DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

[TACiboy]

Hallo zusammen,

wie schon im Titel beschrieben: Mein Let's Encrypt Zertifikat ist heute abgelaufen und wurde von DSM nicht automatisch erneuert (wie eigentlich in der Online-Hilfe beschrieben). Wie kann ich das Zertifikat nun nachträglich erneuern?

 

[magick]

Hatte auch gehofft, es würde erneuert. Also bislang sehe ich nur die Möglichkeit, ein neues zu erstellen.
Hinzufügen, bestehendes Zertifikat ersetzen ... 5 Minuten später wars durch.

 

[mördock]

Hallo,

Idomix hat das verlängern in einem seiner Videos gezeigt.
Ab Minute 4 wirds erläutert.
https://www.youtube.com/watch?v=Nqze7opPt3I

 

[TACiboy]

Hallo mördock,
das bringt leider nichts so wie von iDomix beschrieben. Der Assistent unter CSR spuckt mir lediglich eine neue Zertifikatsanforderungs-Datei aus. Wo kann ich diese denn dann bei Let's Encrypt aktualisieren? Habe auf der Webseite nichts gefunden!!

Ich denke das funktioniert so mit Let's Encrypt über CSR nicht...

 

[mördock]

habe erst seit kurzem ein Lets Encrypt Zertifikat, musste es noch nicht verlängern. Somit bin ich erstmal raus.

 

[Fusion]

Auch wenn du CSR > Zertifikat erneuern (mittlerer Punkt) > gewünschtes LE Zertifikat auswählen machst, spuckt er trotzdem ein CSR aus? Das wäre sehr merkwürdig.
Die Erneuerung benötigt nur, wie die Ersteinrichtung auch schon, Port 80/443. Der Rest läuft im Hintergrund zwischen LE-Server und DS ab.

 

[magick]

Ok, nochmal: Hinzufügen, bestehendes Zertifikat ersetzen, Domain und Email-Adresse neu eingeben, abschicken, Fertig. Das Zertifikat existiert nur die 90 Tage, danach muss man ein neues bei letztsencrypt anfordern. Das läuft ein wenig anders als bei anderen Zertifikatsherausgebern.

 

[raymond]

Das ist doch noch alles Mist mit Lets Encrypt!

 

[magick]

Weil?

 

[raymond]

Es wird als unsicher ausgestellt, jedenfalls laut Einstellung, siehe http://www.synology-forum.de/showth...se-SSL-Zertifikate/page25&p=623452#post623452
Bei dem ausgestelltem X3 Zertifikat von Let's Encrypt Zertifikat (obwohl im Browser richtig erkannt!) schreibt der Browser auch: unsicher.
Denn so oft erneuern...geht meines Erachtens gar nicht.

 

[Fusion]

Der Screenshot ist ein Übersetzungsfehler aus dem Englischen (and secure -> unsicher, ist wohl in die Hose gegangen)

Es gibt keine vorgeschriebene Laufzeit für Zertifikate. Ich kann also welche mit einem Tag bis "Sankt Nimmerlein" erstellen.
https://tools.ietf.org/html/rfc5280#section-4.1.2.5

LE hat eben 3 Monate gewählt, vermutlich damit sich nicht so viel Leichen ansammeln, die nicht mehr weiter benutzt werden. Dann kann ich die auch alle 3 Monate erneuern/neu ausstellen lassen.

Zudem wäre dann interessant mehr zu deinem Zertifikat und Browser zu erfahren. Normal sollten auch korrekt als sicher angezeigt werden.
https://letsencrypt.org/certificates/
Könnte mir höchstens vorstellen, dass das falsche Intermediate genutzt wird z.B.

 

[K1ngLear]

Ich steig jetzt immer noch nicht durch. Muss ich jetzt nach der Laufzeit jedesmal eine neues Zertifikat beantragen und dann an allen angeschlossenen Geräten dem neuen wieder vertrauen oder kann ich es erneuern? Wenn ich auf die erneuern Funktion klicke bekomme ich ein CSR und weis nicht was ich damit anfangen soll.

Hoffentlich weis jemand rat.

 

[frankyst72]

Muss ich jetzt nach der Laufzeit jedesmal eine neues Zertifikat beantragen

ja, Du verlängerst Dein Zertifikat. Dazu wirst Du, so wie es im Moment gelöst ist, alle 3 Monate da rumklicken müssen.

und dann an allen angeschlossenen Geräten dem neuen wieder vertrauen oder kann ich es erneuern?

nein, das ist genau der Vorteil eines Zertifikates einer offiziellen CA gegenüber eines selbst ausgestellten, die Geräte vertrauen diesen (in der Regel) von selbst.

 

[K1ngLear]

Danke für die Antwort, aber wie mach ich das? Wenn ich den Weg über den CSR Weg gehe bekomme ich eine CRT Datei und hab nicht den Hauch einer Ahnung was ich damit machen soll. Ich klicke auf CSR, dann auf Zertifikat erneuern und dann bekomm ich was als download was ich an eine dritte Stelle schicken soll. ???? Hä? An welche dritte Stelle?

 

[gente]

so stehts in der DSM Hilfe:

"Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist."

bei manchen soll das funktionieren bei anderen nicht?

ansonsten oder wenn man selbst auch schon früher erneuern will:

"Wenn Ihr Zertifikat bald abläuft, kann es mit dieser Option erneuert werden.
Klicken Sie auf CSR.
Wählen Sie Zertifikat erneuern aus und klicken Sie auf Weiter.
Laden Sie den erzeugten privaten Schlüssel und die Zertifikatsregistrierungsanforderung herunter.
Senden Sie die CSR zur Erneuerung des Zertifikats an die gewünschte Zertifizierungsstelle."

...hab das mal selber getestet und dann die erstellte server.key und server.csr datei bei "Hinzufügen" importieren wollen aber da wird das Zertifikat als ungültig ausgegeben (eine *.crt ist im Archive nicht dabei), brauch ich da nicht die 3 *.pem Dateien zum Import?

und wo bitte ist dann die Zertifizierungsstelle welche die Dateien verfizieren soll?
Wo bekomm ich das Zwischenzertifikat her?
Will eigentlich kein neues Zertifikat bei LE erstellen was dann schon geht, will nur mein bestehendes erneuern!

LG Thomas

 

[gente]

...wie jetzt mit erstellter server.csr und server.key SSL Zertifikat bestellen oder selbst erzeugen (benötigte privkey.pem und csr.pem)???
Am besten wäre ein script welches alle 2 Monate das Zertifikat selbst erneuert.
Jemand eine idee, wäre super?
LG Thomas

 

[Matthieu]

Der DSM 6.0 final versucht durchaus das Zertifikat kurz vor Ablauf zu erneuern. Setzt aber voraus dass die DS über Port 80 und einer öffentlichen IP-Adresse erreichbar ist. Das hat bei mir schon so funktioniert. Kompliziert wird es erst wenn dieser Mechanismus, der über einen eigenen Client mit eigens dazu erschaffenem, offenen Protokoll, aus irgendwelchen Gründen nicht erfolgreich zum Abschluss und damit zu einem neuen Zertifikat kommt.

MfG Matthieu

 

[gente]

...gerade deswegen wäre ja ein andere Alternative per script und Cronjob besser.
LG Thomas

 

[bl3d2death]

bekomme nach dem auswählen von aktualisieren nur einen download den ich entsprechend einreichen darf zur verifizierung.


also was genau mache ich jetzt um das einfach zu verlängern? schon blöde gemacht iwie....

 

[goetz]

Hallo,
pack

/usr/syno/sbin/syno-letsencrypt renew-all

in den Aufgabenplaner und führe es manuell aus.

Gruß Götz