DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern

Alle DSM Version von DSM 6.x und älter

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
@rieders23 - ohne Details was du wie gemacht hast und welche URLs du im Browser aufrufst kann man das schwer sagen.
Die häufigste Ursache dürfte sein, dass die Namen im Zertifikat nicht mit der aufgerufenen URL im Browser übereinstimmen
 

rieders23

Benutzer
Mitglied seit
25. Apr 2018
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo Fusion

Ich habe nur Sub-Domains wie zB. Test.Domain.com bei dem Zertifikat von Domain.com hinzugefügt.

Das sollte doch eigentlich gehen?

Grüße
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wie gesagt, ohne Details ist die Antwort nur: Grundsätzlich ja.
 

TACiboy

Benutzer
Mitglied seit
10. Dez 2008
Beiträge
215
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,

in dem Zusammenhang möchte ich gerne eine neue Frage in den Raum werfen:

Wenn ich mehrere Synology-Apps über eine (Sub-)Domain verfügbar machen möchte, dann muss ich mich bei einem Applikationswechsel leider jedes Mal neu an der Synology anmelden. Beispiel:

AudioStation extern erreichbar über: musik.meine-domain.de
VideoStation extern erreichbar über: video.meine-domain.de

Wenn ich nun von AudioStation zur VideoStation wechsel (per Eingabe der entsprechenden URL), dann verliert Synology die Benutzersitzung und ich muss mich neu authentifizieren.
Dies ist jedoch NICHT der Fall, wenn ich, anstatt mit subdomains, mit URL-Pfaden arbeite, also z.B.: meine-domain.de/musik bzw. meine-domain.de/Video

Ich habe die Vermutung, dass dies an unterschiedlichen Zertifikaten liegt, da ich ja für jede Subdomain (musik.meine-domain.de und video.meine-domain.de) ein eigenes LetsEncrypt Zertifikat beantragt habe. Wenn ich jedoch über URL-Pfade komme, dann bekommt der Browser ja immer ein und dasselbe Zertifikat, nämlich das von der Haupt-Domain (meine-Domain.de)

Jetzt zu meiner Idee: Ich registriere genau ein Wildcard Zertifikat auf *.meine-domain.de und erreiche somit auch die unter den Subdomains hängenden Applikationen über musik.meine-domain.de bzw. video.meine-domain.de

Weiß jemand bzw. hat jemand von euch Erfahrungen damit gesammelt, wie es sich verhält, wenn ich anstelle von eigenen Zertifkaten per Subdomain mit einem einzigen Wildcard Zertifikat arbeite?

Bevor ich das Szenario ausprobiere möchte ich mich hier gerne mit Leidensgenossen austauschen bzw. wäre an euren Erfahrungen interessiert...
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Kurz gesagt, geht nicht.
LE erlaubt keine Wildcards.
Ansonsten kann ich all deine Absätze mit JA beantworten, es ist genau so wie von dir beschrieben.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Was LE kann und was Synology davon umgesetzt hat sind zwei verschiedene Paar Schuhe
 

rieders23

Benutzer
Mitglied seit
25. Apr 2018
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo

Ich habe jetzt mal 3 Bilder von meinen Einstellungen gemacht.
Ich hoffe das die Einstellungen so passen.
Muss ich für jede sub-Domain nun ein eigenes Zertifikat erstellen ?

1.jpg
2.jpg
3.PNG

Grüße
André
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
@rieders23 - sieht soweit ok aus.
Für den Beispiel vhost braucht es jetzt eigentlich nur noch unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren die Zuordnung, dass der Dienst/vhost umwelt.domain.de auch das Zertifikat in-domain.de benutzt (bei dem die Subdomain als Alternative name (SAN oder BAN bei Synology) eingetragen ist) und nicht das oberste Standard Zertifikat.

Aber jetzt sehe ich gerade das eigentliche Problem.
Alle Dienste für die das Zertifikat eingetragen ist zur Verwendung (unter Konfigurieren) stehen in der Ansicht unter 'Für'. Für jeden dieser Einträge muss auch ein Pendant unter 'Betreff Alternativer Namen' existieren.

Von daher muss nicht für jede subdomain ein Zertifikat erstellt werden, aber jede verwendete Subdomain muss in mindestens einem der Zertifikate als Haupt- oder Alternativer Name vorkommen und dem entsprechenden Dienst/vHost zugewiesen sein.
 

rieders23

Benutzer
Mitglied seit
25. Apr 2018
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo

Ich habe das Versucht die Sub-Domain unter die Domain einzufügen.
Leider funktioniert das nicht so.

Ich habe daher mal versucht für jede Subdomain ein Zertifikat zu erstellen- da funktioniert das dann super.

Ist dann halt nur umständlich für jede Subdomain dann das Zertifikat zu erneuern.

Grüße
André
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Du hast doch in dem mittleren Zertifikat schon mindestens einen Alternativen Namen eingefügt.
garten.in-domain.de und in-domain.de
Wieso kannst du da nicht weiter hinzufügen (mit Komma-Trennung)?
Und die Zertifikate erneuern sich automatisch, außer man hat die Ports 80/443 nicht offen (was irgendwie sinnfrei ist, wenn die Seiten öffentlich erreichbar sein sollen).
 

rieders23

Benutzer
Mitglied seit
25. Apr 2018
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ja das stimmt.
Wie kann ich da noch weitere hinzufügen ?
Oder geht das nur beim erstellen des Zertifikates.
Beim Bearbeiten habe ich keine Option gesehen um die Sub-Domian noch hinzu zu fügen.
Wenn ich unter konfigurieren dann eine Sub-Domain in die Zetifikat Dömain ändere steht die unter "FÜR" und nicht bei "Betreff alternativ Name".


Grüße
André
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Einfach neu, hinzufügen, ersetzen wählen...
Solange man das nicht zu oft macht, kein Problem.
Sollte sich halt vorher überlegen wie man die Zertifikate gruppiert, das man diese nicht so oft ändern muss in der 'Zusammenstellung'

Ja, aber solange dieser Domain-Name nicht bei Haupt- oder Alternativ-Namen aufgeführt ist, wirst du mindestens eine Namenswarnung beim Aufruf der Seite erhalten oder gar nicht zugreifen können (hsts)
 

deltapapa

Benutzer
Mitglied seit
06. Jan 2019
Beiträge
111
Punkte für Reaktionen
5
Punkte
24
Moin Moin,

ich bekomme meine LE Zertifikate einfach nicht erneuert.
Port 80/ 443 in der FB sind offen, die Firewall der DS habe ich abgestellt.
Ich habe alles versucht, was in diesem 18 Seitigen Thread steht: https://www.synology-forum.de/showt...ypt-Zertifikat-abgelaufen-wie-erneuern/page18

Wenn ich die Aufgabe mit dem Script durchlaufen lasse, bekomme ich diese Meldung:
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/FbH25D/cert.pem]
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/Gbze6G/cert.pem]
DEBUG: Issuer name of certificate. [Synology Inc.]->[/usr/syno/etc/certificate/_archive/K0rnNT/cert.pem]
DEBUG: certificate is not issued by Let's encrypt. [/usr/syno/etc/certificate/_archive/K0rnNT/cert.pem]
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/bvzsem/cert.pem]

Wenn ich versuch die Zertifikate händisch zu erneuern, kann ich nur eine archive Datei downloaden. Da weiß ich dann aber nicht, wie es damit weitergeht, weil nirgends beschrieben.
In 5 Tagen läuft das erste ab, und ich habe echt keinen Plan, wie ich das Zertifikat erneuert und neu herstellen kann.

Für mögliche Denkanstöße wäre ich sehr dankbar.

deltapapa
 

Nanuk

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
106
Punkte für Reaktionen
2
Punkte
24
Ich schlag mich auch immer wieder damit rum.
Heute hab ich festgestellt, dass die Erneuerung über den Aufgabenplaner mit dem Befehl 'syno-letsencrypt renew-all -v' scheitert ("Not synology DDNS." - obwol ich DDNS abgeschaltet habe).
Dagegen funktioniert die manuelle Erneuerung des Zertifikats über die DSM-Oberfläche problemlos. Im Ressourcenmonitor sieht man aber dieselbe Prozedur laufen.
Ich kann auch nur rätseln und alle drei Monate wieder tätig werden. Zum Glück erninnert mich Let's Encrypt.
Gruß
Nanuk
 

deltapapa

Benutzer
Mitglied seit
06. Jan 2019
Beiträge
111
Punkte für Reaktionen
5
Punkte
24
Hi, aber wie genau machst du das manuell? Ich bekomme da nur einen Download einer Datei, und was mache ich dann mit der?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wenn du ein Archiv bekommst bist du irgendwo falsch abgebogen.
Der Weg via GUI zur Erneuerung ist rechts Klick auf das entsprechende Zertifikat und im Kontextmenü dann erneuern oder ähnlich wählen.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Die eingetragene email muss auch mit der übereinstimmen, die für die Registrierung verwendet wurde. An diesem Detail habe ich mir mal fast ne Stunde die Zähne ausgebissen.;)

@Fusion
Das mit dem Punkt "erneuern" hat bei mir die Woche nicht funktioniert. Musste den anderen Punkt wählen.
 

Nanuk

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
106
Punkte für Reaktionen
2
Punkte
24
Hi, aber wie genau machst du das manuell? Ich bekomme da nur einen Download einer Datei, und was mache ich dann mit der?

Einen Download einer archiv.zip-Datei gibt es nur, wenn man einen neuen CSR erstellt. In dem Archiv ist der private Schlüssel und ein Certificate Signing Request, mit dem man bei einem Zertifikatsdiensteanbieter das X.509-Zertifikat für den selbst generierten Schlüssel beantragen kann.

Wenn Du schon ein Zertifikat von LE hast, dann mit rechter Maustaste anklicken und "erneuern" wählen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat