DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

Alle DSM Version von DSM 6.x und älter

mle_ch

Benutzer
Mitglied seit
15. Sep 2016
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen

Hatte auch das Problem, dass die Erneuerung des Zertifikates nicht automatisch ablief. Bei der manuellen Erneuerung habe ich auch die Fehlermeldung erhalten, dass der Port 80 nicht geöffnet sei. Dies ist jedoch nicht der fall, da die Test-HP verfügbar ist. Nach langem suchen habe ich festgestellt, dass es an der Firewall der Diskstation hängt. Habe ich doch bei der Quell-IP nur sehr wenige zugelassen. So ist nebst China, Russland, etc auch die USA nicht zugelassen. Nach kurzfristiger Zulassung der USA oder ausschalten der Firewall hat die Erneuerung jeweils funktioniert.
Für mich stellt sich nur die Frage wieso die Quell-IP aus der USA stammt. Die Verbindung wird ja vom heimischen Client aufgebaut/angefordert. Mache ich hier ein Denkfehler?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Die Lets Encrypt Server versuchen auf die Anfrage hin deine DS bzw, die Domains zu erreichen. Das ist technisch eine neue separate Verbindung die von der Firewall geblockt wird, wenn Geo-Blocker aktiv sind.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Die Lets Encrypt Server stehen in den USA - zumindest hab ich mir das kurzerhand so erklärt!
 

bifer

Benutzer
Mitglied seit
04. Sep 2016
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Also bei Kabel ist der Bereich Zugangsdaten deaktiviert und ich bekomme IPV6 ob ich will oder nicht.

@iLion. Es hatte ja Ende April noch wunderbar funktioniert bei der letzten Erneuerung der Zertifikate.
Ich habe sogar geschaut ob ich IPV6 Portweiterleitung machen kann. Allerdings weigert sich die Fritzbox die Regel dafür anzunehmen mit dem Hinweis die IInterface ID gäbe es schon.


Knapp 4 Wochen später und Synology hat die Erneuerung der Let's Encrypt Zertifikate noch nicht wieder im Griff. Gleiche Fehlermeldungen wie zuvor.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wieso Synology? Der Client stammt mit von LE und die Infrastruktur gehört auch denen.

MfG Matthieu
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
@bifer: hast du da mal händisch via Script (irgendwo auf Seite 2 oder so?) probiert?
 

bifer

Benutzer
Mitglied seit
04. Sep 2016
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Nein. Aber das könnte ich definitiv tun, nur wenn das die Lösung ist, dann würde es bedeuten es hat doch Synology etwas verändert dass es plötzlich bei so vielen Leuten mit der gleichen Fehlermeldung nicht mehr tut. Bzw. eine nötige Funktionalität noch nicht in den GUI übernommen.

Und wenn ich dann doch mit Skripten herumwerkeln muß, dann kann ich mir gleich eine Zertifikatsanfrage erstellen und bei einem anderen Anbieter ein Zertifikat erstellen (gegen Kosten). Aber am Ende ist es was kostet mich meine Zeit mit den Skripten herumzuwerkeln im Vergleich zu Zertifikaten kaufen. Ich bin noch am Überlegen ...
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Die Frage ist schlicht: Was sagt der Client bzw. welche Fehlermeldung gibt er aus. Ohne diese Info ist Feedback nahezu unmöglich.

MfG Matthieu
 

nilsen123

Benutzer
Mitglied seit
03. Mai 2014
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
Bei mir ist das Problem nun gelöst. Habe eine Domain über do.de mit FlexDNS genutzt. Nachdem ich deren Anleitung zur FlexDNS - Einrichtung komplett befolgt habe, konnte ich anschliessend wieder ein LE Zertifikat neu erstellen...
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Nun habe ich auch endlich das Problem das sich Let's Encrypt nicht mehr selbst aktualisiert. Natürlich habe ich nichts verändert am System :))))) Letztes Jahr hat es wunderbar zweimal mit dem aktualisieren funktioniert. Jetzt am 15.01 nicht mehr. PORT 80 ist in der FB immer noch freigeschaltet.
DSM 6.1.4-15217 Update 5

Was mache ich wiedermal falsch oder soll ich das Zertifikat einfach löschen und ein neues Anlegen?
 

HATI

Benutzer
Mitglied seit
15. Feb 2013
Beiträge
161
Punkte für Reaktionen
2
Punkte
24
Moin Moin,

Also ich hatte das Problem, wie hier zu lesen, bei jeder Aktualisierung. Bei mir gehts wenn ich Port 80 und 443 in der Fritzbox freigebe. Ich gebe die kurz frei, aktualisiere und blocke die dann direkt wieder. Zudem sollte man natürlich das die DSM Firewall die Ports nicht blockt.

Auf dem Weg funzt das bei mir ohne Probleme!
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Moi HATI, danke für Deine Antwort. Ich habe eben noch einmal nachgeschaut, in der DSM firewall sind die Ports 80 und 443 "offen", genauso in der Fritzbox. Im letzten Jahr hat es ja auch automatisch funktioniert. Wie kann ich es denn manuell aktualisieren oder warte ich noch eine Nacht?
 

HATI

Benutzer
Mitglied seit
15. Feb 2013
Beiträge
161
Punkte für Reaktionen
2
Punkte
24
Manuell geht das so: Aktuelles Zertifikat auswählen und dann oben rechts auf CSR. Hier dann den zweiten Punkt "Zertifikat erneuern" wählen. Wenn du mehr als das eine hast musst du im Dropdown natürlich das richtige Zertifikat bzw. die richtige Domain wählen.

Wenn es funzt ist es danach aktualisiert. Wenn nicht dann nicht ;)

Neu anlegen hatte ich mir beim ersten mal auch gedacht aber das ist ja voll gay das immer wieder zu machen. Und es muss ja einen Grund geben warum es nicht geht... Hab dann wie wild ohne DSM Firewall und mit "entscheide selbst" in der Fritzbox getestet. Ging auch aber so mit die zwei Ports mal kurz auf, aktualisieren und fix wieder zu fühle ich mich natürlich deutlich besser!
 
Zuletzt bearbeitet:

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Oder auf CSR dort auf den 3. Punkt gehen und die URL zu deinem SSL-Anbieter eingeben und die DS holt die nötigen Infos von dort.
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Dann bekomme ich immer die Möglichkeit eine archive.zip herunterzuladen. In der sind dann 2 Dateien für das Zertifikat.
Bei Punkt 3 auch, da kann ich gar keine URL zu meinem SSL-Anbieter Let's Encrypt eintragen.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Wenn du die 2 Schlüsseln (crt und key) hast, ist es eh richtig - damit kannst du dann im nächsten Dialogfenster das CRT hochladen.
 

HATI

Benutzer
Mitglied seit
15. Feb 2013
Beiträge
161
Punkte für Reaktionen
2
Punkte
24
Naja, richtig würde ich jetzt mal in "" setzen. Bei mir ist richtig, dass er das Zertifikat direkt von alleine aktualisiert. Und das macht er bei mir über Punkt 2 eben. Wenn er das nicht kann (aus welchen Gründen auch immer) gibts bei mir auch den Download. Normal sollte er das aber über Punkt 2 automatisch und ohne zutun (manuellen Upload oder so) machen.

So macht er das bei mir zumindest. Wenn die Ports zu sind gibts auch "nur" den Download und das Zertifikat bliebt abgelaufen.
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Wenn die Ports zu sind gibts auch "nur" den Download und das Zertifikat bliebt abgelaufen.

Dann muß ja hier mein Fehler liegen, aber ich habe die PORTS offen in der FB und auch in der DS.Durch ein Update der DS? Ich weiß langsam nicht mehr. Nun habe ich aber das Zertifikat neu angelegt und jetzt funktioniert es wieder bis zum April 2018. Dann werde ich Euch wieder ner..., äh fragen.

Beim 1. Archive.zip fehlte mir aber das Zwischenzertifikat. Ich brauche ja 3 und in der zip waren nur 2,
 

Swiss-MAD

Benutzer
Mitglied seit
21. Apr 2016
Beiträge
97
Punkte für Reaktionen
1
Punkte
8
Wie kann ich es denn manuell aktualisieren oder warte ich noch eine Nacht?

Bei mir funktioniert es mittlerweile nur noch mit dem Befehl syno-letsencrypt renew-all
Port 443 habe ich immer offen, aber dafür muss ich 80 schnell öffnen. Ich habe den Befehl im Aufgabenplaner, da kann ich ihn bei Bedarf schnell aufrufen.
 

HATI

Benutzer
Mitglied seit
15. Feb 2013
Beiträge
161
Punkte für Reaktionen
2
Punkte
24
Nun habe ich aber das Zertifikat neu angelegt und jetzt funktioniert es wieder bis zum April 2018.

Na dann haste ja erstmal Ruhe. Kacke ist es natürlich trotzdem. Sowas sollte von ganz alleine funktionieren. Da könnte Synology ruhig mal was machen.....
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat