Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Mein CS-Client meldet, dass der Status nicht normal sei. "Das SSL-Zertifikat wurde geändert!" Also musste ich die betreffenden Synchronisations-Links im Client mit meinem Passwort bestätigen und noch ein paar Mal auf "OK" klicken, bevor er wieder zu synchen anfing.
Das "Problem" liegt beim Hersteller der Software des CS-Client. Dieser Speichert einfach das Zertifikat zum Zeitpunkt der Synchronisationserstellung und weigert sich zu synchronisieren, wenn sich etwas an diesem ändert. Eigentlich sollte die Software prüfen, ob der antwortende Server derjenige ist, der als Ziel der Synchronisation angegeben ist. Hierzu muss das Zertifikat des Server den Namen der Domain enthalten, den der CS-Client anspricht, nicht abgelaufen sein und eine Signatur enthalten, die der CS-Client vertraut. Üblicherweise nutzen diese SW den Betriebssystemeigenen Zertifikatsspeicher mit den entsprechenden Root-Zertifikaten (Update über BS-Updatefunktionen) oder installieren einen eigenen Zertifikatsspeicher mit vertrauenswürdigen Root-Zertifikaten (und müssen selbst für den Update sorgen).
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Immer dran denken: Der Webserver muss laufen! D.h. wenigstens das Testbild vom Webserver sollte auf Port 80 und 443 durch die DS Firewall und den Router zu sehen sein! Erst dann klappt die Let's Encrypt Routine auch reibunslos!

Anhang anzeigen 37075

Das ist definitiv nicht richtig. Ich habe auf des DS keinen Webserver laufen und es geht trotzdem. Es scheint so zu sein, dass die Syno bei Nutzung von LE einen rudimentären Webdienst laufen lässt, der mit LE korrespondiert. Es muss nur der Port 80 für den ersten Check offen sein.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Kann alles sein, aber ich hab festgestellt, dass bei manchen Usern -welche erst mit Fehlermeldungen geklagt haben- es dann mit Anschaltung des Webservers schlussendlich schneller geklappt hat!
Leider gibt es keine richtigen Fehlermeldungen, die den Usern klipp und klar sagen, wieso ein Zertifikatsantrag fehlschlägt, deswegen sage ich immer wieder "schaltet doch erstmal den verdammten Webserver an und probierts aufs Neue!" wenns dann nicht klappt, dann liegt der Fehler woanders, aber erst beim Rumspielen mit dem Webserver merken manche, dass evt. die Portweiterleitungen im Router ja noch fehlen, oder die blöde Firewall ja noch alles blockt! Erst wenn sie dann das Testbild von extern sehen, dann würde ich nen neuen Versuch der Beantragung machen!

Danach kann ja alles wieder abgeschalten werden! Kein Akt!
 

sylonogy

Benutzer
Mitglied seit
01. Dez 2013
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
@Tuvok42:

heißt das also, dass es mit einem LE-Zertifikat normal ist, dass ich alle 3 Monate jede Synch-Verknüpfung auf jedem Endgerät mit Passworteingabe und ein paar OK-Klicks wieder ans Laufen bringen muss? Obwohl sich das LE-Zertifikat "selbst erneuert"...

Dann würde sich ja ein gekauftes Zertifikat für ca. 30-40€ pro Jahr durchaus rentieren... Besser noch mit 3 Jahren Laufzeit...
 

sylonogy

Benutzer
Mitglied seit
01. Dez 2013
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Danke für die Bestätigung. Somit sehe ich für mich bzw. für User, die mehrere Geräte und Sync-Verknüpfungen betreiben keinen Sinn in der Nutzung von LE-Zertifikaten. Auch, wenn sie kostenlos sind. Schade, denn an und für sich ist's ein guter Gedanke.
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Ich habe webstation ja installiert und kann die Homepage auch aufrufen, trotzdem kann ich mit meiner Domain.Stadt kein LE-Zertifikat erstellen.Ich denke mal, das geht nur mit den "normalen" .de .com usw.
Schade, ich hätte es gerne genutzt.
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Dann muß es ja wieder an mir liegen ;-) Aber diesmal habe ich wirklich nichts verstellt. Ich glaube schon, dass ich ein Fehler mache.;)

LEZertifikat.jpg
LEZertifikat-Fehler.jpg
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
bei Betreff Alternativer Name kommt entweder nichts rein oder ein weiterer Domain-Name, aber keine e-mail Adresse.

Gruß Götz
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Danke Götz für Deine Hilfe, aber auch wenn ich nichts dort eintrage, kommt die o.g. Fehlermeldung.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Und domain.stadt zeigt auch direkt auf deine DS und nicht nur nas.domain.stadt ?
Die Domainangaben müssen exakt so auf der DS landen wie dort angegeben
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
probiere mal auf der Konsole
Rich (BBCode):
syno-letsencrypt new-cert -d domain.stadt -m <DEINE MAILADRESSE> -vv
per -vv sollten ne Mende Debug Informationen erscheinen.

Gruß Götz
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
die mail Adresse natürlich ohne die <>

Gruß Götz
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Natürlich, wollte ich auch eben sagen ;-))
Du hast mich Erwischt.
Was brauchst Du denn von 60 Seiten der LOG-Datei ;-)
 
Zuletzt bearbeitet:

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Könnte Dir alles per PM schicken oder reicht dir nur ein Teil davon?
Am Schluß steht:

DEBUG: Curl Reply: [403] Header: [HTTP/1.1 100 Continue
Expires: Wed, 31 May 2017 06:16:12 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache

HTTP/1.1 403 Forbidden
Server: nginx
Content-Type: application/problem+json
Content-Length: 170
Boulder-Request-Id: XXX
Boulder-Requester: 14322281
Replay-Nonce: XXX
Expires: Wed, 31 May 2017 06:16:13 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Wed, 31 May 2017 06:16:13 GMT
Connection: close

] Body: [{
"type": "urn:acme:error:unauthorized",
"detail": "Error creating new cert :: authorizations for these names not found or expired: name.stadtname",
"status": 403
}]
{"error":200,"file":"client.cpp","msg":"new-cert: Unexpect httpcode. (new-cert)" }
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich glaube deine WebStation verweigert den Zugriff (HTTP 403 Forbidden). Wenn du einfach nur die http-Seite aufrufst, wie du Sie im Zertifikat eingegeben hast, landest du dann auf der WebStation?

MfG Matthieu
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
wenn ich meine Seite http://ilove.stadt aufrufe, werde ich auf https umgeleitet und bekomme folgende Meldung:
Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help.

Im Browser steht dann https://ilove.stadt/
oder meinst Du etwas ganz anderes was ich testen soll?
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Da fällt mir ein, ich habe irgendwo gelesen das der PORT 80 freigegeben werden muß? Den habe ich, glaube ich, gesperrt. Ich nutze ja nur 443.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat