DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern

Alle DSM Version von DSM 6.x und älter

deltapapa

Benutzer
Mitglied seit
06. Jan 2019
Beiträge
111
Punkte für Reaktionen
5
Punkte
24
Also ich weiß auch nicht, was man da falsch machen kann. Zum eMail eingeben komme ich ja gar nicht erst:
capture_001_07042019_210538.jpg
capture_002_07042019_210543.jpg
capture_004_07042019_210555.jpg
capture_005_07042019_210558.jpg

Also dass das so kompliziert ist, hätte ich wieder nicht gedacht....
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Zertifikat hinzufügen und dann ersetzen, nicht erneuern.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Also bei mir (englische Oberfläche) ist es genau das. Rechts-Klick > Renew Certificate.
Nur kommt bei mir dann nur der Hinweis, dass ich bitte schauen soll, dass Port 80/443 offen sind und die DNS Einträge passen
Dann drücke ich auf Apply / Anwenden und dann holt er ein neues Zertifikat für das bald abzulaufende markierte.

Wieso er da hier in der deutschen Oberfläche ein CSR erstellen will, keine Ahnung. Das (CSR) bekomme ich nur bei einem selbst signierten Cert z.B., nicht aber bei einem LE Zertifikat.
In dem Fall bitte so wie Cosmo es gesagt hat oben über das Menü mit Hinzufügen > Ersetzen
 

deltapapa

Benutzer
Mitglied seit
06. Jan 2019
Beiträge
111
Punkte für Reaktionen
5
Punkte
24
Moinsen,
vielen Dank, das "Hinzufügen" und ersetzen hat geklappt, die Zertifikate sind alle erneuert. Beim ersten Zertifikat hat er den Webserver neu gestartet, vllt war da irgendwo das Problem.
Noch eine kleine Frage: Ich habe eine Aufgabe mit dem Script zur Erneuerung der Zertifikate erstellt, welches jeden Tag prüft ob die Zertifikate erneuert werden können. Macht das Sinn, das jeden Tag laufen zu lassen, oder einfach abwarten ob es diesmal automatisch klappt?

Danke,
deltapapa
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Stell's einfach auf 85 Tage (alle 90 Tage verfallen sie ja) ein. Oder auf "Nummer sicher" dann am Monatsende.
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Ich hatte Gestern die gleichen Probleme, das Zertifikat erneuern wollte einfach nicht klappen. Die DS hat kurz gerödelt, aber dann stets mit Fehlermeldung, man solle sich neu an der DS anmelden beendet. Man bekommt dann schon leicht Panik, wenn man erinnert wird, das das Zertifikat in ein paar Tagen ausläuft. Port 80 und 443 muss ich jedesmal in der Fritzbox ändern/ bereitstellen, da der eine von einem Smart Home System verwendung findet und dort festgenagelt ist.

Nach zigmal erneuern anklicken und mehreren Foren durchstöbern, anschreiben von LE hatte ich schon das schlimmste für die nächsten Tage befürchtet. Aber am Abend habe ich dann ein letztes Mal auf erneuern geklickt und siehe da er röddelte diesmal länger und erneuerte klaglos als wäre nichts gewesen das Zertifikat auf die nächsten 3 Monate.

Muss man jetzt jedesmal Schweißperlen auf der Stirn, feuchte Hände und Übelkeit bei der nächsten 90 Tage Zitterpartie erleiden oder wird sich hier LE in Verbindung mit Syno was komfortableres und besseres einfallen lassen.

Mein Wunschtraum. Dies sollte so problemlos wie Backups stets im Hintergrund ablaufen.


Ciao
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Mein Wunschtraum. Dies sollte so problemlos wie Backups stets im Hintergrund ablaufen.

Ich weiß dass das jetzt denjenigen von euch nicht wirklich hilft wo es tatsächlich Probleme mit LE gibt. ABER seit vielen Monaten mache ich gar nichts auf meinen LE Zertifikaten für die DSen und die Erneuern sich autom. jedes Mal selbstständig ohne mein Zutun. Ich sehe zwar dass das Datum 4 Wochen vor Ablauf dem Zertifikat "orange" wird, so als Hinweis, dass es nicht mehr lange gilt. ABER bisher haben sich die Zertifikate spätestens 24h vor tatsächlichen Ablauf selber verlängert.
Allerdings hatte ich die letzte autom Verlängerung vor dem Update vom derzeit aktuellen DSM 6.2.2 und erst im Mai bzw Juni werden die nächsten Updates fällig. Mal schauen ob es dann auch wieder selbstständig erledigt wird.
ABER im Moment läuft es tatsächlich fehlerfrei im Hintergrund mit den LE Updates, zumindest bis jetzt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Wer halt der Geiz-ist-geil Mentalität unterliegt soll ruhig so weiter rumjammern.
Ein 2-Jahres Zertifikat kostet 27€!
 

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
4
Punkte
18
Das hat nichts mit "Geiz ist geil" zu tun. Meine DS und RS verwenden zudem ausschliesslich mehrere (Sub-)Domainnamen. Damit wäre man bei dem von Dir verlinkten Anbieter bereits bei einem vielfachen Preises pro Jahr. Zudem ist Let's Encrypt mittlerweile von allen Browser-Herstellern anerkannt.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Das ist natürlich ein Argument, aber grundsätzlich hat NSFH schon auch Recht, wenn jemand eine Domain verwendet und sich nicht alle 3 Monate darüber Gedanken machen will/muss über das gültige Zertifikat dann ist der Preis für 2 Jahre in keinem Verhältnis zum Aufwand sich alle 3 Monate mit dem Zertifikat zu beschäftigen. Es kommt halt stark auf das jeweilige Einsatzgebiet der DS an. Da ich keine öffentlichen Dienste oder Webseite anbiete stört es mich nicht wenn ich alle 11-12 Wochen kontrolliere ob das LE Zertifikat autom erneuert wurde, spätestens wenn ich selber von Aussen auf Bilder zugreife erscheint ja in der handy APP DS Photo der Hinweis mit dem geänderten Fingerabdruck welcher bestätigt wird und dann weiß ich dass es wieder mal so weit war und das Zertifikat verlängert wurde.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Moin Kurt..
Ist bei dir Port 80 und 443 permanent offen oder nur einer dieser Ports?
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Nun ja, jahrelang hat es (mir) nur die Port 443 gereicht, durch die Umstellung der LE (Wegfall der Validierungsmethode tls-sni-01 lt. @Fusion) vor paar Monaten muss nun die Port 80 wieder geöffnet werden, was hier echt ätzend ist!
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
584
Punkte für Reaktionen
11
Punkte
38
So, heute wollte ich mein Zertifikat von Hand erneuern, weil ich normal eine subdomain umleite auf eine zweite NAS Box, dazu muss ich im sslh etwas umkonfigurieren, damit auch die subdomain zur Prüfung durch LE bereitsteht.
Na ja, aber leider bekomme ich nur Fehlermeldungen, ich solle mich doch neu anmelden... komisch.

Im log vom sslh sehe ich aber keinerlei Anfragen von LE an meine Box??? Da müsste ja jetzt was rein kommen, aber nix. Jetzt komme mir aber keiner mit "hättest mal ein Zertifikat gekauft..." Das war und ist nicht meine Frage.

Kann man den ganzen Erneuerungsprozess auch ausserhalb von der NAS Box anstarten? Womit macht die Box das genau?

Komisch, auch ein neues Zertifikat geht nicht anzulegen.

Gefunden, die FW war es wohl, nachdem ich sie ausgestellt hatte, ging es. Welche Regeln bräuchte ich für LE in der FW?
 
Zuletzt bearbeitet:

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
80 und/oder 443
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
584
Punkte für Reaktionen
11
Punkte
38
na ja, aus DE reichte wohl nicht, US noch dazu?

sehe gerade, 80/443 war überhaupt nicht mit drin bei mir??? Aber Webzugriff ging, war wohl die ALLE/DE Regel.. mal etwas überdenken die Regeln.
 
Zuletzt bearbeitet:

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Nabend,
Passt jetzt nicht zu 100%hier rein, aber extra ein neues Thema möchte ich dafür nicht aufmachen.

Mir ist gestern das Zertifikat abgelaufen, es kam definitiv keine Mail die mich auf das Ende der Gültigkeit hingewiesen hat. Bisher kamen mehrere Mails, so dass ich rechtzeitig reagieren konnte.
Spamordner ist leer.
Kann jemand bestätigen oder widerlegen das Mails nicht mehr versendet werden bevor das Zertifikat abläuft?

#Mördock#
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Das gleiche Problem hatte ich auch, es kam keine E-Mail vorher. Habe es aber zum Glück nach langem probieren hinbekommen, das er das Zertifikat jetzt wieder bis Juli erneuert hat.

Aber da ist mir noch was anderes eingefallen. Wie verhält es sich eigentlich, wenn das Zertifikat komplett abgelaufen ist. Man nur noch https zugelassen hat und auch sonst alles sicherheitstechnisch zugenagelt hat. Kommt man dann auch selbst nicht mehr auf die GUI wenn er nur noch aktivierte Zertifikate zulässt, man aber nicht mehr reinkommt um wieder eines manuell zu erneuern.

Mache ich hier einen Denkfehler, oder ist das dann wirklich so. Wenn ja wäre dies der Supergau

Ciao
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Na, dann werde ich mir mal eine regelmäßige Erinnerung in den Kalender eintragen.

@Speicherriese: Ich habe nur https zugelassen, alles wird automatisch auf https umgeleitet. Mein Zertifikat war abgelaufen, rot, seit gestern. Die Anmeldung an der Filestation übers Internet ging extrem holprig bis gar nicht. Kam halt ein Fehler der besagte dass das Datum im Zertifikat nicht passt.

Lokal im Netzwerk über die IP kommt ja eh immer der Hinweis das die Verbindung nicht sicher ist, da das Zertifikat halt nur für die Domain ausgestellt ist und nicht für die 192.168.XXX.XX.
Konnte mich wie gewohnt lokal anmelden, alle benötigten Ports öffnen, das Script zu Erneuerung anstoßen, warten, neu am DSM anmelden. FERTIG!! Zertifikat war innerhalb von 2 Minuten wieder aktiv (grün).

#Mördock#
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Also bei mir funktioniert es definitiv nicht, dass das Zertifikat durch die DS selbstständig erneuert wird, so wie das manch einer hier beschreibt.
Allerdings kann ich es auch nicht durch die Option "Zertifikat erneuern" des DSM aktualisieren. Ich bekomme immer die Meldung, dass keine Verbindung aufgebaut werden konnte und ich prüfen soll, ob Port 80 offen ist und DNS korrekt arbeitet.
Port 80 sowie 443 gehen auf die PhotoStation, das sollte also genügen. DNS wird natürlich durch pihole gefiltert, aber auch das temporäre Deaktivieren von pihole bringt keinen Erfolg.
Mir ist das jetzt zu lästig und blöd, ich verzichte wieder auf dieses Zertifikat.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
584
Punkte für Reaktionen
11
Punkte
38
Hi Puppetmaster,

bei mir geht das mit dem Zertifikat erneuern prima, gerade geschaut, ist bis 12.7. gültig... Port 80 und 443 werden durch sslh gemanaged, solange alle Aliasse auf der selben Box laufen, kein Problem. Vor einiger zeit hatte ich noch Dienste auf der alten Box laufen, die ich mit sub-Domain umgebogen hatte, das mag er natürlich nicht und die Prüfung schlegt fehl. Also alle Aliasse müssen erreichbar sein!
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat