Let's Encrypt Zertifikat: automatische vs manuelle Verlängerung

[Jens H]

Hallo,
ich habe mein Let's Encrypt Zertifikat seit einer Ewigkeit (2 Jahre?) nicht manuell verlängert, weil ich das mit dem Sktipt "/usr/syno/sbin/syno-letsencrypt renew-all" automatisch durchführen lasse.
Gestern habe ich allerdings aus Neugierde das Zertifikat direkt über DSM 7.2 manuell verlängert (oder erneuert?) und seit dem funktioniert meine VPN Verbindung nicht (Zertifikat ungültig).
Kann es sein, dass es einen Unterschied macht, WIE man die Gültigkeit verlängert? Ist es mittels Skript ein Verlängern, anders ein Erneuern (und somit ein NEUES Zertifikat)?
Seltsamerweise hat im Gegensatz dazu die Synology Drive App regelmäßig gemeckert, dass das Zertifikat neu ist und ich muste das stets bestätigen, damit die Drive App weiterhin funktioniert.
Hat jemand eine Erklärung dafür?
Danke!
Jens

 

[patrickn]

Wüsste jetzt nicht, warum das ein Unterschied machen sollte. Das Skript selbst stammt doch sowieso auch von Synology, oder?

Klingt eher danach, als ob da bei den Diensten die Zertifikate nicht korrekt zugeordnet sind. (Systemsteuerung, Sicherheit, Zertifikat, das entsprechende Zertifikat anklicken und unter Einstellungen prüfen)

 

[Jens H]

Danke, das erklärt alles. Ich hatte allen diensten außer der VPN Verbindung das Let's Encrypt Zertifikat zugeordnet. Nur dem VPN Dienst war das Synology Zertifikat zugeordnet, das noch ein volles Jahr gültig ist. Und nur das Letzs Encrypt habe ich regel,,mäßig automatisch verlängert. Daher bekam ich in der Vergangenheit nie "Zertifikat abgelaufen", wenn ich eine VPN Verbindung startete, alle anderen Dienste beklagten sich aber regelmäßig. Und da ich vorgestern beide Zertifikate erneuert habe, kann dann erstmals seit Langem die Fehlermeldung.

Frage: Man liest hier immer wieder, dass die Diskstation die Zertifikate ohnehin selbständig verlängert, und zwar 60 Tage bevor sie ablaufen. Ist das wirklich so und wenn ja, gilt das für alle Zertifikate (auch das originale von Synology.com) oder nur für diejenigen, die man selber erstellt hat (Let's Encrypt). Weshalb findet man dann andererseits immer wieder die Empfehlung mit dem oben genannten Skript? Ist das noch aus DSM 6-Zeiten?
Danke,
Jens

 

[patrickn]

Müsste auch so automatisch gehen, mir ist die Empfehlung mit dem Script hier aber auch noch nicht über den Weg gelaufen. Allerdings 30 Tage vor Ablauf bei letsencrypt, nicht 60.

Das Synology Zertifikat müsste auch automatisch aktualisiert werden, sonst müsste es schon längst ungültig sein, wenn deine Diskstation seit 2 Jahren nicht zurückgesetzt wurde - Standardgültigkeit ist nämlich ein Jahr.

 

[Hellraiser123]

Die DS verlängert eigentlich deine eigenen Zertifikate gar nicht von selber. Das dürfte nur für die synology.me Zertifikate gelten, dass die automatisch verlängert werden. Deshalb nutzen die meisten dafür auch acme.sh, damit sie sich darum nicht mehr kümmern müssen.

 

[wegomyway]

https://www.synology-forum.de/threads/le-zertifikat-automatisch-verlaengern-lassen.122777/ . Dieses hab ich auf der 224+ eingerichtet und hat bereits 2fach automatisiert das LE-Zertifikat verlängert.

 

[Jens H]

https://kb.synology.com/de-de/DSM/t...fikate sind,zu Ihrem NAS weitergeleitet wurde.

Dort steht:
".. Let's Let's Encrypt Zertifikate sind 90 Tage lang gültig. Wenn die Domain erfolgreich authentifiziert wurde, erneuert DSM das Zertifikat vor Ablauf automatisch...."

Die Idee mit dem Skript findet man unter anderem hier:
https://frank-hilft.de/knowledge-base/lets-encrypt-zertifikat-automatisch-verlaengern/

Kann hier jemand aus eigener Erfahrung bestätigen, dass man das Skript nicht benötigt, weil die Diskstation das Zertifikat selbständig verlängert?

 

[patrickn]

Unnötig. Es steht doch in der Hilfe, dass automatisch aktualisiert wird - sofern die Voraussetzungen gegeben sind.
Und das Synology-eigene-Script aufrufen macht ja noch weniger Sinn, das wird genau das Script sein, womit die DS selbst aktualisiert.

 

[Benie]

Das Zertifikat für jede Synology DynDNS wird automatisch 30 Tage vor Ablauf automatisch verlängert, nur das reine Synology Zertifikat, da von Synology gleich zu Anfangs plaziert wurde, läuft für 1Jahr, wird aber auch automatisch verlängert.

Edit: hierzu müssen keine Ports geöffnet sein

 

[marwag]

Ich habe genau nach diesem Thema gesucht und nach dem Lesen eurer Posts, so wie ich es auch hier bei "Hinweise, Punkt 5" gelesen habe, verstanden, dass mein LE-Zertifikat für meine angelegtes DDNS über Synology (beliebigerName.synology.me), automatisch erneuert wird und ich mich darum nicht kümmern muss.

Könnt ihr mir bestätigen, dass ichs richtig kapiert habe?
Würde mir sehr weiter helfen!

Danke und Grüße!

 

[Hellraiser123]

Ja hast du.

 

[wegomyway]

@marwag , #6 ist das von mir erfolgreich praktizierte.

 

[patrickn]

Wie genau nimmt die DS denn die Aktualisierung?

Mein Wildcard-Syno DDNS Zertifikat wird schon als Orange angezeigt, gültig bis 28.09., Aktualisierung wäre demnach.. heute bzw. gestern bei 30 Tagen?
Wann macht die DS das? Nur nachts, vermutlich?

 

[Benie]

Ich würde noch 1-2 Tage warten was passiert, gewöhnlich bekommst Du von LE auch mind. 2-3 Erinnerungen bevor es zu spät ist. Manuell kannst Du immer noch aktualisieren.

 

[patrickn]

Werd ich machen, merkwürdig find ichs trotzde, immerhin ist das Datum in Orange ja schon fast als "Warnung" zu verstehen, allerdings sagt Synology auch nicht wirklich, wann sie aktualisieren...

 

[patrickn]

Hab mir gerade mal bei crt.io die Zertifikate angeschaut aus der Vergangenheit. Demnach wäre das Zertifikat, noch mit meiner alten ds116 vor Reset, erst nach 76 Tagen aktualisiert worden.

 

[patrickn]

Soo, letzte Nacht bzw. heute morgen wurde laut crt.sh das Zertifikat dann endlich mal aktualisiert