DSM 6.x und darunter Lets Encrypt Zertifikat erneuert sich nicht

[rednag]

Support hat mir geantwortet, nachdem ich ihnen die debug.dat geschickt habe.

Sehr geehrter Herr ,

ich sehe das Sie über der Console am Zertifikatssystem estwas geändert haben.

Allerding kann ich nicht nachvollziehen was.

Als Kundenorientiertes Unternehmen wollen wir nicht den Benutzern vorschreiben, wie Sie Ihr Gerät zu nutzen haben.
Deswegen sperren wir zum Beispiel nicht das hinzufügen von Fremdpaketquellen oder den Zugriff auf die Konsole.

Da wir nicht Sicherstellen können, das die Fremdpakete oder die Shell-Eingaben keinen Schaden an der Diskstation verursachen,
können wir darauf leider keinen direkten Support geben.

Derzeit kann ich Sie nur bitten einmal das System zu neu zu installieren,
damit wir eine gemeinsame Ausgangssituation haben.

Ich habe auch versucht bei einer Unit Hier das Zertifikat automatisch zu erneuern.
Dies geschah mit Erfolg.

Ich hoffe ich konnte Ihnen helfen. Wenn Sie noch weitere Fragen haben,
können Sie gerne wieder Kontakt aufnehmen.

Was soll ich dazu noch schreiben? Ich wüsste nichts was ich da geändert haben sollte. Es ist außer Standard auch nichts installiert.

 

[diwie]

Was soll ich dazu noch schreiben? Ich wüsste nichts was ich da geändert haben sollte. Es ist außer Standard auch nichts installiert.

Ich habe auch eine frisch installierte DS916+. Da klappt trotz freigegebener Ports in der FB auch nicht das Verlängern der Zertifikate. Die gleichen Meldungen in der Console wie bei Euch. Heute Abend läuft meines ab.

 

[TeXniXo]

Blöde Frage: wenn deine DS ja "frisch installiert" ist, ist es also ohne Zertifikat. Wie kann man es ohne Zertifikat verlängern? Man muss es also eher vorher die Zertifikate hochladen bzw. einbinden oder wie soll ich das verstehen?

 

[diwie]

Ich hatte im Anschluß das gültige Zertifikat meiner bisherigen Synology eingebunden.

 

[rednag]

@TeXniXo

mit Erscheinen von DSM 6.1 Final habe ich die DS frisch aufgesetzt. Natürlich sind Web Station installiert worden, und für meine Domain Zertifikate ausgestellt worden.

 

[stern]

Hallo zusammen,

auch mein LE Zertifikat läuft heute ab.
Bisher hat die verlängerung immer funktioniert.
Hab versucht die verlängerung per SSH manuell anzustossen, dabei folgende Meldung:
DEBUG: Curl Reply: [429] Header: [HTTP/1.1 429 Unknown
und
"detail": "Error creating new authz :: Too many invalid authorizations recently.",

Ich babe eine eigene TopLevel Domain
Woran kann das dann liegen?

Grüße

 

[Crashandy]

Hallo @all,

mein Zertifikat ist nach fast genau einem Jahr erfolgreicher selbständiger Aktualisierungen nun auch abgelaufen.
Sämtliche Versuche, resultierend aus den Beiträgen dieses Forums, sind bei mir fehlgeschlagen.
Kurios ist Folgendes:
Mein Zertifikat bestand aus Domainname: domain.de, Alternativer Name: sub1.domain.de; sub2.domain.de; sub3.domain.de; sub4.domain.de; sub5.domain.de
Alle Versuche der Reaktivierung erfolglos!
In dieser Form Beantragung eines neuen Zertifikats, erfolglos!
Nun kommt das, was ich nicht verstehe.
Beantragung eines neuen Zertifikats mit nur einer Subdomain war sofort erfolgreich. Weitere wurden dem Zertifikat hinzugefügt, sodass mein Zertifikat nun in dieser Form besteht:
Domainname: sub1.domain.de, Alternativer Name: sub2.domain.de; sub3.domain.de; sub4.domain.de; sub5.domain.de
Sowie ich versuche domain.de mit einzubeziehen, bekomme ich wieder Fehler!
Ich habe natürlich auch ausprobiert alle Domains auf ein und das Selbe Ziel verweisen zu lassen, auch damit geht es nicht.
Nun meine Vermutung bzw. meine Frage:
Arbeitet Let´s Encrypt in Verbindung mit Synology DSM-Version 6.1.2 nur noch mit Subdomains?
Zertifikate mit sub.selfhost.bz und sub.myds.me laufen bei mir nach wie vor tadellos.
Wer kann hier etwas dazu beitragen?

Gruß
Crashandy

 

[NSFH]

Nutze die DS erst seit der Version 6.0 aber da war es schon so, dass man LE nur mit Subdomains installieren konnte. Alle Versuche eine Domain zu nutzen schlugen fehl.

 

[stern]

Hallo zusammen,

jetzt gehts wieder.
Habe den Fehler gefunden. (mann bin ich blöd!!)
Bei mir waren es die Firewallregeln.
Ich hatte die Reihenfolge der Regeln vor kurzem verändert.
Nun war die blokierende Regel zuerst und die erlaubende erst am Schluss.
Warum dann allerdings LE Fehler 429 gemeldet hat verstehe ich nicht so ganz, aber egal.
(möglicherweise wegen der erfolglosen Versuche das Zertifikat zu erneuern)

@Crashandy :
ich habe nur die top-level-Domain im Zertifikat.
Kann es sein das man top-level- und sub-Domain nicht im Zertifikat kombinieren kann?
Sind nicht mit einem top-level Zertifikat auch die sub-Domains abgedeckt?

Grüße

 

[Crashandy]

@stern,

zu Frage 1: Es hat bei mir ein ganzes Jahr lang funtioniert mit domain.tld und sub.domain.tld.
Da bei Dir das Zertifikat mit domain.tld funktioniert, muss ich halt weiter suchen.
Eventuell hat sich auch beim Hoster Domain-Offensive etwas geändert, da es meine Domain von dort betrifft.

zu Frage 2: Nein, dann wäre es ja ein Wildcard-Zertifikat mit *.domain.tld und diese stellt Let´s Encrypt nicht aus.

Gruß
Andy

 

[kader]

Es lag daran das auf der DS kein PHP 7.0 installiert war.

Was hat denn PHP 7.0 damit zu tun. Das ist quatsch mit Verlaub. Es ist doch logisch, dass es mit dem Basispaket funktionieren muss, sonst wäre das eigens aufgeführt. Aber schön, dass es bei Dir klappt, bei mir nämlich nicht.

 

[kader]

So ich habe nochmal ein wenig recherchiert und ausprobiert.

Aktuell glaube ich, das es mit meinen Domains bei allinkl. zusammenhängt.

Bist Du da weitergekommen. Bir mir auch allinkl.

 

[BavariaR]

Kann das sein dass die LE Zertifikate jeden Monat erneuert werden müssen... manuell?

 

[ottosykora]

nein, alle 3 Monate automatisch

 

[kader]

Hallo,
Port 80 öffnen und auf der Konsole als root
syno-letsencrypt renew-all
eingeben.

Gruß Götz

Hallo Götz - geht es etwas genauer für diejenigen, die mit der Konsole nicht so bewandert sind? Z.B. wo speichern etc.
Bei mir tut sich da nämlich gar nichts…
Danke vorab

Viele Grüße
Radulph

 

[Fusion]

Man kann im neuesten DSM auch einfach das Zertifikat in der Systemsteuerung > Sicherheit auswählen und oben im Menü auf erneuern klicken. Port 80 muss trotzdem offen sein.

 

[kader]

Danke, schon versucht - das will trotz offenem 80er bei mir nicht funktionieren. Evt. versuche ich zu früh zu erneuern. Hat aber schon einmal geklappt.

 

[Fusion]

Erneuerung geht erst zwischen Tag 60 bis 90.
Wer mehr Infos will muss wie von @goetz gesagt auf die Konsole und am besten noch die Option -v oder -vv angehängt. Ansonsten bleibt nur raten.

 

[BavariaR]

nein, alle 3 Monate automatisch

3 Monate kann ich jetzt nachvollziehen... aber mit "Automatisch".. das sehe ich noch nicht . Hab emir jetzt ien merker gesetzt im Kalender paar Tage vorher... dann drücke ich halt mal den Erneuern Button... einem geschenkten Gaul schaut man nicht ins Maul

 

[Kurt-oe1kyw]

hmmmmmm, also bei mir ist das so, dass ich 20 Tage vor Ablauf eine Email erhalte mit dem Hinweis dass das Zertifikat noch 20 Tage gültig ist.
Das ist die erste "Vorab"-Info.
Man braucht zu diesem Zeitpunkt nichts zu tun.
10 Tage vor Ablauf vom Zertifikat:
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register Zertifikat > hier werden die Installierten Zertifikate angezeigt. Im Normalfall ist das Datum der Gültigkeit grün.
Wenn es nur mehr 10 Tage bis zum Ablauf sind, wechselt das Datum seine Farbe auf "Orange".
1 Tag vor Ablauf sollte sich das Zertifikat automatisch erneuern, am nächsten Tag sollte das Datum wieder grün sein und 90 Tage in der Zukunft liegen.
Es gibt keine Anzeige "Automatisch". Der Ablauf erfolgt wie beschrieben.

Falls das automatische Verlängern nicht geklappt hat, dann mit der linken Maustaste den Zertifitkatseintrag anklicken, wird blau markiert > rechte Maustaste > aus dem Menü den letzten Eintrag "Zertifikat erneuern" anklicken, diese Funktion wurde erst kürzlich eingebaut mit einem der letzten DSM Updates. Es hat die gleiche Funktion wie die manuelle Eingabe auf der Konsole.

geht es etwas genauer für diejenigen, die mit der Konsole nicht so bewandert sind?

Genauer geht es nicht.
Du gibst die Befehlzeile in der Konsole ein und drückst ENTER, danach war bei mir folgender Ablauf:
der Cursor in der Konsole hat nicht mehr geblinkt und ist für ca. 30 Sekunden "eingefroren", ich nehme an das sich in dieser Zeit das Zertifikat verlängert hat.
Als der Cursor wieder geblinkt hat, konnte ich mit Exit aussteigen und mein Zertifikat war verlängert.
Wie oben schon erwähnt, jetzt wurde diese Funktion im DSM eingebaut, du musst nicht mehr auf die Konsole.
Im DSM habe ich dann mehrere Fehlermeldungen erhalten! Einfach DSM schliessen und noch mal öffnen! Die Fehler sind dann alle weg.

Hinweis für jene welche Hyperbackup nutzen und auf eine Backup-DS sichern.
Bitte vergesst nicht in der Hyperbackupaufgabe eurer Datensicherung das neue/verlängerte Zertifikat freizugeben!
Das Backup wird sonst fehlschlagen mit dem Hinweis, dass das Ziel nicht erreichbar war, Aufgrund fehlgeschlagenener Zertifikatsprüfung!
Hyperbackupaufgabe anklicken > Bearbeiten > Register Ziel > unten bei Zertifikatsauthentifizierung auf die Schaltfläche "Serverzertifikat vertrauen" anklicken!
Dann wird auch von Hyperbackup das neue/verlängerte Zertifikat wieder akzeptiert. Dieser Vorgang ist für jede von euch eingerichtete Backupaufgabe mit Zertifikatsprüfung notwendig.