DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

[nilsen123]

Ich nähere mich. Das selbst signierte Zertifikat habe ich erstellt, als neuen Standard gesezt und das abgelaufene Lets Encrypt gelöscht:


Wenn ich nun ein neues LE Zertifikat abrufen will...


...erhalte ich die gleiche Meldung wie vorher:


Ich habe es versucht mit "Neues Zertifikat hinzufügen" und "vorhandenes Zertifikat ersetzen" mit demselben Ergebnis.
Weiterhin vielen Dank für Eure Unterstützung!

 

[Fusion]

Domainname ist "domain.de"?
Wo landet domain.de bzw http://domain.de wenn du es von extern im Browser aufrufst?

Hast du domain.de irgendwo in der Systemsteuerung eingetragen, wenn ja, wo?
Hast du http > https Umleitungen aktiv?
Hast du HSTS irgendwo aktiv?

 

[Crashandy]

Ungünstig ist eventuell auch, dass Dein selbst erstelltes Zertifikat den selben Namen hat wie Dein zu beantragendes Zertifikat.
Eine Zwischenfrage habe ich allerdings.
Hast Du Deine Domain bei do.de und nutzt FlexDNS?
Das ist nämlich bei mir der Fall und ich habe die selben Schwierigkeiten.

Gruß
Crashandy

 

[NSFH]

Es ist einfach seltsam, dass es Fälle gibt, in denen die Anforderung eines LE Cert nicht funktioniert, selbst dann nicht, wenn die DS/RS direkt am Internetzugang hängt ohne Firewall, also richtig offen für jeden und korrekten Einstellungen der Ports.
Mit der 916+ hat es problemlos funktioniert, mit der 715+ nie.
Mache sich ein anderer einen Reim darauf. Irgendwann hat man dann die Nase voll von Geiz ist geil und kauft für ein paar Euro ein längerfristig funktionierendes Cert, welches sich dann problemlos importieren lässt, da die Ausstellung nicht von der DS abhängig ist sondern von den Eintragungen bei der Denic.

 

[nilsen123]

Ungünstig ist eventuell auch, dass Dein selbst erstelltes Zertifikat den selben Namen hat wie Dein zu beantragendes Zertifikat.
Eine Zwischenfrage habe ich allerdings.
Hast Du Deine Domain bei do.de und nutzt FlexDNS?
Das ist nämlich bei mir der Fall und ich habe die selben Schwierigkeiten.

Gruß
Crashandy

Ja, das tue ich.

Die FlexDNS nutze ich allerdings nur über die Fritzbox 7580 und nicht in meiner Synology DS716+ NAS.

 

[nilsen123]

Domainname ist "domain.de"?
Wo landet domain.de bzw http://domain.de wenn du es von extern im Browser aufrufst?

Hast du domain.de irgendwo in der Systemsteuerung eingetragen, wenn ja, wo?
Hast du http > https Umleitungen aktiv?
Hast du HSTS irgendwo aktiv?

Anhang anzeigen 37974
Anhang anzeigen 37975

Ich bin mir nicht sicher, ob ich die erste Frage verstehe.
Ich lande auf der nicht vorhandenen Seite der aktivierten WebStation meiner Syno.

 

[Fusion]

@crashcandy - verschiedene Zertifikate mit identischen Namen ist kein Problem.

@NSFH - bei einem 3rd-Level Zertifikat (sub.domain.de) gebe ich dir recht bezüglich Geiz ist geil, das sind die €10-15 pro Jahr nicht unbedingt wert. Geht es allerdings um mehrere 3rd-Level Zertifikate oder gar Richtung Wild-Card (*.domain.de), wie es hoffentlich Anfang 2018 von LE unterstützt wird, ist man ganz schnell bei mehreren hundert Euro im Jahr, da kann man dann doch schon mehr als mal kurz nachdenken, welche Lösung man benutzt.

 

[Crashandy]

Die FlexDNS nutze ich allerdings nur über die Fritzbox 7580 und nicht in meiner Synology DS716+ NAS.

@nilsen123
Da haben wir schon mal ähnliche Voraussetzungen und das gleiche Problem.
Bei mir ist es eine Fritzbox 7490 und die DS716+II.
Das Zertifikat habe ich im Mai 2016 auf einer DS213+ erstellt und nach erfolgreicher Migration auf die neue DS importiert.
Bis vor etwa einem Monat lief die Aktualisierung problemlos und nun bekomme ich einfach kein neues Zertifikat erstellt.
Ich denke das ist genau der Punkt den @NSFH meint.

@NSFH
Alle meine fünf sub1-5.domain.de wurden erfolgreich zertifiziert nur die eine domain.de wird nicht akzeptiert.
Und JA, 15 Euro für ein Zertifikat ist OK, jedoch funktioniert die Rechnung nicht mehr mit 5 Subdomains plus 2 Stück etwa für domain.de und www.domain.de.
Ich warte hier auch auf die Einführung von Wild-Card im hoffentlich nächsten Jahr.

Gruß
Crashandy

 

[nilsen123]

@nilsen123
Da haben wir schon mal ähnliche Voraussetzungen und das gleiche Problem.
Bei mir ist es eine Fritzbox 7490 und die DS716+II.
Das Zertifikat habe ich im Mai 2016 auf einer DS213+ erstellt und nach erfolgreicher Migration auf die neue DS importiert.
Bis vor etwa einem Monat lief die Aktualisierung problemlos und nun bekomme ich einfach kein neues Zertifikat erstellt.
Ich denke das ist genau der Punkt den @NSFH meint.

Tja, aber wo hat sich was geändert, dass es jetzt auf einmal nicht mehr funktioniert? Seltsam...

 

[NSFH]

...................
@NSFH - bei einem 3rd-Level Zertifikat (sub.domain.de) gebe ich dir recht bezüglich Geiz ist geil, das sind die €10-15 pro Jahr nicht unbedingt wert. Geht es allerdings um mehrere 3rd-Level Zertifikate oder gar Richtung Wild-Card (*.domain.de), wie es hoffentlich Anfang 2018 von LE unterstützt wird, ist man ganz schnell bei mehreren hundert Euro im Jahr, da kann man dann doch schon mehr als mal kurz nachdenken, welche Lösung man benutzt.

Da gebe ich dir natürlich Recht, in dem Moment wo Wildcards in Spiel kommen wird es richtig teuer. Da kann man nur auf 2018 und LE warten.

 

[bifer]

Ich möchte mich hier einklinken. Seit 1.5 Jahren hole ich mir regelmäßig Let's Encrypt Zertifikate für 3x Diskstation und für meine Fritz in einem Zertifikat über alternative Namen. Auf der 1. Diskstation über Systemsteuerung- Sicherheit - Zertifikat ein neues holen bzw. das alte ersetzen. Danach exportieren und in die restlichen beiden Diskstations + Fritz importieren
Hat bisher immer gut geklappt. Seit 1 Woche versuche ich nun zu unterschiedlichen Tag und Nachhzeiten mein Zertifikat zu verlängern bzw. auch mal als Neues zu beantragen um danach das alte zu löschen. Es klappt nicht mehr.

Ich machte Port 80 und 443 in der Fritz auf und leite weiter an die Diskstation auf der ich das mache - wie immer.
Ich habe auf der Diskstation die Firewall abgestellt, den DoS Schutz abgestellt und die Umleitung von HTTP nach HTTPS abgestellt. Der Fehler ist: Verbindung zu Let's Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf Ihrer DiskStation und ihrem Router Port 80 für die Internet-Domainüberprüfung durch Let's Encrypt geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let's Encrypt erfolgt zum Schutz ihrer DiskStation über HTTPS.

Bzw. nach geraumer Zeit wenn ich das zu oft mache dann vermute ich dass Let's Encrypt sagt, lege erst mal eine Pause ein und dann kommt die Fehlermeldung: Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM an und versuchen Sie es erneut.


Meine erste Vermutung war, dass die Let's Encrypt Einschränkungen zur Anzahl von Zertifikaten für Domains etc. zugeschlagen hat.

Was mich irritiert ist das ich von extern mein NAS auf HTTPS nicht erreichen kann, obwohl eben die Weiterleitung auf der Fritzbox gemacht wurde. Ich habe auch mal die Fritzbox und die Diskstation durchgestartet.

 

[NSFH]

Gleiches Problem hatte ich auch.
Hatte die DS sogar direkt am Internetzugang (Modem) hängen ohne jegliche Sicherheit. Klappte nicht.
Hab mir dann ein 1-Jahres-Cert von Comodo für ca 15€ gekauft und habe jetzt Ruhe.
Komischer Weise funktioniert LE auf der anderen DS (916+) aber noch, obwohl identisch konfiguriert.
Mach sich wer anders einen Reim drauf.

 

[Fusion]

@bifer - mal testweise die Portweiterleitungen in der Fritzbox löschen und neu anlegen. Es gab Fälle in denen die Weiterleitung nicht mehr "gewirkt" hat, obwohl auf den ersten Anblick alles beim Alten war.

 

[bifer]

@NFSH ist bei mir auch eine 916+. Könnte ja auch sein dass DSM einen Bug hat seit einem der letzten Updates. Dass bei irgendwelchen Konfigurationskonstellationen es nicht mehr geht.

@bifer - mal testweise die Portweiterleitungen in der Fritzbox löschen und neu anlegen. Es gab Fälle in denen die Weiterleitung nicht mehr "gewirkt" hat, obwohl auf den ersten Anblick alles beim Alten war.

Ha Danke. Zumindest werde ich jetzt über HTTPS auf die Webseite durchgreicht. Der Fehler ist aber noch immer:

Verbindung zu Let's Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf Ihrer DiskStation und ihrem Router Port 80 für die Internet-Domainüberprüfung durch Let's Encrypt geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let's Encrypt erfolgt zum Schutz ihrer DiskStation über HTTPS.


Schade dass es bei LE nicht die Möglichkeit gibt eine Zertifkatsanforderung zu erstellen und die Antwort einzuspielen. Oder dass man in DSM auswählen kann auf die LE Staging Area auszuweichen, wo die LE Einschränkungen wegfallen bzw. geringer sind als in der Produktion.

 

[Fusion]

Es ist auch noch die richtige Webseite auf der richtigen DS?

Alle Domains die im Zertifikat aufgeführt sind landen auf der DS die das Zertifikat beantragt?

 

[bifer]

Ja und ja.

Denn beim zweiten Ja liegt es daran, dass ich überall die gleiche externe IP habe und eigentlich nur durch Ports entweder auf diese oder jene DS weiterleite. Aber zur einfacheren Orientierung hat eben jede DS einen eigene URL.

Hatte ja bisher auch so funktioniert.

Ist jetzt nicht so schlimm. Ich werde es einfach in 1-2 Wochen nochmal versuchen. Bei mir ist es Kosmetik dass ich Zertifikate einsetze.

 

[Fusion]

Glaube ich dir ja, dass es funktioniert hat. Hast du es denn gerade mal von extern getestet?
Nicht dass irgendwo im DNS, oder anderweitig eben gerade eine der Domains nicht ans Ziel kommt.

 

[bifer]

ja werden aufgelöst und sind auch erreichbar dh. ich komme am Ende bei mir raus.

 

[SynDiab]

Das Problem bzgl. Port 80 hatte ich kürzlich auch. Ich habe dann herausgefunden, dass es am Inet Anschluss liegt, speziell an IPv6 (dual stack). Die Syno Software kommt damit nicht klar und meckert dann rum. Was hilft ist temporär IPv6 abzuschalten.

 

[bifer]

Das Problem bzgl. Port 80 hatte ich kürzlich auch. Ich habe dann herausgefunden, dass es am Inet Anschluss liegt, speziell an IPv6 (dual stack). Die Syno Software kommt damit nicht klar und meckert dann rum. Was hilft ist temporär IPv6 abzuschalten.

Also für die DS hatte ich eben IPV6 abgestellt. Ob ich das in der Fritz für den ganzen Internetanschluss irgendwo machen kann habe ich nicht festgestellt. Der Fehler kommt immer noch.