DSM 6.x und darunter Lets Encrypt Zertifikat Ablaufdatum !

[gaulo23]

Hi

Ich musste heute mein Lets Encrypt Zertifikat verlängern, da dies abgelaufen gewesen ist. Jetzt habe ich es wieder neu verlängert. Was ich aber gesehen habe ist, das das Zertifikat nun bis 21.12.2019 gültig ist.

Gibt es kein Möglichkeit, das das Zertifikat länger gültig ist ?

 

[TeXniXo]

Alle 3 Monate werden diese Zertifikate aktualisiert bzw. verlängert.
"Automatisieren" (also länger gültig gelten lassen) lässt sich das Ganze, wenn du die Port 80 durchgehend offen lässt (oder wenn du Sicherheitsbedenken hast, paar Tage davor öffnen und danach wieder schließen und das alle 3 Monate -> auch via Aufgabenplaner lösbar).

 

[Kurt-oe1kyw]

Ich musste heute mein Lets Encrypt Zertifikat verlängern, da dies abgelaufen gewesen ist

Die kostenlosen LE Zertifikate welche ich kenne für Synology sind immer nur max. 90 Tage gültig. Siehe oben, wenn der Port 80 (443) offen ist, dann sollte sich die DS automatisch ihr Zertifikat von LE VOR ABLAUF autom. verlängern.
Zumindest bei mir hier klappt es mit der Automatik und dem automatischen verlängern für die nächsten 90 Tage.

Der Ablauf welchen ich dabei beobachten konnte ist folgender:
LE Zertifikat wird verlängert = 90 Tage --> grünes Datum der Gültigkeit wird angezeigt
LE Zertifikat < 30 Tage gültig ---> oranges Datum der Gültigkeit wird angezeigt.
LE Zertifikat < 3 bis 1 Tage gültig ---> die DS verlängert autom das Zertifikat und das neue Datum 90 Tage in der Zukunft wird wieder grün angezeigt.
3 Tage vor Ablauf erhalte ich eine Erinnerungsmail, dass das Zertifkat ablaufen wird. Meistens dauert es dann nur 24h bis die DS autom verlängert.

 

[Der Graue]

...
wenn der Port 80 (443) offen ist, dann sollte sich die DS automatisch ihr Zertifikat...

Reicht auch nur Port 443, oder muss Port 80 auch offen sein, har das schon jemand getestet?

 

[TeXniXo]

Leider muss auch 80 geöffent sein - 443 dagegen nicht erforderlich.

 

[princemaxwell]

Ich habe heute falsch geklickt und mein Zertifikat versehentlich erneuert (Ablaufdatum 01.12.2019, jetzt 24.12.2019).
Der Erneuerungsvorgang lief ohne Fehler durch und das Datum ist jetzt 24.12.

Komisch dabei ist, dass ich Port 80 und 443 in der Fritz!Box deaktiviert habe (hab ich nochmal geprüft, Ports sind unter Freigaben in der Fritz!Box angelegt, aber nicht aktiv).

Habe das Ganze dann an einem weiteren Standort mit einer anderen DS und anderen Domain nochmal gemacht und auch da hat es auch ohne Portfreigabe funktioniert.

Hat sich da was geändert???

 

[Der Graue]

@TeXniXo Danke, das habe ich befürchtet
Wenn ich nun aber lese, wie es gerade bei @princemaxwell gelaufen ist, bin ich doch schon etwas verwundert. Eigentlich kann das doch gar nicht funktionieren, ohne dass Lets Encrypt von aussen auf die DS kommt, oder

Mein Zertifikat ist gerade neu, da will ich jetzt nicht dran rumspielen. Kurz vor Ablauf werde ich die Ports schließen und eine manuelle Verlängerung anstoßen - mal sehen, was passiert.

 

[Benares]

Ich hab's auch grad probiert. Die Erneuerung hat auch ohne temporäres Einschalten der Portweiterleitung für 80/443 im Router geklappt.
War nicht beim DSM-6.2.2-24922U3 auch eine Anpassung bei der Lets-Encrypt-API erwähnt? Vielleicht kommt die ja jetzt ohne Portweiterleitung aus.

Edit:
Hab's gefunden

Version: 6.2.2-24922-3
...
What's New
Updated the protocol of Let's Encrypt to ACME V2 to enhance the stability of the registration process.

Ich weiß aber nicht, ob es damit zu tun hat.

 

[princemaxwell]

Gelesen habe ich da auch was, aber eine Erneuerung ohne lästige Portweiterleitung wäre ja mal etwas positives.
Daran hatte ich bei dem Changelog aber nicht gedacht. Vor allem weil die Maske im DSM immer noch was von Portweiterleitung da stehen hat.

Schön, dass jemand meine Erfahrung von heute (auch wenn die versehentlich war) bestätigen konnte.

 

[TeXniXo]

Auch danke von mir für den interessanten Sachverhalt und Hinweis!

 

[Fusion]

Für welche Domains habt ihr das gemacht? Für eigene oder für synology.me Adressen?
Für letzteres hat synology ja die eigenen DNS Server unter Kontrolle und kann dort txt records etc hinterlegen.

Jedenfalls gibt es keinen anderen Challenge type der sonst ohne ports auskommt

https://letsencrypt.org/de/docs/challenge-types/

 

[Benares]

Ich hab's mit der Verlängerung für ein LE-Zertifikat für eine eigene Domain bei Strato probiert. Das ging tatsächlich auch ohne temporäre Portweiterleitungen, wie sie sonst immer nötig war.
Auch eine Löschung/Neuerstellung hat ohne Portweiterleitungen geklappt.

 

[Fusion]

Glaub ich dir ja. Würde nur gerne wissen auf welchem obskuren Weg das geht, wenn keine Methode aus der offiziellen Doku passt.
Weil bei der eigenen Domain haben sie ja weder auf deine DNS Einträge Einfluss und deine DS ist auch nicht erreichbar.
Irgendwie muss ja noch gewährleistet sein dass sich nicht Hinz und Kunz jetzt für DEINE Domain ein Zertifikat holen können.

 

[Benares]

Verstehe ich auch nicht.
Die einzigen Ports, die bei mir in der Fritzbox offen sind, sind 500/4500 für IKE/IPSec (VPN), 5060/7078-7109 für SIP/RTP (Telefonie) und ein zufälliger High-Port für den https-Zugriff für Alexa über MyFritz. Aber die werden nicht weitergeleitet.
Neben MyFritz synce ich nur noch die Strato-DDNS-Domain über die Fritzbox.

 

[princemaxwell]

Bei mir ist es ne Domain bei all-inkl.com.
Dort dann noch mit Subdomain (ds.domain.de).
Auf meine Box komme ich dann mit einem von mir definierten Port.
Die subdomain wird per DDNS mit der Fritz! Box aktualisiert.

Ich habe keine Ahnung, wieso das geklappt hat.
Ich hätte die Vermutung, dass DSM den eigenen definierten Port bei der Anfrage an LE weitergibt und LE diesen statt 80/443 dann zur Kontrolle nutzt. Könnte das sein?