Lets Encrypt Wildcard Zertifikat (ACME v2)

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
Hallo
Da ich schon lange auf ein Wildcard Zertifikat von Lets Encrypt warte und es seit heute produktiv verfügbar sein soll (https://letsencrypt.org/upcoming-features/)
wollte ich mich jetzt mal langsam damit beschäftigen.

Hier gibt es auch eine kleine Beschreibung dazu:
https://community.letsencrypt.org/t/acme-v2-production-environment-wildcards/55578

Hier stellen sich mir jedoch so einige Fragen:
1) Was ist ACME überhaupt?
2) Kann die Synology ACME v1/2 oder wird es jemals können?
3) Werden Lets Encrypt Zertifikate bisher auch über eine API angefordert?
4) Über welchen Client fordert die Synology derzeit Zertifikate an?
5) und ist dieser in der "compatible list": https://letsencrypt.org/docs/client-options/#acme-v2-compatible-clients
6) ist es über den DSM jetzt schon möglich ein Wildcard Zertifikat alla "*.example.com" anzufordern?

Wär cool wenn mich hier mal jemand etwas aufklären könnte.

Danke
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
1) Automatic Certificate Management Environment, das Protokoll, dass sich LE-Clients zu nutze machen um mit den Servern zu reden
https://ietf-wg-acme.github.io/acme/draft-ietf-acme-acme.html
2) Synology ist ACME v1 bis jetzt denke ich
3) http-01 challenge, Domain Validierung über Port 80
4) Welchen Client sie in ihrem syno-letsencrypt versteckt haben, oder wirklich was selber geschrieben haben weiß ich nicht.
5) 1:1 sicher nicht, siehe 4)
6) nein.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
ok danke schonmal soweit.

Könnte ich, bis Synology seinen Client v2 fähig macht bzw. das in DSM integriert, mir manuell ein WC-Zertifikat anfordern und in DSM importieren?
Wenn ja, wie?
 

NormalZeit

Benutzer
Mitglied seit
15. Okt 2012
Beiträge
361
Punkte für Reaktionen
17
Punkte
24
Für die Erstellung ist auch ein spezieller DNS Eintrag erforderlich. Fraglich, ob das bei den üblichen DNS Anbietern so möglich ist.

Dann ist auch noch unklar, wie das bei einem Renewal aussieht. Das dann nämlich alle 90 Tage manuell zu machen ist blöd.
 

SoniX

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
772
Punkte für Reaktionen
58
Punkte
48
Wäre schon doof wenn man alle 90 Tage manuell den DNS ändern muss. Aber soweit ich das mitbekommen habe ist ein DNS Eintrag nicht immer notwendig. Nichts genaueres weiß ich noch nicht. Warum hat der Tag bloß sowenige Stunden?
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
Synology könnte das aber mit Ihrem eigenen DDNS-Dienst synology.me im Zusammenspiel mit dem DSM schon lösen.
Auch das die Renewals alle 90 Tage (bzw früher) wären automatisiert umsetzbar!
Dann muss man selber gar nichts alle 90 Tage machen!

Wie das mit eigenen DDNS-Diensten aussieht ist natürlich was anderes.
Ich habe mal einen Feature-Request an Synology gestellt. "Es wurde an die Entwicklungsabteilung weitergeleitet"
 

P4ddy

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
461
Punkte für Reaktionen
1
Punkte
16
Als ich das gelesen habe, hab ich mich auch direkt gefreut- und dachte mir ich versuche es einfach mal. Es fängt aber schon damit an, das man in der GUI vom DSM kein "*" eingeben kann.

ich hab auch direkt ein Request an Syno gesendet. Mal sehen was passiert.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
Der Support hat mir geschrieben und gemeint es sei noch nicht implementiert und es würde an die Entwicklungsabteilung weitergeleitet werden.
Was das genau heißt, also welche Prio das hat, weis man allerdings nicht ...
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.149
Punkte für Reaktionen
737
Punkte
154
Ich hab' ein Wildcard-Zertifikat nach dieser Anleitung für meine DSM-Oberfläche erstellt.

Voraussetzung ist allerdings, dass Du einen TXT-Record für Deine Domain anlegen kannst, damit die DNS-Challenge funktioniert. Da ich mein DynDNS über Strato nutze, war das kein Problem.

Ich hab' dann - entgegen der Anleitung - das erstellte Wildcard-Zertifikat direkt über die Systemsteuerung des DSM importiert.

wild.png

Vielleicht hilft Dir das ja weiter.
 

alexs1988

Benutzer
Mitglied seit
08. Jun 2011
Beiträge
193
Punkte für Reaktionen
0
Punkte
16
Hallo Adama,

danke für den Link der Anleitung. erstellen hat super geklappt. Habe es auch über die Systemsteuerung im DSM eingefügt.
Muss man das auch alle 3 Monate über diesen Weg aktualisieren? oder funktioniert das von alleine?

Vielen Dank
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wenn Du nix eingerichtet hast, wird da nix von alleine erneuert. Die Zeile zum erneuern wurde da ja auch noch aufgeführt. Theoretisch müsstest Du diese dann entsprechend in ein Script und in einen Cronjob verfrachten.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.149
Punkte für Reaktionen
737
Punkte
154
blurrrr hat Recht...

Leider muss man das manuell anstossen. Steht auch in der Anleitung irgendwo.

Der Vorteil ist auf jeden Fall, dass man keinen Port dafür freigeben muss...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Normalerweise sollten für den "normalen" Betrieb die handvoll ALT-Names ausreichen (also kein Wildcard). Wildcard ist eine schöne Sache für "mehrere" Systeme, aber da immer alle 3 Monate händisch austauschen? Nääääääh.... :eek: dann doch lieber eins für 3 Jahre kaufen, da hat man den Aufwand nicht alle 3 Monate... oder eben via Puppet/Salt/etc. Wenn es denn dann (wovon ich nicht ausgehe) mal einen Mechanismus geben sollte, wo div. Systeme (mit dem gleichen Wildcard-Zertifikat) sich die Dinge quasi automatisch holen können... okay, aber bis dato, lass ich da lieber erstmal die Finger von, das ist mir den Aufwand nicht wert. Bis dato also eigentlich auch nur eine "nette Spielerei" ;)
 

SoniX

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
772
Punkte für Reaktionen
58
Punkte
48
Na schau, so unterschiedlich sind Meinungen.

Ich habe ein gekauftes Zertifikat, nutze es aber nichtmehr weil ich inzwischen liebend gerne Wildcard Subdomains nutze und das Zertifikat diese nicht unterstützt. Klar wärs toll wenn man ein Jahrelang gültiges Wildcardzertifikat hätte, aber die Kosten dafür sind zum davonlaufen.

Also nutze ich jetzt Lets Encrypt. Alle 3 Monate wird erneuert, ne Sache von 20min für meine 4 Diskstations. Das ists mir wert.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Najo, kommt drauf an "was" für ein Zertifikat man sich holt... also für 1 Jahr liegt man da mit einem günstigen schon deutlich unter 100€. Bei 4 Diskstations mag das wohl noch gehen, haste recht, bei "ein wenig" mehr, macht das dann so überhaupt gar keinen Spass mehr, da kann schon mal gut ein halber bis ganzer Tag bei rumgehen. Von daher... lieber eins kaufen und das Geld noch am gleichen Tag komplett wieder drin haben inkl. 3 Jahren Ruhe davor :D Sehe aber schon ein, dass das hier für die meisten eher weniger zweckmässig wäre ;)
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
Weis einer wie ich den TXT Record bei ddnss.de einstelle online?
In der Weboberfläche lässt sich zwar der Name "_acme-challenge" aber kein Value dafür eintragen ...Bildschirmfoto 2018-07-28 um 00.28.35.png
Ist das 2. Feld dafür da? Weil egal was ich da rein schreibe, er behält es nicht.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Da fragst Du wohl am besten mal bei ddnss.de nach. Manche hätten es dann gern noch in Anführungszeichen, könnteste auch mal testen. :)
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.149
Punkte für Reaktionen
737
Punkte
154
So sieht das bei mir (Strato) aus:
acme.png

Meine Vermutung wäre ja, dass in Dein zweites Feld der Wert für die DNS-Challenge reingehört. Aber sollte er sich das natürlich auch merken...
 

rtax

Benutzer
Mitglied seit
29. Jul 2018
Beiträge
37
Punkte für Reaktionen
2
Punkte
8
Tach Ihrs,

habe mir für meine DS216J (hängt alles an der connectbox von UM Dual Stack geht)eine Domain registriert bei dynv6.net .... domain und zuggriff über WWW geht gut ich komme auf die ds :)

wollte mit Alexa Mukke abspielen und dazu benötige ich dies VERMALEDEITE Lets Encrypt Zertifikat .... jedesmal wenn ich versuche das Zert anzufordern dan sagt die Box, dass etwas schief gelaufen ist ....

Hat jemand n tip.

ich weiss mir nicht mehr anders zu helfen als hier zu posten .... last call

danke im voraus

rtax
 

alexs1988

Benutzer
Mitglied seit
08. Jun 2011
Beiträge
193
Punkte für Reaktionen
0
Punkte
16
Hast du Port 80 und 443 zu deiner Ds216J weitergeleitet auf der ConnectBox?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat