Let's Encrypt: kostenlose SSL-Zertifikate
- Ersteller Frogman
- Erstellt am
- Status
Hallo Frogman,
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt: kostenlose SSL-Zertifikate
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt: kostenlose SSL-Zertifikate
gente
Benutzer
- Mitglied seit
- 07. Mrz 2016
- Beiträge
- 252
- Punkte für Reaktionen
- 0
- Punkte
- 22
wie dieses 30-Tage-Zertifikat von Let's Encrypt erneuern?
Bekomme eine server.csr und server.key gedownloadet!
Wo und wie jetzt die *.crt Datei herbekommen zum Import?
Beim erneuern muß ja nichts auf den Macs neu importiert werden weil diesselben Schlüssel benutzt werden, lieg ich da richtig?
Wäre ja sonst umständlich das alle 3 Monate zu wiederholen...
LG Thomas
Bekomme eine server.csr und server.key gedownloadet!
Wo und wie jetzt die *.crt Datei herbekommen zum Import?
Beim erneuern muß ja nichts auf den Macs neu importiert werden weil diesselben Schlüssel benutzt werden, lieg ich da richtig?
Wäre ja sonst umständlich das alle 3 Monate zu wiederholen...
LG Thomas
Hallo,
wenn alles richtig eingestellt ist erneuert die DS das Zertifikat automatisch.
DSM-Hilfe:
Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist.
Gruß Götz
wenn alles richtig eingestellt ist erneuert die DS das Zertifikat automatisch.
DSM-Hilfe:
Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist.
Gruß Götz
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.159
- Punkte für Reaktionen
- 912
- Punkte
- 424
Solange deine DS unter dieser Domain erreichbar ist, kannst du eine beliebige Domain verwenden, also auch DDNS Adressen.
Das Problem dabei ist, dass die Anzahl an Zertifikaten pro Hauptdomain (also spdns.de in diesem Fall) aktuell begrenzt ist. Das heißt wer zu erst kommt malt zu erst und der Rest der DDNS-Nutzer dieser DDNS-Domain schauen in die Röhre, was LE-Zertifikate angeht.
Wenn dir die Domain.tld gehört hast du dieses Problem nicht, weder mit LE- noch mit Zertifikaten von anderen Stellen z.B: StartCom.
Es gibt wohl eine Liste mit Providern, die ihre öffentlichen Domains einpflegen lassen und dann mehr Zertifikate zur Verfügung stehen.
Manche DDNS Provider wollen dies aber explizit nicht, weil sie natürlich selbst kostenpflichtige DDNS Services und Zertifikate verkaufen wollen.
https://publicsuffix.org/list/
https://github.com/letsencrypt/letsencrypt/issues/1607
Das Problem dabei ist, dass die Anzahl an Zertifikaten pro Hauptdomain (also spdns.de in diesem Fall) aktuell begrenzt ist. Das heißt wer zu erst kommt malt zu erst und der Rest der DDNS-Nutzer dieser DDNS-Domain schauen in die Röhre, was LE-Zertifikate angeht.
Wenn dir die Domain.tld gehört hast du dieses Problem nicht, weder mit LE- noch mit Zertifikaten von anderen Stellen z.B: StartCom.
Es gibt wohl eine Liste mit Providern, die ihre öffentlichen Domains einpflegen lassen und dann mehr Zertifikate zur Verfügung stehen.
Manche DDNS Provider wollen dies aber explizit nicht, weil sie natürlich selbst kostenpflichtige DDNS Services und Zertifikate verkaufen wollen.
https://publicsuffix.org/list/
https://github.com/letsencrypt/letsencrypt/issues/1607
gente
Benutzer
- Mitglied seit
- 07. Mrz 2016
- Beiträge
- 252
- Punkte für Reaktionen
- 0
- Punkte
- 22
...du kannst aber ein Zertifikat erstellen und dir mehrere Aliase hinzufügen, hab so 4 Domains auf ein Zertifikat bei Let's Encrypt erstellt und die sind nichtmal vom selben Anbieter!
Kann mit allen Domains verschlüsselt auf meine Webserver (443 Webstation und 5001 Browserinterface DS) zugreifen.
LG Thomas
Kann mit allen Domains verschlüsselt auf meine Webserver (443 Webstation und 5001 Browserinterface DS) zugreifen.
LG Thomas
Hallo,
Ich habe mir jetzt auch ohne Probleme das LE Zertifikat installiert.
Der Zugriff von Außen funktioniert und ich sehe im Browser auch das Schloß und kann mir das Zertifikat ansehen.
Allerdings lande ich bei Eingabe von "https://domain.de" auf der Login Seite des DSM! Kann man das ändern?
Ich möchte ja nicht, das jeder der auf diese Seite kommt sich eingeladen fühlt Username und Passwort auszuprobieren.
Ich könnte auch Port 80 und 443 wieder auf der FB schließen, da ich die Webseite nicht nutze. Das Zertifikat dient nur den WrbDav Zugang. Dann muß ich nur daran denken alle 3 Monate das Zertifikat manuell zu erneuern.
Hat jemand eine Idee?
Gruß
Janndr
Ich habe mir jetzt auch ohne Probleme das LE Zertifikat installiert.
Der Zugriff von Außen funktioniert und ich sehe im Browser auch das Schloß und kann mir das Zertifikat ansehen.
Allerdings lande ich bei Eingabe von "https://domain.de" auf der Login Seite des DSM! Kann man das ändern?
Ich möchte ja nicht, das jeder der auf diese Seite kommt sich eingeladen fühlt Username und Passwort auszuprobieren.
Ich könnte auch Port 80 und 443 wieder auf der FB schließen, da ich die Webseite nicht nutze. Das Zertifikat dient nur den WrbDav Zugang. Dann muß ich nur daran denken alle 3 Monate das Zertifikat manuell zu erneuern.
Hat jemand eine Idee?
Gruß
Janndr
Hallo Zusammen
Ich habe zwei Problemstellungen bei der Installation von Lets Encrypt.
1.) Bei der Fertigstellung der Installtion kam die Fehlermeldung, das die Domain (selfhost.eu) besetzt ist von einem Anderen Zertifikat. Ist dies das Synology Zertifikat?
2.) Als zweite meldung, nach neuem Versuch, kam die Meldung Port 80 sei nicht erreichbar, obwohl dieser Freigegeben ist sowie 443 auf der Fritzbox. Muss ich dies in der DS auch noch Freigeben und anklicken bei der Firewall?
Danke und Gruess
Ich habe zwei Problemstellungen bei der Installation von Lets Encrypt.
1.) Bei der Fertigstellung der Installtion kam die Fehlermeldung, das die Domain (selfhost.eu) besetzt ist von einem Anderen Zertifikat. Ist dies das Synology Zertifikat?
2.) Als zweite meldung, nach neuem Versuch, kam die Meldung Port 80 sei nicht erreichbar, obwohl dieser Freigegeben ist sowie 443 auf der Fritzbox. Muss ich dies in der DS auch noch Freigeben und anklicken bei der Firewall?
Danke und Gruess
Zuletzt bearbeitet:
Hallo zusammen,
ich habe ein Zertifikat von "Let'S encrypt" erstellt, wie hier oder hier beschrieben. erstellt.
Als Domain habe ich xxx.diskstation.me angegeben.
Auf meiner DS melden ich mich dann mit https://xxx.diskstation.me:5001/ an....Portweiterleitung ist natürlich aktiviert...
Allerdings akzeptiert mein Browser das Zertifikat nicht, kein grünes Schloss. Muss ich sonst noch etwas beachten? Wo könne ich einen Fehler gemacht haben?
vg
Axel
ich habe ein Zertifikat von "Let'S encrypt" erstellt, wie hier oder hier beschrieben. erstellt.
Als Domain habe ich xxx.diskstation.me angegeben.
Auf meiner DS melden ich mich dann mit https://xxx.diskstation.me:5001/ an....Portweiterleitung ist natürlich aktiviert...
Allerdings akzeptiert mein Browser das Zertifikat nicht, kein grünes Schloss. Muss ich sonst noch etwas beachten? Wo könne ich einen Fehler gemacht haben?
vg
Axel
Fusion, es muss deine Frage gewesen sein...ich habe mich gerade einfach nochmal versucht mich einzuloggen um die Fehlermeldung anzugeben und siehe da...grünes Schloss 
Das verstehe wer will...
Das verstehe wer will...Hallo zusammen,
ich verwende auch so ein LE-Zert. und es hat sich auch irgendwann in den letzten Tagen von selbst "erneuert", nachdem ich Port 80 kurzzeitig geöffnet hatte. Soweit so gut. Nur:
Mein CS-Client meldet, dass der Status nicht normal sei. "Das SSL-Zertifikat wurde geändert!" Also musste ich die betreffenden Synchronisations-Links im Client mit meinem Passwort bestätigen und noch ein paar Mal auf "OK" klicken, bevor er wieder zu synchen anfing.
Nun ja, bei einem PC ist das vll. nicht der Rede wert. Leider habe ich mehrere unterschiedliche (PCs, Tablets, Handys) Geräte an verschiedenen Orten mit Zugriff auf diese Syno. Also darf man das ja ab jetzt alle 3 Monate bei jedem Gerät durchexerzieren?
Ich gehe ja gerne den Kompromiss ein, alle paar Wochen den Port 80 zu öffnen und zu schließen. Aber der Rest? Ist das echt ernst gemeint oder mache ich da was falsch?
Unter automatischem "erneuern" verstehe ich, dass eben nach dieser "Erneuerung" das bestehende Zert. einfach wieder 3 Monate länger gültig ist. So wie's jetzt läuft, ist das ja jedes Mal ein komplett neues Zertifikat? Da kann ich ja gleich wieder zurück zu selbst erstellten Zertifikat, die ich in meinen Browsern einpflege...
Vielleicht kann mich ja jemand aufklären. Besten Dank im Voraus,
sylonogy
ich verwende auch so ein LE-Zert. und es hat sich auch irgendwann in den letzten Tagen von selbst "erneuert", nachdem ich Port 80 kurzzeitig geöffnet hatte. Soweit so gut. Nur:
Mein CS-Client meldet, dass der Status nicht normal sei. "Das SSL-Zertifikat wurde geändert!" Also musste ich die betreffenden Synchronisations-Links im Client mit meinem Passwort bestätigen und noch ein paar Mal auf "OK" klicken, bevor er wieder zu synchen anfing.
Nun ja, bei einem PC ist das vll. nicht der Rede wert. Leider habe ich mehrere unterschiedliche (PCs, Tablets, Handys) Geräte an verschiedenen Orten mit Zugriff auf diese Syno. Also darf man das ja ab jetzt alle 3 Monate bei jedem Gerät durchexerzieren?
Ich gehe ja gerne den Kompromiss ein, alle paar Wochen den Port 80 zu öffnen und zu schließen. Aber der Rest? Ist das echt ernst gemeint oder mache ich da was falsch?
Unter automatischem "erneuern" verstehe ich, dass eben nach dieser "Erneuerung" das bestehende Zert. einfach wieder 3 Monate länger gültig ist. So wie's jetzt läuft, ist das ja jedes Mal ein komplett neues Zertifikat? Da kann ich ja gleich wieder zurück zu selbst erstellten Zertifikat, die ich in meinen Browsern einpflege...
Vielleicht kann mich ja jemand aufklären. Besten Dank im Voraus,
sylonogy
TheGardner
Benutzer
- Mitglied seit
- 30. Nov 2012
- Beiträge
- 1.844
- Punkte für Reaktionen
- 54
- Punkte
- 74
Fusion, es muss deine Frage gewesen sein...ich habe mich gerade einfach nochmal versucht mich einzuloggen um die Fehlermeldung anzugeben und siehe da...grünes Schloss
Du hattest den Browser Cache nicht geleert! Bzw. Dein Browser musste erstmal geschlossen werden, um zu merken, dass da jetzt etwas anders an der Seite ist!
Ha34Meiner
Benutzer
- Mitglied seit
- 28. Dez 2012
- Beiträge
- 573
- Punkte für Reaktionen
- 12
- Punkte
- 44
Nun mal wieder von mir eine Frage. Ich habe nun auf 6.1.1 ein Update gemacht und wollte jetzt darüber ganz einfach und schnell über Let's Encrypt ein Zertifikat ausstellen lassen. Leider bricht er dabei ab. Funktioniert es evtl. nicht mit einer Stadt.Domain, bspw. ilove.berlin? Das wäre ja sehr schlecht für mich.
Bordi
Benutzer
- Mitglied seit
- 24. Jan 2010
- Beiträge
- 3.198
- Punkte für Reaktionen
- 3
- Punkte
- 0
soweit ich weiss ist das richtig. Die Domainendung muss schon korrekt sein, sonst geht das nicht. Selbst mit berlin.local oder ilove.local geht man noch Gefahr das die Domain nicht gefressen wird / verarbeitet werden kann.
geht man noch Gefahr das die Domain nicht gefressen wird / verarbeitet werden kann.
Ha34Meiner
Benutzer
- Mitglied seit
- 28. Dez 2012
- Beiträge
- 573
- Punkte für Reaktionen
- 12
- Punkte
- 44
Naja, die Domainendung .stadt-name ist ja schon richtig und korrekt ;-) Nur muß dies dann auch bei den Let's Encrypt Leuten auch freigeschaltet werden.
Aber ich sehe, da muß ich warten und weiterhin StartCom verwenden.
Aber ich sehe, da muß ich warten und weiterhin StartCom verwenden.
TheGardner
Benutzer
- Mitglied seit
- 30. Nov 2012
- Beiträge
- 1.844
- Punkte für Reaktionen
- 54
- Punkte
- 74
Immer dran denken: Der Webserver muss laufen! D.h. wenigstens das Testbild vom Webserver sollte auf Port 80 und 443 durch die DS Firewall und den Router zu sehen sein! Erst dann klappt die Let's Encrypt Routine auch reibunslos!
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
