Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Bisher nicht, Du musst bei let's encrypt alle Subdomains, die im Zertifikat enthalten sein sollen (was meines Wissens beliebig viele sein können), explizit angeben.
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
wie dieses 30-Tage-Zertifikat von Let's Encrypt erneuern?
Bekomme eine server.csr und server.key gedownloadet!
Wo und wie jetzt die *.crt Datei herbekommen zum Import?
Beim erneuern muß ja nichts auf den Macs neu importiert werden weil diesselben Schlüssel benutzt werden, lieg ich da richtig?
Wäre ja sonst umständlich das alle 3 Monate zu wiederholen...
LG Thomas
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
so gehts mir auch...sehr umständlich.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.153
Punkte für Reaktionen
400
Punkte
393
Hallo,
wenn alles richtig eingestellt ist erneuert die DS das Zertifikat automatisch.
DSM-Hilfe:
Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist.

Gruß Götz
 

Swp2000

Benutzer
Mitglied seit
29. Nov 2013
Beiträge
2.008
Punkte für Reaktionen
34
Punkte
94
Geht dies nur mit einer Domain die mir auch gehört.. oder kann ich dieses Zertifikat auch für eine spdns.de Adresse verwenden?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Solange deine DS unter dieser Domain erreichbar ist, kannst du eine beliebige Domain verwenden, also auch DDNS Adressen.
Das Problem dabei ist, dass die Anzahl an Zertifikaten pro Hauptdomain (also spdns.de in diesem Fall) aktuell begrenzt ist. Das heißt wer zu erst kommt malt zu erst und der Rest der DDNS-Nutzer dieser DDNS-Domain schauen in die Röhre, was LE-Zertifikate angeht.
Wenn dir die Domain.tld gehört hast du dieses Problem nicht, weder mit LE- noch mit Zertifikaten von anderen Stellen z.B: StartCom.

Es gibt wohl eine Liste mit Providern, die ihre öffentlichen Domains einpflegen lassen und dann mehr Zertifikate zur Verfügung stehen.
Manche DDNS Provider wollen dies aber explizit nicht, weil sie natürlich selbst kostenpflichtige DDNS Services und Zertifikate verkaufen wollen.
https://publicsuffix.org/list/
https://github.com/letsencrypt/letsencrypt/issues/1607
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...du kannst aber ein Zertifikat erstellen und dir mehrere Aliase hinzufügen, hab so 4 Domains auf ein Zertifikat bei Let's Encrypt erstellt und die sind nichtmal vom selben Anbieter!
Kann mit allen Domains verschlüsselt auf meine Webserver (443 Webstation und 5001 Browserinterface DS) zugreifen.
LG Thomas
 

janndr

Benutzer
Mitglied seit
26. Aug 2014
Beiträge
63
Punkte für Reaktionen
0
Punkte
6
Hallo,

Ich habe mir jetzt auch ohne Probleme das LE Zertifikat installiert.
Der Zugriff von Außen funktioniert und ich sehe im Browser auch das Schloß und kann mir das Zertifikat ansehen.

Allerdings lande ich bei Eingabe von "https://domain.de" auf der Login Seite des DSM! Kann man das ändern?
Ich möchte ja nicht, das jeder der auf diese Seite kommt sich eingeladen fühlt Username und Passwort auszuprobieren.

Ich könnte auch Port 80 und 443 wieder auf der FB schließen, da ich die Webseite nicht nutze. Das Zertifikat dient nur den WrbDav Zugang. Dann muß ich nur daran denken alle 3 Monate das Zertifikat manuell zu erneuern.

Hat jemand eine Idee?

Gruß

Janndr
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das ist eine Frage, die mit der Konfiguration des Webservers zu tun hat und nicht mit dem Let's Encrypt-Zertifikat - stell sie daher bitte in einem separaten oder bereits dafür passenden Thread ;)
 

neuwi

Benutzer
Mitglied seit
31. Mrz 2014
Beiträge
704
Punkte für Reaktionen
3
Punkte
38
Hallo Zusammen

Ich habe zwei Problemstellungen bei der Installation von Lets Encrypt.

1.) Bei der Fertigstellung der Installtion kam die Fehlermeldung, das die Domain (selfhost.eu) besetzt ist von einem Anderen Zertifikat. Ist dies das Synology Zertifikat?

2.) Als zweite meldung, nach neuem Versuch, kam die Meldung Port 80 sei nicht erreichbar, obwohl dieser Freigegeben ist sowie 443 auf der Fritzbox. Muss ich dies in der DS auch noch Freigeben und anklicken bei der Firewall?

Danke und Gruess

Bildschirmfoto 2016-08-27 um 15.38.19.png
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wie man weiter vorne lesen kann, hat Let's Encrypt ein Limit für Zertifikate von DDNS-Domains. Die ist hier erreicht, daher kannst Du keines mehr bekommen.
 

MasterofChaos

Benutzer
Mitglied seit
04. Okt 2013
Beiträge
70
Punkte für Reaktionen
6
Punkte
8
Hallo zusammen,

ich habe ein Zertifikat von "Let'S encrypt" erstellt, wie hier oder hier beschrieben. erstellt.

Als Domain habe ich xxx.diskstation.me angegeben.

Auf meiner DS melden ich mich dann mit https://xxx.diskstation.me:5001/ an....Portweiterleitung ist natürlich aktiviert...

Allerdings akzeptiert mein Browser das Zertifikat nicht, kein grünes Schloss. Muss ich sonst noch etwas beachten? Wo könne ich einen Fehler gemacht haben?

vg
Axel
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Dann wäre es hilfreich genau zu sehen, was anstelle des grünen Schlosses dort ist und was der Browser als "Fehlermeldung" anzeigt
 

MasterofChaos

Benutzer
Mitglied seit
04. Okt 2013
Beiträge
70
Punkte für Reaktionen
6
Punkte
8
Fusion, es muss deine Frage gewesen sein...ich habe mich gerade einfach nochmal versucht mich einzuloggen um die Fehlermeldung anzugeben und siehe da...grünes Schloss :cool: Das verstehe wer will...
 

sylonogy

Benutzer
Mitglied seit
01. Dez 2013
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich verwende auch so ein LE-Zert. und es hat sich auch irgendwann in den letzten Tagen von selbst "erneuert", nachdem ich Port 80 kurzzeitig geöffnet hatte. Soweit so gut. Nur:

Mein CS-Client meldet, dass der Status nicht normal sei. "Das SSL-Zertifikat wurde geändert!" Also musste ich die betreffenden Synchronisations-Links im Client mit meinem Passwort bestätigen und noch ein paar Mal auf "OK" klicken, bevor er wieder zu synchen anfing.

Nun ja, bei einem PC ist das vll. nicht der Rede wert. Leider habe ich mehrere unterschiedliche (PCs, Tablets, Handys) Geräte an verschiedenen Orten mit Zugriff auf diese Syno. Also darf man das ja ab jetzt alle 3 Monate bei jedem Gerät durchexerzieren?
Ich gehe ja gerne den Kompromiss ein, alle paar Wochen den Port 80 zu öffnen und zu schließen. Aber der Rest? Ist das echt ernst gemeint oder mache ich da was falsch?

Unter automatischem "erneuern" verstehe ich, dass eben nach dieser "Erneuerung" das bestehende Zert. einfach wieder 3 Monate länger gültig ist. So wie's jetzt läuft, ist das ja jedes Mal ein komplett neues Zertifikat? Da kann ich ja gleich wieder zurück zu selbst erstellten Zertifikat, die ich in meinen Browsern einpflege...

Vielleicht kann mich ja jemand aufklären. Besten Dank im Voraus,

sylonogy
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.844
Punkte für Reaktionen
54
Punkte
74
Fusion, es muss deine Frage gewesen sein...ich habe mich gerade einfach nochmal versucht mich einzuloggen um die Fehlermeldung anzugeben und siehe da...grünes Schloss :cool: Das verstehe wer will...

Du hattest den Browser Cache nicht geleert! Bzw. Dein Browser musste erstmal geschlossen werden, um zu merken, dass da jetzt etwas anders an der Seite ist!
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Nun mal wieder von mir eine Frage. Ich habe nun auf 6.1.1 ein Update gemacht und wollte jetzt darüber ganz einfach und schnell über Let's Encrypt ein Zertifikat ausstellen lassen. Leider bricht er dabei ab. Funktioniert es evtl. nicht mit einer Stadt.Domain, bspw. ilove.berlin? Das wäre ja sehr schlecht für mich.
 

Bordi

Benutzer
Mitglied seit
24. Jan 2010
Beiträge
3.198
Punkte für Reaktionen
3
Punkte
0
soweit ich weiss ist das richtig. Die Domainendung muss schon korrekt sein, sonst geht das nicht. Selbst mit berlin.local oder ilove.local :cool: geht man noch Gefahr das die Domain nicht gefressen wird / verarbeitet werden kann.
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Naja, die Domainendung .stadt-name ist ja schon richtig und korrekt ;-) Nur muß dies dann auch bei den Let's Encrypt Leuten auch freigeschaltet werden.
Aber ich sehe, da muß ich warten und weiterhin StartCom verwenden.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.844
Punkte für Reaktionen
54
Punkte
74
Nun mal wieder von mir eine Frage. Ich habe nun auf 6.1.1 ein Update gemacht und wollte jetzt darüber ganz einfach und schnell über Let's Encrypt ein Zertifikat ausstellen lassen. Leider bricht er dabei ab. Funktioniert es evtl. nicht mit einer Stadt.Domain, bspw. ilove.berlin? Das wäre ja sehr schlecht für mich.

Immer dran denken: Der Webserver muss laufen! D.h. wenigstens das Testbild vom Webserver sollte auf Port 80 und 443 durch die DS Firewall und den Router zu sehen sein! Erst dann klappt die Let's Encrypt Routine auch reibunslos!

webserver.png
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat