DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

Alle DSM Version von DSM 6.x und älter

TACiboy

Benutzer
Mitglied seit
10. Dez 2008
Beiträge
215
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,

wie schon im Titel beschrieben: Mein Let's Encrypt Zertifikat ist heute abgelaufen und wurde von DSM nicht automatisch erneuert (wie eigentlich in der Online-Hilfe beschrieben). Wie kann ich das Zertifikat nun nachträglich erneuern?

Unbenannt.JPG
 

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Hatte auch gehofft, es würde erneuert. Also bislang sehe ich nur die Möglichkeit, ein neues zu erstellen.
Hinzufügen, bestehendes Zertifikat ersetzen ... 5 Minuten später wars durch.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44

TACiboy

Benutzer
Mitglied seit
10. Dez 2008
Beiträge
215
Punkte für Reaktionen
0
Punkte
16
Hallo mördock,
das bringt leider nichts so wie von iDomix beschrieben. Der Assistent unter CSR spuckt mir lediglich eine neue Zertifikatsanforderungs-Datei aus. Wo kann ich diese denn dann bei Let's Encrypt aktualisieren? Habe auf der Webseite nichts gefunden!!

Ich denke das funktioniert so mit Let's Encrypt über CSR nicht...
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
habe erst seit kurzem ein Lets Encrypt Zertifikat, musste es noch nicht verlängern. Somit bin ich erstmal raus.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Auch wenn du CSR > Zertifikat erneuern (mittlerer Punkt) > gewünschtes LE Zertifikat auswählen machst, spuckt er trotzdem ein CSR aus? Das wäre sehr merkwürdig.
Die Erneuerung benötigt nur, wie die Ersteinrichtung auch schon, Port 80/443. Der Rest läuft im Hintergrund zwischen LE-Server und DS ab.
 

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Ok, nochmal: Hinzufügen, bestehendes Zertifikat ersetzen, Domain und Email-Adresse neu eingeben, abschicken, Fertig. Das Zertifikat existiert nur die 90 Tage, danach muss man ein neues bei letztsencrypt anfordern. Das läuft ein wenig anders als bei anderen Zertifikatsherausgebern.
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Das ist doch noch alles Mist mit Lets Encrypt!
 

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Weil?
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Der Screenshot ist ein Übersetzungsfehler aus dem Englischen (and secure -> unsicher, ist wohl in die Hose gegangen)

Es gibt keine vorgeschriebene Laufzeit für Zertifikate. Ich kann also welche mit einem Tag bis "Sankt Nimmerlein" erstellen.
https://tools.ietf.org/html/rfc5280#section-4.1.2.5

LE hat eben 3 Monate gewählt, vermutlich damit sich nicht so viel Leichen ansammeln, die nicht mehr weiter benutzt werden. Dann kann ich die auch alle 3 Monate erneuern/neu ausstellen lassen.

Zudem wäre dann interessant mehr zu deinem Zertifikat und Browser zu erfahren. Normal sollten auch korrekt als sicher angezeigt werden.
https://letsencrypt.org/certificates/
Könnte mir höchstens vorstellen, dass das falsche Intermediate genutzt wird z.B.
 

K1ngLear

Benutzer
Mitglied seit
11. Jun 2014
Beiträge
26
Punkte für Reaktionen
0
Punkte
1
Ich steig jetzt immer noch nicht durch. Muss ich jetzt nach der Laufzeit jedesmal eine neues Zertifikat beantragen und dann an allen angeschlossenen Geräten dem neuen wieder vertrauen oder kann ich es erneuern? Wenn ich auf die erneuern Funktion klicke bekomme ich ein CSR und weis nicht was ich damit anfangen soll.

Hoffentlich weis jemand rat.
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
Muss ich jetzt nach der Laufzeit jedesmal eine neues Zertifikat beantragen
ja, Du verlängerst Dein Zertifikat. Dazu wirst Du, so wie es im Moment gelöst ist, alle 3 Monate da rumklicken müssen.

und dann an allen angeschlossenen Geräten dem neuen wieder vertrauen oder kann ich es erneuern?
nein, das ist genau der Vorteil eines Zertifikates einer offiziellen CA gegenüber eines selbst ausgestellten, die Geräte vertrauen diesen (in der Regel) von selbst.
 

K1ngLear

Benutzer
Mitglied seit
11. Jun 2014
Beiträge
26
Punkte für Reaktionen
0
Punkte
1
Danke für die Antwort, aber wie mach ich das? Wenn ich den Weg über den CSR Weg gehe bekomme ich eine CRT Datei und hab nicht den Hauch einer Ahnung was ich damit machen soll. Ich klicke auf CSR, dann auf Zertifikat erneuern und dann bekomm ich was als download was ich an eine dritte Stelle schicken soll. ???? Hä? An welche dritte Stelle?
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
so stehts in der DSM Hilfe:

"Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist."

bei manchen soll das funktionieren bei anderen nicht?

ansonsten oder wenn man selbst auch schon früher erneuern will:

"Wenn Ihr Zertifikat bald abläuft, kann es mit dieser Option erneuert werden.
Klicken Sie auf CSR.
Wählen Sie Zertifikat erneuern aus und klicken Sie auf Weiter.
Laden Sie den erzeugten privaten Schlüssel und die Zertifikatsregistrierungsanforderung herunter.
Senden Sie die CSR zur Erneuerung des Zertifikats an die gewünschte Zertifizierungsstelle."

...hab das mal selber getestet und dann die erstellte server.key und server.csr datei bei "Hinzufügen" importieren wollen aber da wird das Zertifikat als ungültig ausgegeben (eine *.crt ist im Archive nicht dabei), brauch ich da nicht die 3 *.pem Dateien zum Import?

und wo bitte ist dann die Zertifizierungsstelle welche die Dateien verfizieren soll?
Wo bekomm ich das Zwischenzertifikat her?
Will eigentlich kein neues Zertifikat bei LE erstellen was dann schon geht, will nur mein bestehendes erneuern!

LG Thomas
 

Anhänge

  • Zertifikat.jpg
    Zertifikat.jpg
    98,1 KB · Aufrufe: 721
Zuletzt bearbeitet:

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...wie jetzt mit erstellter server.csr und server.key SSL Zertifikat bestellen oder selbst erzeugen (benötigte privkey.pem und csr.pem)???
Am besten wäre ein script welches alle 2 Monate das Zertifikat selbst erneuert.
Jemand eine idee, wäre super?
LG Thomas
 
Zuletzt bearbeitet:

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Der DSM 6.0 final versucht durchaus das Zertifikat kurz vor Ablauf zu erneuern. Setzt aber voraus dass die DS über Port 80 und einer öffentlichen IP-Adresse erreichbar ist. Das hat bei mir schon so funktioniert. Kompliziert wird es erst wenn dieser Mechanismus, der über einen eigenen Client mit eigens dazu erschaffenem, offenen Protokoll, aus irgendwelchen Gründen nicht erfolgreich zum Abschluss und damit zu einem neuen Zertifikat kommt.

MfG Matthieu
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...gerade deswegen wäre ja ein andere Alternative per script und Cronjob besser.
LG Thomas
 

bl3d2death

Benutzer
Mitglied seit
19. Dez 2015
Beiträge
180
Punkte für Reaktionen
2
Punkte
18
bekomme nach dem auswählen von aktualisieren nur einen download den ich entsprechend einreichen darf zur verifizierung.


also was genau mache ich jetzt um das einfach zu verlängern? schon blöde gemacht iwie....
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
pack
Rich (BBCode):
/usr/syno/sbin/syno-letsencrypt renew-all
in den Aufgabenplaner und führe es manuell aus.

Gruß Götz
 
  • Like
Reaktionen: BarryWho


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat