DSM 6.x und darunter Lets Encrypt Zertifikat erneuert sich nicht

[neuwi]

@Scirocco3

Das sieht nach PuttY aus, meinte ich.
Ich gehe via FileZila mit dem Mac drauf.
Funktioniert einwandfrei.

 

[Fusion]

@Scirocco3 - @rednag ist mit WinSCP auf der DS. Für direkten root login muss man sich den Zertifikats-basierten login für SSH einrichten.

@Huhie - schon weiter gekommen? An der eigenen Domain liegt es jedenfalls nicht.
Bei LE gibt es keine Erneuerung/Verlängerung im eigentlichen Sinne. Es werden einfach neue Zertifikate (deshalb ändert sich auch immer der Fingerprint) mit denselben Domaindaten wie im vorherigen angefordert.
Wie ist der Stand?

 

[Scirocco3]

@Scirocco3 - @rednag ist mit WinSCP auf der DS. Für direkten root login muss man sich den Zertifikats-basierten login für SSH einrichten.

Okay, danke. Ich habe bisher nur mit CyberDuck oder YummyFTP Pro versucht und da komme ich nicht auf die Root.
Dann muss ich mal suchen wie das mit dem Zertifikat geht, oder kannst Du es schnell in weniger Worten erklären ?

 

[Fusion]

http://www.synology-forum.de/showth...-Root-Zugriff-Lösung-für-WinSCP-gesucht/page9

 

[Scirocco3]

Super .... Danke!

Ich hab blöderweise im Netz angefangen zu suchen und war noch am sondieren.. Dabei liegt die Lösung ja so nah, also hier vor den Augen ;-)

 

[rednag]

@Fusion hat mir hier vorweggegriffen - es ist in der Tat WinSCP.
Von den angelegten Zertifikaten wird mittlerweile wieder ein Orange angezeigt.
Ein Aufruf auf der Shell bringt wieder:

root@DS415Plus:~# syno-letsencrypt renew-all -vv
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/2vcQ2K/]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/2vcQ2K/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/3XUNI5/]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/3XUNI5/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/DEFAULT]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/DEFAULT]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/INFO]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/INFO]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/OHyG9C/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/OHyG9C/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/Q6mWVJ/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/Q6mWVJ/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/kEXSsx/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/kEXSsx/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/kcpDrm/]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/kcpDrm/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/nbYiFy/]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/nbYiFy/]
DEBUG: check need to  renew. [/usr/syno/etc/certificate/_archive/renew.json]
DEBUG: renew info is not json. [/usr/syno/etc/certificate/_archive/renew.json]
root@DS415Plus:~#

Überflüssig zu erwähnen, daß eben jenes orangene Zertifikat nicht verlängert wird.
Das System ist - als DSM 6.1 Final erschienen ist - frisch aufgesetzt worden.

 

[Huhie]

@Fusion

Aktuell gibt es keine Sachstandsänderung. das angezeigte Zertifikat ist Orange markiert und läuft Anfang April ab.

Ich habe wie bereits geschrieben ein zusätzliches Zertifikat angelegt. XXX.dynvpn.de (Dynamischer Anbieter),
die klappt einwandfrei.

Außerdem habe ich versucht noch ein weiteres Zertifikat für meine bei allinkl. gehostete Domain zu erstellen.
"nas.meinedomain.de" ist die, die Anfang April abläuft. Zusätzlich habe ich versucht für intern.meinedomain.de
ein LE Zertifikat zu erstellen. Leider ohne Erfolg.

Fehlermeldung: Vorgang fehlgeschlagen, bitte melden Sie sich erneut an.

Hat jemand ne Idee, wie ich das Problem beheben kann?

 

[Huhie]

Braucht es nur den Port 80 oder auch 443?
Der Port 443 wird bei mir durch Zarafa verwendet. Kann es damit zusammenhängen,
das dann das Zertifikat nicht erneuert wird?

 

[SynDiab]

Hallo Huhie,

es braucht wohl nur Port 80. Bei mir lauscht auch Zarafa an 443. Ich habe Port 80 kurz im Router geöffnet und schon hat die Aktualisierung geklappt - getriggert auf der command line. Zarafa hatte ich dabei nicht angehalten.

Gruß

 

[Huhie]

Hi SynDiab,

danke für die Info. Das habe ich mir schon fast gedacht. Aber schon, das es nochmal bestätigt wurde.

Aber was meinst Du mit getriggert auf der commandline?

Warum kann ich das Zertifikat nicht einfach löschen und dann ein neues LE Zertifikat anlegen? Ich bekomme
immer die Fehlermeldung "Verbindung fehlgeschlagen - Bitte melden Sie sich...."

Was muss ich tun, damit ich diese Fehlermeldung nicht mehr bekomme und ich das Zertifikat verlängern
bzw. neu erstellen kann.

Ich habe die Einstellungen aus meiner alten DS importiert. Wurde da vll. irgendwo eine Datei abgelegt,
die nicht registriert ist und das Schreiben dieses Zertifikats blockiert?

Ich meine das neue Zertifikat mit der ***.dynvpn.de Adresse konnte ich sofort einwandfrei bei LE erstellen.

Vielleicht hat ja noch jemand einen Tip, denn mein Zertifikat läuft am Samstag ab

LG

Huhie

 

[SynDiab]

Hi HuHie,

ein "migriertes" LE Zertifikat konnte ich auch nicht verlängern. Ich musste es löschen uns neu anlegen. Das habe ich über die DSM GUI gemacht und das hat prima funktioniert.

Die Verlängerungen habe ich dann per "syno-letsencrypt renew-all" auf der Kommandozeile der DS gemacht.

Gruß

 

[Huhie]

Hi SynDiab,

mein Problem ist ja, das ich kein neues Zertifikat mit meiner eigenen Domain anlegen kann.
Da kommt immer der Fehler "Vorgang fehlgeschlagen..."

Nur warum kommt diese Fehlermeldung? Wo liegt das Problem. Wenn ich ein LE Zertifikat
mit meiner Domain neu anlegen könnte, wäre alles super...

Kommt der Fehler von meiner Synology oder liegt das an Lets Encrypt?

 

[Fusion]

Habe das Gefühl, dass der Import/Export von LE-Zertifkaten (der eigentlich überflüssig ist, weil man sich eh immer wieder neue ausstellen kann, auch auf diesselben Namen) hier ein Problem verursacht.

Eventuell könnte man eine aussagekräftigere Fehlermeldung erhalten, wenn man das Zertifikat mal auf der Kommandozeile erstellt.
Kann ich später man nach den Befehlen schauen, oder es schreibt sie jemand in der Zwischenzeit hier rein, falls das für dich eine Option wäre.

Im Extremfall würde man sich einen LE Client auf den Rechner holen (vermutlich mit Mini-webserver oder ähnlich) und die Ports mal dorthin leiten. Wenn der Fehler bei LE liegen würde, dann würde er dort ja auch auftreten.

 

[Huhie]

Ich habe gerade mal versucht auf einer zweiten Domain in einem fremden Netzwerk ein neues LE Zertifikat mit meiner eigenen Domain
anzulegen. Auf der DS besteht ein LE Zertifikat mit einer anderen Domain. Und dort wurde das LE Zertifikat sogar automatisch verlängert.

Meine Zertifikatsanforderung mit meiner Domain ist dort aber auch fehlgeschlagen.

Das ist doch komisch...

 

[Huhie]

So ich habe nochmal ein wenig recherchiert und ausprobiert.

Aktuell glaube ich, das es mit meinen Domains bei allinkl. zusammenhängt.
Für alle meine dort gehosteten Domains, Subdomains kann ich von der Synology (unterschiedliche ausprobiert - auch jungfräuliche)
kein LE Zertifikat erstellen. Es kommt immer der Fehler "Vorgang fehlgeschlagen usw..."

Gibt es spezielle Anforderungen an den Hoster/Server? PHP oder sonstiges, damit das Zertifikat erstellt werden kann?

Hat jemand Rat?

vg

Huhie

 

[Huhie]

So.... ich habe es hinbekommen. Lets Encrypt Zertifikat neu erstellt.

Es lag daran das auf der DS kein PHP 7.0 installiert war.

Installiert und neuer Versuch... Zack fertig...

Wieder ein Problem behoben...

 

[Fusion]

Danke für die Rückmeldung.
Entweder ein komischer Zufall, oder eine weitere Kerbe in der fahrlässigen Programmierung bei Synology.

 

[Huhie]

Wobei ich das Ganze nochmal auf einer anderen DS mit PHP 7 nachstellen wollte. Dort leider ohne Erfolg.
Also vielleicht doch eher ein Zufallsprodukt... Ich weiß es nicht...

 

[rednag]

Also bin ich doch der einzige, bei dem die Zertifikate nicht selbstständig verlängert werden?

 

[NSFH]

Lets Encrypt Cert sind 3 Monate gültig
nach 2 Monaten erhält man per Mail eine Info, dass das Cert abläuft
Im dritten Monat muss man die Verlängerung anstossen.
Dazu muss ich kurz meine Fw ausschalten, da Port 80 und 443 geblockt sind (diese werden zwingend gebraucht!) und IPs ausserhalb Deutschlands auch gesperrt sind.
Wer zB mit der Fritzbox und Portforwarding arbeitet muss auch das u.U. bedenken
Der Updatevorgang dauert wenige Sekunden und das wars.