DSM 6.x und darunter Lets Encrypt Zertifikat erneuert sich nicht

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Support hat mir geantwortet, nachdem ich ihnen die debug.dat geschickt habe.

HTML:
Sehr geehrter Herr ,

ich sehe das Sie über der Console am Zertifikatssystem estwas geändert haben.

Allerding kann ich nicht nachvollziehen was.

Als Kundenorientiertes Unternehmen wollen wir nicht den Benutzern vorschreiben, wie Sie Ihr Gerät zu nutzen haben.
Deswegen sperren wir zum Beispiel nicht das hinzufügen von Fremdpaketquellen oder den Zugriff auf die Konsole.

Da wir nicht Sicherstellen können, das die Fremdpakete oder die Shell-Eingaben keinen Schaden an der Diskstation verursachen,
können wir darauf leider keinen direkten Support geben.

Derzeit kann ich Sie nur bitten einmal das System zu neu zu installieren,
damit wir eine gemeinsame Ausgangssituation haben.

Ich habe auch versucht bei einer Unit Hier das Zertifikat automatisch zu erneuern.
Dies geschah mit Erfolg.

Ich hoffe ich konnte Ihnen helfen. Wenn Sie noch weitere Fragen haben,
können Sie gerne wieder Kontakt aufnehmen.

Was soll ich dazu noch schreiben? Ich wüsste nichts was ich da geändert haben sollte. Es ist außer Standard auch nichts installiert.
 

diwie

Benutzer
Mitglied seit
11. Feb 2017
Beiträge
15
Punkte für Reaktionen
1
Punkte
9
Was soll ich dazu noch schreiben? Ich wüsste nichts was ich da geändert haben sollte. Es ist außer Standard auch nichts installiert.

Ich habe auch eine frisch installierte DS916+. Da klappt trotz freigegebener Ports in der FB auch nicht das Verlängern der Zertifikate. Die gleichen Meldungen in der Console wie bei Euch. Heute Abend läuft meines ab.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Blöde Frage: wenn deine DS ja "frisch installiert" ist, ist es also ohne Zertifikat. Wie kann man es ohne Zertifikat verlängern? Man muss es also eher vorher die Zertifikate hochladen bzw. einbinden oder wie soll ich das verstehen?
 

diwie

Benutzer
Mitglied seit
11. Feb 2017
Beiträge
15
Punkte für Reaktionen
1
Punkte
9
Ich hatte im Anschluß das gültige Zertifikat meiner bisherigen Synology eingebunden.
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
@TeXniXo

mit Erscheinen von DSM 6.1 Final habe ich die DS frisch aufgesetzt. Natürlich sind Web Station installiert worden, und für meine Domain Zertifikate ausgestellt worden.
 

stern

Benutzer
Mitglied seit
08. Nov 2015
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

auch mein LE Zertifikat läuft heute ab.
Bisher hat die verlängerung immer funktioniert.
Hab versucht die verlängerung per SSH manuell anzustossen, dabei folgende Meldung:
DEBUG: Curl Reply: [429] Header: [HTTP/1.1 429 Unknown
und
"detail": "Error creating new authz :: Too many invalid authorizations recently.",

Ich babe eine eigene TopLevel Domain
Woran kann das dann liegen?

Grüße
 

Crashandy

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
293
Punkte für Reaktionen
100
Punkte
43
Hallo @all,

mein Zertifikat ist nach fast genau einem Jahr erfolgreicher selbständiger Aktualisierungen nun auch abgelaufen.
Sämtliche Versuche, resultierend aus den Beiträgen dieses Forums, sind bei mir fehlgeschlagen.
Kurios ist Folgendes:
Mein Zertifikat bestand aus Domainname: domain.de, Alternativer Name: sub1.domain.de; sub2.domain.de; sub3.domain.de; sub4.domain.de; sub5.domain.de
Alle Versuche der Reaktivierung erfolglos!
In dieser Form Beantragung eines neuen Zertifikats, erfolglos!
Nun kommt das, was ich nicht verstehe.
Beantragung eines neuen Zertifikats mit nur einer Subdomain war sofort erfolgreich. Weitere wurden dem Zertifikat hinzugefügt, sodass mein Zertifikat nun in dieser Form besteht:
Domainname: sub1.domain.de, Alternativer Name: sub2.domain.de; sub3.domain.de; sub4.domain.de; sub5.domain.de
Sowie ich versuche domain.de mit einzubeziehen, bekomme ich wieder Fehler!
Ich habe natürlich auch ausprobiert alle Domains auf ein und das Selbe Ziel verweisen zu lassen, auch damit geht es nicht.
Nun meine Vermutung bzw. meine Frage:
Arbeitet Let´s Encrypt in Verbindung mit Synology DSM-Version 6.1.2 nur noch mit Subdomains?
Zertifikate mit sub.selfhost.bz und sub.myds.me laufen bei mir nach wie vor tadellos.
Wer kann hier etwas dazu beitragen?

Gruß
Crashandy
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Nutze die DS erst seit der Version 6.0 aber da war es schon so, dass man LE nur mit Subdomains installieren konnte. Alle Versuche eine Domain zu nutzen schlugen fehl.
 

stern

Benutzer
Mitglied seit
08. Nov 2015
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

jetzt gehts wieder.
Habe den Fehler gefunden. (mann bin ich blöd!!)
Bei mir waren es die Firewallregeln.
Ich hatte die Reihenfolge der Regeln vor kurzem verändert.
Nun war die blokierende Regel zuerst und die erlaubende erst am Schluss.
Warum dann allerdings LE Fehler 429 gemeldet hat verstehe ich nicht so ganz, aber egal.
(möglicherweise wegen der erfolglosen Versuche das Zertifikat zu erneuern)

@Crashandy :
ich habe nur die top-level-Domain im Zertifikat.
Kann es sein das man top-level- und sub-Domain nicht im Zertifikat kombinieren kann?
Sind nicht mit einem top-level Zertifikat auch die sub-Domains abgedeckt?

Grüße
 

Crashandy

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
293
Punkte für Reaktionen
100
Punkte
43
@stern,

zu Frage 1: Es hat bei mir ein ganzes Jahr lang funtioniert mit domain.tld und sub.domain.tld.
Da bei Dir das Zertifikat mit domain.tld funktioniert, muss ich halt weiter suchen.
Eventuell hat sich auch beim Hoster Domain-Offensive etwas geändert, da es meine Domain von dort betrifft.

zu Frage 2: Nein, dann wäre es ja ein Wildcard-Zertifikat mit *.domain.tld und diese stellt Let´s Encrypt nicht aus.

Gruß
Andy
 

kader

Benutzer
Mitglied seit
30. Mai 2012
Beiträge
198
Punkte für Reaktionen
12
Punkte
24
Es lag daran das auf der DS kein PHP 7.0 installiert war.

Was hat denn PHP 7.0 damit zu tun. Das ist quatsch mit Verlaub. Es ist doch logisch, dass es mit dem Basispaket funktionieren muss, sonst wäre das eigens aufgeführt. Aber schön, dass es bei Dir klappt, bei mir nämlich nicht.
 

BavariaR

Benutzer
Mitglied seit
02. Jan 2013
Beiträge
312
Punkte für Reaktionen
1
Punkte
24
Kann das sein dass die LE Zertifikate jeden Monat erneuert werden müssen... manuell?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.876
Punkte für Reaktionen
1.154
Punkte
288
nein, alle 3 Monate automatisch
 

kader

Benutzer
Mitglied seit
30. Mai 2012
Beiträge
198
Punkte für Reaktionen
12
Punkte
24
Hallo,
Port 80 öffnen und auf der Konsole als root
syno-letsencrypt renew-all
eingeben.

Gruß Götz

Hallo Götz - geht es etwas genauer für diejenigen, die mit der Konsole nicht so bewandert sind? Z.B. wo speichern etc.
Bei mir tut sich da nämlich gar nichts…
Danke vorab

Viele Grüße
Radulph
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Man kann im neuesten DSM auch einfach das Zertifikat in der Systemsteuerung > Sicherheit auswählen und oben im Menü auf erneuern klicken. Port 80 muss trotzdem offen sein.
 

kader

Benutzer
Mitglied seit
30. Mai 2012
Beiträge
198
Punkte für Reaktionen
12
Punkte
24
Danke, schon versucht - das will trotz offenem 80er bei mir nicht funktionieren. Evt. versuche ich zu früh zu erneuern. Hat aber schon einmal geklappt.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Erneuerung geht erst zwischen Tag 60 bis 90.
Wer mehr Infos will muss wie von @goetz gesagt auf die Konsole und am besten noch die Option -v oder -vv angehängt. Ansonsten bleibt nur raten.
 

BavariaR

Benutzer
Mitglied seit
02. Jan 2013
Beiträge
312
Punkte für Reaktionen
1
Punkte
24
nein, alle 3 Monate automatisch

3 Monate kann ich jetzt nachvollziehen... aber mit "Automatisch".. das sehe ich noch nicht . Hab emir jetzt ien merker gesetzt im Kalender paar Tage vorher... dann drücke ich halt mal den Erneuern Button... einem geschenkten Gaul schaut man nicht ins Maul
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
hmmmmmm, also bei mir ist das so, dass ich 20 Tage vor Ablauf eine Email erhalte mit dem Hinweis dass das Zertifikat noch 20 Tage gültig ist.
Das ist die erste "Vorab"-Info.
Man braucht zu diesem Zeitpunkt nichts zu tun.
10 Tage vor Ablauf vom Zertifikat:
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register Zertifikat > hier werden die Installierten Zertifikate angezeigt. Im Normalfall ist das Datum der Gültigkeit grün.
Wenn es nur mehr 10 Tage bis zum Ablauf sind, wechselt das Datum seine Farbe auf "Orange".
1 Tag vor Ablauf sollte sich das Zertifikat automatisch erneuern, am nächsten Tag sollte das Datum wieder grün sein und 90 Tage in der Zukunft liegen.
Es gibt keine Anzeige "Automatisch". Der Ablauf erfolgt wie beschrieben.

Falls das automatische Verlängern nicht geklappt hat, dann mit der linken Maustaste den Zertifitkatseintrag anklicken, wird blau markiert > rechte Maustaste > aus dem Menü den letzten Eintrag "Zertifikat erneuern" anklicken, diese Funktion wurde erst kürzlich eingebaut mit einem der letzten DSM Updates. Es hat die gleiche Funktion wie die manuelle Eingabe auf der Konsole.

geht es etwas genauer für diejenigen, die mit der Konsole nicht so bewandert sind?
Genauer geht es nicht.
Du gibst die Befehlzeile in der Konsole ein und drückst ENTER, danach war bei mir folgender Ablauf:
der Cursor in der Konsole hat nicht mehr geblinkt und ist für ca. 30 Sekunden "eingefroren", ich nehme an das sich in dieser Zeit das Zertifikat verlängert hat.
Als der Cursor wieder geblinkt hat, konnte ich mit Exit aussteigen und mein Zertifikat war verlängert.
Wie oben schon erwähnt, jetzt wurde diese Funktion im DSM eingebaut, du musst nicht mehr auf die Konsole.
Im DSM habe ich dann mehrere Fehlermeldungen erhalten! Einfach DSM schliessen und noch mal öffnen! Die Fehler sind dann alle weg.

Hinweis für jene welche Hyperbackup nutzen und auf eine Backup-DS sichern.
Bitte vergesst nicht in der Hyperbackupaufgabe eurer Datensicherung das neue/verlängerte Zertifikat freizugeben!
Das Backup wird sonst fehlschlagen mit dem Hinweis, dass das Ziel nicht erreichbar war, Aufgrund fehlgeschlagenener Zertifikatsprüfung!
Hyperbackupaufgabe anklicken > Bearbeiten > Register Ziel > unten bei Zertifikatsauthentifizierung auf die Schaltfläche "Serverzertifikat vertrauen" anklicken!
Dann wird auch von Hyperbackup das neue/verlängerte Zertifikat wieder akzeptiert. Dieser Vorgang ist für jede von euch eingerichtete Backupaufgabe mit Zertifikatsprüfung notwendig.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat