Let's Encrypt: kostenlose SSL-Zertifikate

[Tuvok42]

Mein CS-Client meldet, dass der Status nicht normal sei. "Das SSL-Zertifikat wurde geändert!" Also musste ich die betreffenden Synchronisations-Links im Client mit meinem Passwort bestätigen und noch ein paar Mal auf "OK" klicken, bevor er wieder zu synchen anfing.

Das "Problem" liegt beim Hersteller der Software des CS-Client. Dieser Speichert einfach das Zertifikat zum Zeitpunkt der Synchronisationserstellung und weigert sich zu synchronisieren, wenn sich etwas an diesem ändert. Eigentlich sollte die Software prüfen, ob der antwortende Server derjenige ist, der als Ziel der Synchronisation angegeben ist. Hierzu muss das Zertifikat des Server den Namen der Domain enthalten, den der CS-Client anspricht, nicht abgelaufen sein und eine Signatur enthalten, die der CS-Client vertraut. Üblicherweise nutzen diese SW den Betriebssystemeigenen Zertifikatsspeicher mit den entsprechenden Root-Zertifikaten (Update über BS-Updatefunktionen) oder installieren einen eigenen Zertifikatsspeicher mit vertrauenswürdigen Root-Zertifikaten (und müssen selbst für den Update sorgen).

 

[NSFH]

Immer dran denken: Der Webserver muss laufen! D.h. wenigstens das Testbild vom Webserver sollte auf Port 80 und 443 durch die DS Firewall und den Router zu sehen sein! Erst dann klappt die Let's Encrypt Routine auch reibunslos!

Anhang anzeigen 37075

Das ist definitiv nicht richtig. Ich habe auf des DS keinen Webserver laufen und es geht trotzdem. Es scheint so zu sein, dass die Syno bei Nutzung von LE einen rudimentären Webdienst laufen lässt, der mit LE korrespondiert. Es muss nur der Port 80 für den ersten Check offen sein.

 

[TheGardner]

Kann alles sein, aber ich hab festgestellt, dass bei manchen Usern -welche erst mit Fehlermeldungen geklagt haben- es dann mit Anschaltung des Webservers schlussendlich schneller geklappt hat!
Leider gibt es keine richtigen Fehlermeldungen, die den Usern klipp und klar sagen, wieso ein Zertifikatsantrag fehlschlägt, deswegen sage ich immer wieder "schaltet doch erstmal den verdammten Webserver an und probierts aufs Neue!" wenns dann nicht klappt, dann liegt der Fehler woanders, aber erst beim Rumspielen mit dem Webserver merken manche, dass evt. die Portweiterleitungen im Router ja noch fehlen, oder die blöde Firewall ja noch alles blockt! Erst wenn sie dann das Testbild von extern sehen, dann würde ich nen neuen Versuch der Beantragung machen!

Danach kann ja alles wieder abgeschalten werden! Kein Akt!

 

[sylonogy]

@Tuvok42:

heißt das also, dass es mit einem LE-Zertifikat normal ist, dass ich alle 3 Monate jede Synch-Verknüpfung auf jedem Endgerät mit Passworteingabe und ein paar OK-Klicks wieder ans Laufen bringen muss? Obwohl sich das LE-Zertifikat "selbst erneuert"...

Dann würde sich ja ein gekauftes Zertifikat für ca. 30-40€ pro Jahr durchaus rentieren... Besser noch mit 3 Jahren Laufzeit...

 

[Tuvok42]

Solange der Hersteller der CS-Software sein Programm nicht anpasst: Ja

 

[sylonogy]

Danke für die Bestätigung. Somit sehe ich für mich bzw. für User, die mehrere Geräte und Sync-Verknüpfungen betreiben keinen Sinn in der Nutzung von LE-Zertifikaten. Auch, wenn sie kostenlos sind. Schade, denn an und für sich ist's ein guter Gedanke.

 

[Ha34Meiner]

Ich habe webstation ja installiert und kann die Homepage auch aufrufen, trotzdem kann ich mit meiner Domain.Stadt kein LE-Zertifikat erstellen.Ich denke mal, das geht nur mit den "normalen" .de .com usw.
Schade, ich hätte es gerne genutzt.

 

[Fusion]

Es gibt keine mir bekannten Einschränkungen aufgrund von "neuen" top-level domains von Seiten von Lets Encrypt.

Gibt nur allgemeine Anfrage- und Fehlerraten
https://letsencrypt.org/docs/rate-limits/

 

[Ha34Meiner]

Dann muß es ja wieder an mir liegen ;-) Aber diesmal habe ich wirklich nichts verstellt. Ich glaube schon, dass ich ein Fehler mache.

​

 

[goetz]

Hallo,
bei Betreff Alternativer Name kommt entweder nichts rein oder ein weiterer Domain-Name, aber keine e-mail Adresse.

Gruß Götz

 

[Ha34Meiner]

Danke Götz für Deine Hilfe, aber auch wenn ich nichts dort eintrage, kommt die o.g. Fehlermeldung.

 

[Fusion]

Und domain.stadt zeigt auch direkt auf deine DS und nicht nur nas.domain.stadt ?
Die Domainangaben müssen exakt so auf der DS landen wie dort angegeben

 

[goetz]

Hallo,
probiere mal auf der Konsole

syno-letsencrypt new-cert -d domain.stadt -m <DEINE MAILADRESSE> -vv

per -vv sollten ne Mende Debug Informationen erscheinen.

Gruß Götz

 

[Ha34Meiner]

Dann bekomme ich folgende Meldung:
-ash: webmaster@Name.stadt: No such file or directory

 

[goetz]

Hallo,
die mail Adresse natürlich ohne die <>

Gruß Götz

 

[Ha34Meiner]

Natürlich, wollte ich auch eben sagen ;-))
Du hast mich Erwischt.
Was brauchst Du denn von 60 Seiten der LOG-Datei ;-)

 

[Ha34Meiner]

Könnte Dir alles per PM schicken oder reicht dir nur ein Teil davon?
Am Schluß steht:

DEBUG: Curl Reply: [403] Header: [HTTP/1.1 100 Continue
Expires: Wed, 31 May 2017 06:16:12 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache

HTTP/1.1 403 Forbidden
Server: nginx
Content-Type: application/problem+json
Content-Length: 170
Boulder-Request-Id: XXX
Boulder-Requester: 14322281
Replay-Nonce: XXX
Expires: Wed, 31 May 2017 06:16:13 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Wed, 31 May 2017 06:16:13 GMT
Connection: close

] Body: [{
"type": "urn:acme:error:unauthorized",
"detail": "Error creating new cert :: authorizations for these names not found or expired: name.stadtname",
"status": 403
}]
{"error":200,"file":"client.cpp","msg":"new-cert: Unexpect httpcode. (new-cert)" }

 

[Matthieu]

Ich glaube deine WebStation verweigert den Zugriff (HTTP 403 Forbidden). Wenn du einfach nur die http-Seite aufrufst, wie du Sie im Zertifikat eingegeben hast, landest du dann auf der WebStation?

MfG Matthieu

 

[Ha34Meiner]

wenn ich meine Seite http://ilove.stadt aufrufe, werde ich auf https umgeleitet und bekomme folgende Meldung:
Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help.

Im Browser steht dann https://ilove.stadt/
oder meinst Du etwas ganz anderes was ich testen soll?

 

[Ha34Meiner]

Da fällt mir ein, ich habe irgendwo gelesen das der PORT 80 freigegeben werden muß? Den habe ich, glaube ich, gesperrt. Ich nutze ja nur 443.