DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

[Jing]

ich hab heute beim erneuern gemerkt, dass es mit dem geoblock bei mir nicht funktioniert hat... geoblock aus und alles ging

 

[Andy14]

Was war den eingestellt ;-) Die Letsencrypt Server stehen (z.Zt.) in den USA, das heißt http(s) Zugriffe aus den USA dürfen nicht geblockt werden.

 

[Jing]

naja es waren nur länder zugelassen aus AT.. mit ein paar ausnahmen aber anscheinend nicht die richtigen.. firewall aus und nun gehts..

 

[HATI]

Scheint sich endlich mal was geändert zu haben. Musste immer ein neues Zertifikat erstellen da er trotz offener Ports etc... keine Erneuerung vorgenommen hat. Heute ging es ganz einfach.



1: NAS Firewall deaktivieren
NAS/Systemsteuerung/Sicherheit/Firewall

2: NAS Freigabe in Fritzbox aktivieren
Fritzbox/Internet/Freigaben

- Port 1: 80
- Port 2: 443

3: NAS Zertifikat erneuern
NAS/Systemsteuerung/Sicherheit/Zertifikat

- Hier auf den kleinen Pfeil neben „Hinzufügen“
- dort dann „Zertifikat erneuern“ wählen
- Übernehmen und das Thema sollte durch sein

4: NAS Firewall wieder aktivieren
5: NAS Freigabe in Fritzbox wieder deaktivieren


Hat sonst so nie bei mir gefunzt. Musste, wie gesagt, immer ein neues Zertifikat erstellen. Jetzt gehts so. Hab sonst hier bei mir nix geändert womit Synology da aktiv geworden sein muss.

Egal wie, gut das es jetzt geht.

 

[Kurt-oe1kyw]

Ja da haben sie jetzt endlich nachgebessert, du kannst dich auch direkt in die Zeile mit deinem Zertifkat stellen und dort auf die rechte Maustaste klicken, siehe diesen Beitrag <klick>

 

[HATI]

Ah OK, perfekt. Hat ja auch lange genug gedauert.... Nächster Wunsch an Synology: Cloud Station für mehr als 10000 Files fit machen . Oder funzt das mittlerweile auch endlich? Ach ja und im C2 Backup Ordner runterladen wäre auch SEHR nice .

 

[hauwech]

Ich habe meine 918+ Anfang Juli auf DSM 6.2-23739 Update 1 gehoben.
Einige Tage danach habe ich bemerkt, daß die Drive-Clients und Handy Apps gemeckert haben, daß das Zertifikat geändert sei.
Die Syno hat das Zertifikat ohne Benutzereingriff verlängert, und das obwohl nur Port 443 am Router offen ist, Port 80 ist dicht.
Das scheint nun zu funktionieren, bei den Clients und Hyperbackup muß man aber manuell hinterhergehen. Bei den externen Clients ist das aus Sicherheitsgründen vertretbar, aber Hyperbackup könnte das intern durchaus automatisch mitbekommen, zumal die beiden Synos, die ich über Kreuz mit Hyperbackup sichere, mit CMS miteinander reden.
Derzeit ist es dann so, wenn das Zertitikat verlängert wurde, das Backup stehen bleibt, weil das Ziel angeblich offline ist. Ich glaube, für den Fall kann man nicht mal eine Benachrichtigung einstellen.

Gruß Roland

 

[iOOi]

Ich lasse durch die Firewall nur IPs aus Mitteleuropa. Gibt es eine Möglichkeit die Firewall dahingehend zu automatisieren, dass während einer Zertifikatsverlängerung alle IPs durch dürfen? Das also das Zertifikationsverlängerungsscript die Firewall steuert?

 

[stbn]

Jedesmal wenn sich mein Let's Encrypt Zertifikat automatisch erneuert meckern alle Clients (z.B. auf dem iPhone oder auf dem Windows Rechner), dass sich das Zertifikat geändert hat. Das muss dann aktiv bestätigt werden, ansonsten werden alle Syncs unterbrochen. Kann man das irgendwie lösen? Ist echt nervig!! Danke für einen Tip!

 

[c0smo]

Du kannst die Zertifikatsüberprüfung deaktivieren, eine andere Möglichkeit gibt es nicht. Ausser natürlich ein anderes Zertifikat.

 

[Kurt-oe1kyw]

Jedesmal wenn sich mein Let's Encrypt Zertifikat automatisch erneuert meckern alle Clients dass sich das Zertifikat geändert hat. Ist echt nervig!

Das LE Zertifikat ist 90 Tage gültig, dh. du musst 4 x im gesamten Jahr den Signaturschlüssel bestätigen durch tippen auf OK auf dem handy. "Nervig" ist für mich was anderes.....
Wenn dir das tatsächlich zu viel ist, dann nimm den Haken in den APPS bei der Option "Zertifikat überprüfen" heraus.

 

[hauwech]

Ich halte mir immer vor Augen, daß ich für 90 Tage ein SSL Zertifikat, dessen Root-Cert in den Browsern vertraut wird, für lau bekomme. Man kann sich natürlich auch eins kaufen, das zwei oder drei Jahre gültig ist.
Die Bestätigung auf den Clients nehme ich deshalb hin.
Was mich aber dann doch gestört hat: Die DS-Cam App auf dem Handy mußte ich nach der Zertifikatserneuerung deinstallieren und neu installieren, die wollte überhaupt nicht mehr verbinden. Da gabs auch keine "... trotzdem weitermachen ..." Option.

Gruß Roland

 

[c0smo]

Es genügt die Daten und den Cache zu leeren..

 

[hauwech]

Danke, gut zu wissen für's nächste Mal.

Gruß Roland

 

[Christian72D]

Ah OK, perfekt. Hat ja auch lange genug gedauert.... Nächster Wunsch an Synology: Cloud Station für mehr als 10000 Files fit machen . Oder funzt das mittlerweile auch endlich? Ach ja und im C2 Backup Ordner runterladen wäre auch SEHR nice .

Also bei mir aktuell 97 Tausend Dateie in der CliudStation.
Wobei du dich schon mal langsam von der verabschieden solltest...

 

[Matthieu]

CloudStation lässt sich problemlos auf Drive aktualisieren. Ich habe mit vielen Tausend Dateien unter Windows auch keine Probleme. Feature-Wünsche aber bitte wie gehabt direkt per Ticket an Synology stellen!

MfG Matthieu

 

[Humunkulus]

Hallo,
Ich glaube ich habe heute Voll Mist gemacht, habe mit bei SSL2buy (nachdem das Script zu Erneuerung des let´s encrypt zertifikat nicht funzte) ein Zertifikat gekauft. Soweit so gut, habe das CSR file in der Syno erstellt und bei SSL2Buy im Prozedere eingetragen, nun muß noch die domain validiert werden , das geht wohl über DNS, E-mail oder URL. , da hörte es bei mir auf mit meinem kläglichen Wissen. Wollte E-mail wählen, die aber (im Nachhinein logisch ) auf meine Domain "linkt" , will sagen da werden dann nur e-mail adressen vorgeschlagen, wie admin@meinedomain.de und so ähnlich. Nun habe ich aber keinen Mailserver bei mir laufen und daher auch keine solche e.mail adresse. Würde es helfen den Syno Mailserver (plus?) zu installieren und die e-mail dann einzurichten ?
Vielen Dank

 

[iLion]

Wenn Du ein Zertifikat für eine Domain kaufst, brauchst Du die Kontrolle über die Domain, bzw. deren DNS-Einträgen, und solltest die zusätzlich mindestens auf ein Hosting-Paket geschaltet haben. So kannst Du die geforderten Einträge vornehmen und/oder eine der benötigten E-Mail Adressen anlegen. Auf der Synology ist kein Mail-Server notwendig, zudem der eine statische IP benötigt, wenn er als vollwertiger Mail-Server laufen soll und nicht nur als Mail-Speicher.

 

[Humunkulus]

n´Ábend, es scheint zu funktionieren, wahrscheinlich doch keine Kohle verbrannt für´s Zertifikat, mal sehen wie es sich die nächsten Tage verhält, auch für andere User meiner DS.
Aber schönen Dank auch.

 

[chats]

Hallo, ich habe eine Frage bzgl. der Portweiterleitung:
Ich habe den
externen Port 80 weitergeleitet auf den Port 5000 der Diskstation
und den
externen Port 443 weitergeleitet auf Port 5001 der Diskstation.

Mein Zertifikat lief nun ab. Also wollte ich es verlängern.
Mir dem Befehl /usr/syno/sbin/syno-letsencrypt renew-all hat es bis dato funktioniert. Nur diesmal leider nicht mit der Meldung
{"error":200,"file":"client_v2.cpp","msg":"Fetching http://meinedomain.dyndns.org/.well-known/acme-challenge/ojtJvb,sd,qkjgvblökebMXVs3nKLnirUj-GNE: Timeout during connect (likely firewall problem)"}
Wenn ich mich auf der Diskstation anmelde und über den Assistenten verlängern möchte erscheint sinngemäss das selbe.

Ich komme von meinem Handy aus über LTE aus die DSM-Anmeldeseite und kann mich auf der Diskstation auch einloggen. Sowohl mit http als auch mit https.

Hat da jemand eine Idee was das sein kann?