%hier rein, aber extra ein neues Thema möchte ich dafür nicht aufmachen.
Mir ist gestern das Zertifikat abgelaufen, es kam definitiv keine Mail die mich auf das Ende der Gültigkeit hingewiesen hat. Bisher kamen mehrere Mails, so dass ich rechtzeitig reagieren konnte.
Spamordner ist leer.
Kann jemand bestätigen oder widerlegen das Mails nicht mehr versendet werden bevor das Zertifikat abläuft?
#Mördock#
Passt jetzt nicht zu 100%hier rein, aber extra ein neues Thema möchte ich dafür nicht aufmachen.
Mir ist gestern das Zertifikat abgelaufen, es kam definitiv keine Mail die mich auf das Ende der Gültigkeit hingewiesen hat. Bisher kamen mehrere Mails, so dass ich rechtzeitig reagieren konnte.
Spamordner ist leer.
Kann jemand bestätigen oder widerlegen das Mails nicht mehr versendet werden bevor das Zertifikat abläuft?
#Mördock#
Das gleiche Problem hatte ich auch, es kam keine E-Mail vorher. Habe es aber zum Glück nach langem probieren hinbekommen, das er das Zertifikat jetzt wieder bis Juli erneuert hat.
Aber da ist mir noch was anderes eingefallen. Wie verhält es sich eigentlich, wenn das Zertifikat komplett abgelaufen ist. Man nur noch https zugelassen hat und auch sonst alles sicherheitstechnisch zugenagelt hat. Kommt man dann auch selbst nicht mehr auf die GUI wenn er nur noch aktivierte Zertifikate zulässt, man aber nicht mehr reinkommt um wieder eines manuell zu erneuern.
Mache ich hier einen Denkfehler, oder ist das dann wirklich so. Wenn ja wäre dies der Supergau
Ciao
Aber da ist mir noch was anderes eingefallen. Wie verhält es sich eigentlich, wenn das Zertifikat komplett abgelaufen ist. Man nur noch https zugelassen hat und auch sonst alles sicherheitstechnisch zugenagelt hat. Kommt man dann auch selbst nicht mehr auf die GUI wenn er nur noch aktivierte Zertifikate zulässt, man aber nicht mehr reinkommt um wieder eines manuell zu erneuern.
Mache ich hier einen Denkfehler, oder ist das dann wirklich so. Wenn ja wäre dies der Supergau
Ciao
mördock
Benutzer
- Mitglied seit
- 04. Jan 2012
- Beiträge
- 806
- Punkte für Reaktionen
- 17
- Punkte
- 44
Na, dann werde ich mir mal eine regelmäßige Erinnerung in den Kalender eintragen.
@Speicherriese: Ich habe nur https zugelassen, alles wird automatisch auf https umgeleitet. Mein Zertifikat war abgelaufen, rot, seit gestern. Die Anmeldung an der Filestation übers Internet ging extrem holprig bis gar nicht. Kam halt ein Fehler der besagte dass das Datum im Zertifikat nicht passt.
Lokal im Netzwerk über die IP kommt ja eh immer der Hinweis das die Verbindung nicht sicher ist, da das Zertifikat halt nur für die Domain ausgestellt ist und nicht für die 192.168.XXX.XX.
Konnte mich wie gewohnt lokal anmelden, alle benötigten Ports öffnen, das Script zu Erneuerung anstoßen, warten, neu am DSM anmelden. FERTIG!! Zertifikat war innerhalb von 2 Minuten wieder aktiv (grün).
#Mördock#
@Speicherriese: Ich habe nur https zugelassen, alles wird automatisch auf https umgeleitet. Mein Zertifikat war abgelaufen, rot, seit gestern. Die Anmeldung an der Filestation übers Internet ging extrem holprig bis gar nicht. Kam halt ein Fehler der besagte dass das Datum im Zertifikat nicht passt.
Lokal im Netzwerk über die IP kommt ja eh immer der Hinweis das die Verbindung nicht sicher ist, da das Zertifikat halt nur für die Domain ausgestellt ist und nicht für die 192.168.XXX.XX.
Konnte mich wie gewohnt lokal anmelden, alle benötigten Ports öffnen, das Script zu Erneuerung anstoßen, warten, neu am DSM anmelden. FERTIG!! Zertifikat war innerhalb von 2 Minuten wieder aktiv (grün).
#Mördock#
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 628
- Punkte
- 484
Also bei mir funktioniert es definitiv nicht, dass das Zertifikat durch die DS selbstständig erneuert wird, so wie das manch einer hier beschreibt.
Allerdings kann ich es auch nicht durch die Option "Zertifikat erneuern" des DSM aktualisieren. Ich bekomme immer die Meldung, dass keine Verbindung aufgebaut werden konnte und ich prüfen soll, ob Port 80 offen ist und DNS korrekt arbeitet.
Port 80 sowie 443 gehen auf die PhotoStation, das sollte also genügen. DNS wird natürlich durch pihole gefiltert, aber auch das temporäre Deaktivieren von pihole bringt keinen Erfolg.
Mir ist das jetzt zu lästig und blöd, ich verzichte wieder auf dieses Zertifikat.
Allerdings kann ich es auch nicht durch die Option "Zertifikat erneuern" des DSM aktualisieren. Ich bekomme immer die Meldung, dass keine Verbindung aufgebaut werden konnte und ich prüfen soll, ob Port 80 offen ist und DNS korrekt arbeitet.
Port 80 sowie 443 gehen auf die PhotoStation, das sollte also genügen. DNS wird natürlich durch pihole gefiltert, aber auch das temporäre Deaktivieren von pihole bringt keinen Erfolg.
Mir ist das jetzt zu lästig und blöd, ich verzichte wieder auf dieses Zertifikat.
Hi Puppetmaster,
bei mir geht das mit dem Zertifikat erneuern prima, gerade geschaut, ist bis 12.7. gültig... Port 80 und 443 werden durch sslh gemanaged, solange alle Aliasse auf der selben Box laufen, kein Problem. Vor einiger zeit hatte ich noch Dienste auf der alten Box laufen, die ich mit sub-Domain umgebogen hatte, das mag er natürlich nicht und die Prüfung schlegt fehl. Also alle Aliasse müssen erreichbar sein!
bei mir geht das mit dem Zertifikat erneuern prima, gerade geschaut, ist bis 12.7. gültig... Port 80 und 443 werden durch sslh gemanaged, solange alle Aliasse auf der selben Box laufen, kein Problem. Vor einiger zeit hatte ich noch Dienste auf der alten Box laufen, die ich mit sub-Domain umgebogen hatte, das mag er natürlich nicht und die Prüfung schlegt fehl. Also alle Aliasse müssen erreichbar sein!
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
