Lets Encrypt Zertifikat erstellen/erneuern

[PetA90]

Hallo Zusammen

ich würde gerne ein Lets Encrypt Zertifikat erstellen, leider bekommeich die Fehlermeldung das ich kontrollieren soll, ob IP Adresse , Reverse Proxy-Regel und Firewall-Einstellungen korrekt konfigurtiert sind.
Reverse-Proxy hab ich keine am laufen.
Port 80 & 443 sind im Unifi Controller freigegeben und die Firewall ist im Moment auf der NAS deaktiviert
DNS verweiss stimmt mit meiner externen IP überein.
Anbei noch ein paar Screenshots das die Ports freigegebn sind.

Hat noch jemadn eine Idee wo dran es liegen könnte?

Danke für euren Support

 

[ux0]

Bei mir das selbe Problem: Auf der Diskstation läuft DSM 7.0. Sie ist von aussen über eine dedyn.io-Adresse erreichbar. Die externen Ports 80 und 443 des Routers (Speedport 724V) werden auf die internen Ports 5000 und 5001 der Diskstation weitergeleitet. Die Diskstation meldet sich von aussen auf den Ports 80 und 443 mit der Loginseite. https://letsdebug.net meint zur dedyn.io-Adresse der Diskstation: "All OK! No issues were found".

Ein Log habe ich nicht finden können innerhalb /var/log.

Danke für Eure Ideen und Hilfe im voraus!

 

[heavy]

@PetA90 ich kann in deinen Screenshots nicht erkennen auf welche Ports du jetzt durchleitest.
@ux0 Die Ports müssen auch intern auf 80 und 443 verweisen denn der Web Server der das LE Zertifikat erstellt ist nicht der selbe wie der, der das DSM zur Verfügung stellt.

 

[PetA90]

Ich habe Port 80 und 443 freigegeben , bei der Synology Hilfe steht das man das via Terminal (Mac) testen kann/soll mit dem Befehl:

nc -zv domain.diskstation.me port

da kommt folgendes Ergebnis:

Connection to domain.diskstation.me port 80 [tcp/http] succeeded!

Domain hab ich natürlich mit meiner ersetzt, das gleiche kommt auch mit dem Port 443

Danke dir!

 

[ux0]

@heavy Danke, das war die Info, die mir fehlte. Jetzt funktioniert das Erstellen des Let's Encrypt-Zertifikats.

 

[Berndi]

Hallo Community!

Ich kapere mal diesen Thread, weil die Überschrift genau mein Problem beschreibt.

Ich möchte mein Let's Encrypt Zertifikat verlängern und bekomme die gleiche Fehlermeldung.
In meiner FritzBox leite ich die Ports auf meine DS weiter:
In den DSM-Einstellungen steht folgendes:


Und meine Webstation ist von außen über Port 80 erreichbar:
http://pepperland.diskstation.me

Warum kommt dann immer diese Fehlermeldung, wenn ich das Zertifikat erneuern möchte?
Was übersehe ich?

 

[geimist]

Firewall?

 

[Berndi]

Firewall?

Interessante These.
Wo würde ich diese Firewall finden?
Die Diskstation hängt direkt an der FritzBox.
Die Ports sind - wie ich bereits schrieb - offen und erreichbar...

 

[heavy]

systemsteuerung /Sicherheit/

 

[Berndi]

systemsteuerung /Sicherheit/

Okay, die Firewall habe ich deaktiviert.
War wirklich aktiv.

...aber immer noch das Gleiche. :-(

 

[Fusion]

Du hast da eine komische 'Umleitung' drin. Die dynDNS wird direkt auf die photo Station und irgendein Album verbogen.
Wie hast du das eingerichtet?

Aufschlussreichere Fehlermeldung bekommt man nur via einloggen per SSH und Ausführung der Verlängerung über die Konsole mit debug/verbose Ausgabe.

 

[Berndi]

Du hast da eine komische 'Umleitung' drin. Die dynDNS wird direkt auf die photo Station und irgendein Album verbogen.
Wie hast du das eingerichtet?

Nix besonderes

Ich habe lediglich in der index.php den Pfad umgebogen.

<?php
header("Location: /photo/index.php#!Albums/album_48617573666c6f686d61726b74");
exit();
?>

Aufschlussreichere Fehlermeldung bekommt man nur via einloggen per SSH und Ausführung der Verlängerung über die Konsole mit debug/verbose Ausgabe.

Wie mache ich das?
(per SSH einloggen kann ich)

 

[Fusion]

Einfach mal ohne diese index.php probieren. Könnte schon die Lösung sein, wenn die /well-known/acme-challenge/ oder wo er da schaut nicht erreichen kann.

Per ssh mit root Rechten ("sudo -i" nach dem Login und Passwort nochmal eingeben), z.B.

syno-letsencrypt renew-all -vv

 

[KriKrack]

Hallo,

vielen Dank für die Behandlung dieses Themas. Ich habe diesselbe Fehlermeldung bei der Zertifikatserneuerung, kriege das Problem aber leider mit den hier beschriebenen Schritten nicht in den Griff.

• Fritzbox 7590 mit Fritz!OS 7.29 (aktuell)
• Syno DS920+mit DSM 7.1-42661 Update 2 (aktuell)
• Port 80 auf der Fritz!Box zur Syno weitergeleitet
• Firewal auf Syno deaktiviert
• keine index.html / index.php in /volume1/web
• Beim Browser-Aufruf von http://meinedomain.de kommt der http-Fehler 403

Wenn ich nun unter Systemsteuerung>Sicherheit>Zertifikat bei dem Let's Encrypt-Zertifikat die Aktion "Zertifikat erneuern" starte, kommt die oben beschriebene Fehlermeldung.

Wenn ich den Befehl syno-letsencrypt renew-all -vv als root in SSH ausführe, kommt im Debug-Log zuletzt die Meldung

DEBUG: Failed to do challenge for mydomain.de with type http-01.​

DEBUG: close port 80.​

{"error":101,"file":"client_v2-base.cpp","msg":"XX.XX.XX.XX: Fetching http://mydomain.de/.well-known/acme-challenge/mUJ8t0Eel_GAa​

qKsnCVyjVCdLgfasdfgdsdfsasdfk: Error getting validation data"}​

Was übersehe ich?

Vielen Dank für Hilfe!

 

[KriKrack]

Zusatzinfo:
Ich nutze auf der Syno verschiedene Dienste, die z.T. unter Docker und/oder mit Reverse Proxy laufen: Nextcloud, Dokuwiki, pi-hole usw.
Kann das mit dem Problem zsammenhängen?

 

[Fusion]

Für example.com sollte eine Dummy Seite oder ein anderer Dienst antworten.
Wenn du da den Fehler 403 weg bekommst geht vermutlich auch die Erneuerung.

Wo ist example.com auf der DS überall eingetragen, falls überhaupt?

Andere Reverse Proxies lauschen auf anderen Namen und haben mit dem Problem normal nichts zu tun.

 

[KriKrack]

Hallo Fusion,
vielen Dank für die schnelle Antwort.

Leider komme ich damit noch nicht weiter. Ich habe jetzt eine index.html in /volume1/web gelegt und bekomme keinen 403-er mehr. Dennoch kommt beim Update des Zertifikats bei beiden Methoden weiterhin die Fehlermeldung. Das Challenge funktioniert demnach nicht.

Ich weiß nicht, was Du mit example.com meinst, aber nach Deinen Worten dürfte das keine Rolle mehr spielen, nachdem ich den 403-er eliminiert habe.

Hast Du noch eine andere Idee, woran es haken könnte?

Schönen Gruß...

 

[KriKrack]

Ich habe noch eine weitere mögliche Fährte: ich bin bei Strato und schaffe es nicht, in der Kombination Strato/Syno/Let's Encrypt Wildcards für meine Subdomains einzurichten. Deshalb habe ich alle Subdomains (foo.mydomain.de, bar.mydomain.de usw.) einzeln bei Strato, bei DynDNS und im Zertifikat eingerichtet. Kann die Ursache meines Problems sein, dass nicht unter allen Subdomains der Port 80 erreichbar ist?

 

[Benares]

Probier's mal mit einem neuen Zertifikat und leite neben Port 80 auch 443 weiter.
Meines Wissens gibt es bei LE zwei Methoden um sicherzustellen, dass die Domain, deren Zertifikat verlängert werden soll, auch die ist, für die es ursprünglich beantragt wurde. Da gibt einmal den DNS-Challenge, da wird ein TXT-Record im DNS gesetzt/abfragt, und einmal den HTTP-Challenge, eine Art Cookie, der irgendwie im Web-Server abgelegt/abgefragt wird. Aber so genau nicht, auch, wie genau man die Verwendung der beiden Methoden steuern kann. Auf jeden Fall, dürfte im Falle eines HTTP-Challenge die Verlängerung nicht mehr funktionieren, wenn der Web-Server, auf den die Domain bei der Verlängerung zeigt, nicht mehr der ist, der es bei der Beantragung war.

 

[KriKrack]

Hallo Benares,
auch Dir vielen Dank für die rasche Antwort.
Ich bin jetzt unsicher, wie Du das mit dem neuen Zertifikat meinst. Ich habe bereits es aus der Systemsteuerung>Sicherheit>Zertifikat mit "Hinzufügen" und "Vorhandenes Zertifikat ersetzen" versucht, funktioniert auch nicht.