DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

Alle DSM Version von DSM 6.x und älter

frogtwist

Benutzer
Mitglied seit
08. Nov 2014
Beiträge
395
Punkte für Reaktionen
3
Punkte
18
Seit letzter Woche ist mein Zertifikat auch abgelaufen. Bisher haben jegliche Versuche es zu erneuern fehlgeschlagen. Alle Ports sind offen. In der Fritzbox sowie in der Firewall der DS. Ein kleiner hinweis in der Facebook Synology gruppe hat mir dann geholfen. Da schrieb ein user das bei ihm die interne Firewall nicht richtig funktionierte und er das Zertifikat dadurch auch nicht erneuert bekam. Also habe ich jetzt in der Firewall der DS alle regeln deaktiviert und einen neuen versuch über --> Hinzufügen --> Ersetzen --> Abrufen ... gestartet. hat sofort funktioniert und das Zertifikat wurde erneuert. Danach alle regeln wieder aktiviert.
ich habe eine eigene Domain über selfhost.
 

umbrella

Benutzer
Mitglied seit
24. Aug 2013
Beiträge
132
Punkte für Reaktionen
0
Punkte
16
Die Firewall der DS ist bei mir aus. Ich finde es auch irgendwie unbefriedigend, nicht zu wissen, was dann eigentlich der Fehler war. Außerdem hat man ja dann beim nächsten Mal das gleiche Theater.
In der FritzBox könnte ich die Diskstation vorübergehend auf Exposed Host setzen. Das Risiko kann ich aber nicht einschätzen.
 

Outlaw

Benutzer
Mitglied seit
11. Nov 2015
Beiträge
158
Punkte für Reaktionen
0
Punkte
16
Bei mir funzt die Aktualisierung seit Monaten problemlos.

Wichtig ist halt, dass bei Firewalls und im Router Port 80 extra freigegeben werden muss, denn nur darüber geht die Aktualisierung.
 

umbrella

Benutzer
Mitglied seit
24. Aug 2013
Beiträge
132
Punkte für Reaktionen
0
Punkte
16
Port 80 ist in der FritzBox auf. Firewall auf der DS ist aus. Die DSM lässt aber nicht zu, dass ich Port 80 als Standard für HTTP setze (falls man das überhaupt muss) - der Port sei für das System reserviert.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Ich formulieren nochmal anders, nein, ist nicht nötig.
Systemsteuerung > Netzwerk > DSM Einstellungen sind NUR die Portangaben für den DSM.
Auf Port 80/443 lauscht der system-webserver schon vorher, deshalb kann man auch den DSM nicht dorthin verlegen.

Ohne debug Angaben ala -vv oder realer Domain-Namen (kannst du einem von uns ja per PN schicken), so daß man mal von außen testen kann, kommen wir nicht weiter.
 

MikeZulu

Benutzer
Mitglied seit
04. Mai 2016
Beiträge
101
Punkte für Reaktionen
2
Punkte
24
Ich verwende die Web Station und habe dort die Ports 80 und 443 für zwei VLANs definiert, denen von aussen erreichbare Subdomains (subdomain.doman.tld) zugewiesen sind. Die Zuweisung der Ports wie auch der Zugriff aus dem Internet funktioniert problemlos und auch das Let's Encrypt Zertifikat wird automatisch nach 90 Tagen erneuert. Selbstredend sind im Router die entsprechenden Port-Forwards (80 und 443) eingerichtet.

Mit dem Befehl sudo netstat -tulpn kannst Du dir die offenen Ports anzeigen lassen. Bei mir wird der Port 80 und 443 auf der Adresse 0.0.0.0 bzw. :::: von ngninx/master belegt. Darüber dürfte die Let's Encrypt Erneuerung laufen. Der Port der DSM kann deshalb nicht auf 80/443 gesetzt werden da diese bereits ausserhalb eines VLANs von ngninx/master belegt sind.

Vielleicht muss der Port 443 auf der Firewall ebenfalls geöffnet sein. Auszug aus der Synology-Hilfe: Jegliche sonstige Netzwerkkommunikaiton mit Let's Encrypt erfolgt zum Schutz Ihrer Synology NAS über HTTPS. Funktioniert natürlich nur, wenn Port 443 in der Firewall offen und an die Syno weitergeleitet wird.
 

umbrella

Benutzer
Mitglied seit
24. Aug 2013
Beiträge
132
Punkte für Reaktionen
0
Punkte
16
Problem endlich gelöst!
Musste den Port 80 in der FritzBox löschen und neu anlegen, dann hat es endlich geklappt, das Zertifikat neu zu erstellen.
Jetzt mal sehen ob es beim nächsten Mal mit der automatischen Erneuerung bzw. mit dem beschriebenen Befehl klappt.
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
danke für Eure Lösungswege, bin von dem Problem auch betroffen. Hat monatelang funktioniert und geht jetzt nicht mehr ohne bewusste Veränderungen an der Konfiguration der DS oder FritzBox.

(wobei ich jetzt seit gestern ein ganz anderes Problem habe, die DS1815+ fährt gar nicht mehr hoch, kein Lichtlein mehr, vermutlich Netzteil hin, Ticket ist eröffnet)
 

toro

Benutzer
Mitglied seit
22. Jun 2013
Beiträge
107
Punkte für Reaktionen
0
Punkte
0
Hallo Matthieu,
ich hatte etwas viel um die Ohren, daher leider erst jetzt die Antwort. Das Zertifikat ist mittlerweile abgelaufen.
Was muss ich denn machen, damit das Skript das Zertifikat erneuert? Ich bin jetzt kurz davor, das Zertifikat zu löschen und neu anzulegen.
 

toro

Benutzer
Mitglied seit
22. Jun 2013
Beiträge
107
Punkte für Reaktionen
0
Punkte
0
Also habe ich jetzt in der Firewall der DS alle regeln deaktiviert und einen neuen versuch über --> Hinzufügen --> Ersetzen --> Abrufen ... gestartet. hat sofort funktioniert und das Zertifikat wurde erneuert. Danach alle regeln wieder aktiviert.

Danke für den Hinweis - das hat funktioniert. Ich wundere mich allerdings, dass dieser Weg 'gewünscht' ist - warum behindert sich Synology mit der eigenen Firewall? Verstehen kann ich das nicht so ganz.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Was muss ich denn machen, damit das Skript das Zertifikat erneuert? Ich bin jetzt kurz davor, das Zertifikat zu löschen und neu anzulegen.
Sorry für die späte Antwort. Ein abgelaufenes Zertifikat lässt sich nicht verlängern, sondern muss gelöscht und neu angelegt werden.

MfG Matthieu
 

nilsen123

Benutzer
Mitglied seit
03. Mai 2014
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
Ich habe diesen Thread nun komplett durch und komme leider immer noch nicht weiter. Bis zum letzten Ablaufdatum des Let's Encrypt Zertifikats hat die automatische Erneuerung immer problemlos funktioniert.
Mein Port 80 (auch 443) ist frei, die Syno-Firewall deaktiviert (auch testweise die Windows-FW), es geht aber trotzdem nicht...

Nun bekomme ich folgende Meldung:
Cert2.JPG

Löschen kann ich das Zertifikat auch nicht:
Cert1.JPG

Hat jemand eine Idee, was ich noch tun kann?
Danke!
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
804
Punkte für Reaktionen
17
Punkte
44
Du wirst es nicht mehr verlängern können. Abgelaufene Zertifikate müssen neu ausgestellt werden.
 

Crashandy

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
291
Punkte für Reaktionen
99
Punkte
28
@nilsen123
Das Zertifikat löschen geht erst, wenn es nicht das Standard-Zertifikat ist.
Dazu muss erst ein anderes Zertifikat z.B. das originale "synology.com" als Standard gesetzt werden.
Ich hoffe Du hast diese Zertifikat gesichert und nicht voreilig gelöscht.
Betreffend der nicht mehr funktionierenden Verlängerung der Zertifikate habe ich auch die negative Erfashrung machen müssen und bis heute noch keine Lösung gefunden.
Genau wie bei Dir, hatte ich auch ein Zertifikat mit "domain.tld", welches auch bis heute nicht mehr neu angelegt werden konnte.
Erst ein Zertifikat mit "sub.domain.tld" war bei mir sofort erfolgreich.

Gruß
Crashandy
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.069
Punkte für Reaktionen
552
Punkte
194
Ich habe heute LE in den Wind geschossen und mir für 36€ ein Comodo Zertifikat für 3 Jahre zugelegt.
LE habe ich einfach nicht mehr erneuert bekommen, musste es immer über den Umweg der richtigen Domain bei Strato machen, nervig alle 3 Monate.
War innerhalb von 15 Minuten bestellt, erhalten, installiert. LÄUFT! Klare Empfehlung! Ein Cert für 1 Jahr kostet ca 15€.
Gekauft habe ich es hier: https://www.interssl.com/de/cart.php?gid=2
Anleitung für die Syno gibt's da auch: https://www.interssl.com/de/knowledgebase.php?action=displayarticle&id=814
 

nilsen123

Benutzer
Mitglied seit
03. Mai 2014
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
@nilsen123
Das Zertifikat löschen geht erst, wenn es nicht das Standard-Zertifikat ist.
Dazu muss erst ein anderes Zertifikat z.B. das originale "synology.com" als Standard gesetzt werden.

Eigentlich logisch....

Ich hoffe Du hast diese Zertifikat gesichert und nicht voreilig gelöscht.
Crashandy

Natürlich nicht.... :) Dachte ja zukünftig immer das LE Zertifikat nutzen zu können und ging ja auch eine Zeit lang....

Gibt's eine Notlösung?
Vielen Dank für die Hilfe!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Erstelle ein neues selbst-signiertes und mach es zum Standard
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Du sollst auch keinen Certificate Signing Request erstellen sondern ein selbst signiertes Zertifikat. Dafür musst du keinerlei Dateien anfassen (also weder irgendwas ex/importieren etc).

Systemsteuerung > Sicherheit > Zertifikat
Hinzufügen > Neues Zertifikat hinzufügen
Selbst signiertes Zertifikat erstellen
Dann die Felder sinnvoll ausfüllen
fertig.

Dann noch unter "Konfigurieren" schauen, dass dieses Zertifikat für "default" oder "Standard" zuständig ist.
Zudem kann man noch unter "Bearbeiten" das Zertifikat als Standard setzen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat