Lets Encrypt Zertifikat erstellen/erneuern

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.059
Punkte für Reaktionen
3.872
Punkte
488
Ja, so hab ich es gemeint. Ist inzwischen 80 und 443 weitergeleitet?
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
:-( dumm gelaufen...

Ich habe jetzt Methode BRUTAL angewendet und habe das Zertifikat auf der Syno gelöscht, also zurück zum Syno-Zertifikat. Als ich dann das Zertifikat bei Let's Encrypt neu beantragt habe, kam wieder der altbekannte Fehler - beim ersten Versuch...

Beim zweiten Versuch kam jetzt die Fehlermeldung "zu viele Versuche für die Domain" von Let's Encrypt.

Mist!

Was kann ich jetzt tun? Wie lange muss ich warten?
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
Ich habe noch eine weitere mögliche Fährte: ich bin bei Strato und schaffe es nicht, in der Kombination Strato/Syno/Let's Encrypt Wildcards für meine Subdomains einzurichten. Deshalb habe ich alle Subdomains (foo.mydomain.de, bar.mydomain.de usw.) einzeln bei Strato, bei DynDNS und im Zertifikat eingerichtet. Kann die Ursache meines Problems sein, dass nicht unter allen Subdomains der Port 80 erreichbar ist?

Kann mir einer dazu was sagen? Ist das eine mögliche Ursache oder ist das eine kalte Spur?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.059
Punkte für Reaktionen
3.872
Punkte
488
Was kann ich jetzt tun? Wie lange muss ich warten?
Ich meine einige Tage oder ne Woche. Auf jeden Fall ziemlich lang.

Edit:
Also ich habe ja auch eine Domain bei Strato (example.com), aber keine Subdomains, sondern jede Menge CNAMEs (Aliase) darauf (subx.example.com). Per DDNS aktualisiert wird nur example.com, die CNAMEs wechseln ja automatisch mit. Natürlich braucht man für sowas entweder je ein Zertifikat für jeden der Namen oder ein Zertifikat, dass alle Namen abdeckt (*.example.com). Letzteres geht auf der Syno mit Bordmitteln nur bei synology.me als Provider. Ich hab mir da mit ACME was gescriptet, dann geht das auch mit Strato. Ganz vollautomatisch hab ich's aber noch nicht hinbekommen, weil Strato keine DNS-API zur Aktualisierung der DNS-TXT-Records (DNS-Challenge) anbietet.

Edit2: Da hat sich wohl mein Edit und der Beitrag von @Fusion zeitlich etwas überschnitten.
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Example.com ist eine offizielle Beispieldomain die man benutzen sollte für.... Beispiele. Die von dir gewählten Beispiele (mydomain) sind offiziell vergebene Domains die jemand Drittem aktuell gehören. Das sollte man vermeiden. Entweder die realen Domains die dir gehören, oder offizielle Beispiele.

Alle Domains die in EINEM Zertifikat als Common Name oder Subject Alternative Name (CN, SAN) angegeben sind müssen ALLE erreichbar sein auf Port 80 für die Validierung mit http-01.
Wenn für jede Domain ein eigenes Zertifikat erstellt wurde muss nur diese auch für die Erneuerung dieses einen Zertifikats erreichbar sein.

Wildcard Domains via dns-01 Validierung kann die Syno nur für Synology.me Domains erstellen.
Nur hier hat die DS über Umwege den notwendigen Zugriff auf die DNS Server VON Synology um die notwendigen TXT records abzulegen.
Aktuell geht es für eigene Domains nur über Umwege wie ein manuell installiertes acme.sh auf der Konsole.

Es reicht jede Subdomain bei Strato per CNAME auf EINE (ein und dieselbe) dynDNS bei Strato zu setzen. Das ändert zwar nix am Wildcard Problem (siehe oben), aber es braucht halt nicht X dynDNS.

Zu Rate Limits von Let's Encrypt
https://letsencrypt.org/de/docs/rate-limits/
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
@Fusion @Benares: vielen Dank für Eure ausführlichen Antworten.

Ich werde mich also mal in die Konfiguration des CNAME der Subdomains bei Strato (was muss ich da eintragen) und in ACME einarbeiten. Bei beidem kenne ich mich noch nicht aus. Gibt es einen guten Link für Newbies?

Eine Anmerkung noch zu "mydomain.de": die hatte ich manuell für meine reale Domain eingesetzt.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
"mydomain.de" ist eine reale Domain, die gehört eben jemand bzw. einer Firma. Nur nicht dir. :)

sub.example.com mit CNAME auf deine.dyndns.tld in den DNS Einstellungen der Subdomain. Mehr nicht.
Fortan sind beide mit derselben IP verbunden.

Welcome to the rabbit hole...
Kenne leider kein Silbertablett für Anfänger.

Bare Metal:
https://github.com/acmesh-official/acme.sh
https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide
https://github.com/acmesh-official/acme.sh/wiki/deployhooks#20-deploy-the-cert-into-synology-dsm

Docker:
https://www.christosgeo.com/2022/02/03/renew-lets-encrypt-certificates-on-synology-using-acme-sh/

Für die Automatisierung muss man sich mindestens einen der Hoster zur Hilfe nehmen für die acme.sh auch die DNS Einträge direkt manipulieren kann. Dann kann man mit einem Domain Alias / Challenge Alias arbeiten. Damit kann man dann auch Zertifikate ausstellen für Domains bei Hostern für die keine API verfügbar ist (z.B. Strato), und auch auf Servern die überhaupt nicht aus dem Internet erreichbar sind. Und man kann den einen Alias für wo man die DNS-API bedienen kann auch für beliebig viele andere Domains abfrühstücken. Bsp DNS-API / web-wrapper bei Hurricane Electric und Domains bei Strato, 1Blu oder sonst wo, wo man keinen remote Zugriff auf die DNS API hat und nur statische Einträge braucht.

Bsp., nicht unbedingt die optimale Beispielseite, aber als Anfang ...
https://www.my-it-brain.de/wordpres...g-des-dns-alias-modus-mit-dem-acme-sh-client/

Und für die Spitze noch mit 2FA, TOTP
https://github.com/acmesh-official/acme.sh/issues/2727#issuecomment-1039308674
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
Fehler gefunden! Problem gelöst!

Auf der Syno war in Systemsteuerung>Externer Zugriff>DDNS im Record zur Meldung meiner Domain bei Strato das Feld Externe Adresse (IPv4) von "automatisch" auf eine feste (manuelle), nicht mehr gültige IP umgesprungen.

Wieder auf "automatisch" umgestellt, aktualisiert und Zertifikat bei Let's Encrypt neu abgerufen - voilà!

Weiß der Teufel, wie sich das Ding auf eine veraltete IP festgegraben hat =:-o

Vielen Dank nochmal für die Unterstützung.
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
@Fusion: Ganz herzlichen Dank für die Links und die ausführlichen Erklärungen!

Das mit dem CNAME habe ich bereits umgesetzt. Funzt! Damit ist DynDS zwischen Strato und Synobox schonmal viel aufgeräumter. Mit DynDNS könnte ich sogar, weil es jetzt nur noch ein Record ist, auf die Fritz!Box umziehen.

Jetzt geht's noch ans Lesen des Materials ran.

"mydomain.de" ist eine reale Domain, die gehört eben jemand bzw. einer Firma. Nur nicht dir. :)
Schon klar. Um meine eigene Domain nicht zu zeigen habe ich mir willkürlich diese genommen, ohne zu wissen, dass sie reserviert ist. Mein Fehler!

Viele Grüße!
 
  • Like
Reaktionen: Fusion

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.803
Punkte für Reaktionen
179
Punkte
129

Splash_er

Benutzer
Mitglied seit
25. Okt 2018
Beiträge
51
Punkte für Reaktionen
2
Punkte
8
Hallo,

ich klinke mich mal mit ein, da ich zu meinem Thema/Problem nichts finde.
Ich habe zwei Synology NAS im Netzwerk...hinter einer FritzBox. Beide sind mit einem Let's Encrypt Zertifikat ausgestattet, welche sich via Aufgabenscript erneuern. Dazu muss ja der Port 80 freigegeben werden, was aber ja nur für eine NAS so in der FritzBox funktioniert.
Bei der Zweiten Synology NAS meckert er ja nun immer rum, dass er dies nicht erneuern kann...außer ich stelle kurz den Port manuell darauf um.
Gibt es eine Möglichkeit, dies doch irgendwie so einzustellen, sodass die zweite NAS (ohne Port 80/433) Freigabe sich das Zertifikat selbst erneuert, bzw. fest bleibt?

Für Lösungen bin ich sehr dankbar!
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
Wie eingerichtet? Ein Synology oder über acme, o.ä.?
 

Splash_er

Benutzer
Mitglied seit
25. Okt 2018
Beiträge
51
Punkte für Reaktionen
2
Punkte
8
Hallo,

ganz normal über die Synology...bei beiden.
Also ein ...synology.me Zertifikat und ein Subdomain-Zertifikat ...meine-domain.com.
Wie geschrieben, betrifft es logischerweise nur die ohne Portfreigabe.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Für die Erneuerung der Hauseigenen (z.b. synology.me( DynDNS Lets Encrypt Zertifikate benötigst Du keinen Port 80 und auch keinen 443.
Schließ die und erneuere die Zertifikate mal manuell und berichte.
 
  • Like
Reaktionen: wegomyway und Benares

Splash_er

Benutzer
Mitglied seit
25. Okt 2018
Beiträge
51
Punkte für Reaktionen
2
Punkte
8
Hallo,
dies klappt leider eben nicht mit dieser Synology NAS, die keine 80/433 Portfreigabe hat, was ja auch so dasteht und ich so auch aus der Vergangenheit kenne, bzw. die andere NAS (mit 80. Portfreigabe) ja problemlos durchführt.
1707818185737.png1707818130872.png
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
9.004
Punkte für Reaktionen
3.847
Punkte
364
klappt leider eben nicht mit dieser Synology NAS, die keine 80/433 Portfreigabe hat, was ja auch so dasteht und ich so auch aus der Vergangenheit kenne,
Eigentlich klappt das schon, ich habe keine offenen Ports und auf allen meiner DS verlängern sich die Example.synology.me Zertifikate selbstständig. Egal ob Wildcard, Subdomain oder das Standart Zertifikat.

Irgendwo, evtl. Firewall hakt da bei Dir etwas.
 

Splash_er

Benutzer
Mitglied seit
25. Okt 2018
Beiträge
51
Punkte für Reaktionen
2
Punkte
8
OK, das "Problem" kenne ich nicht anders und mit der geschätzt 20 Synology NAS in unterschiedlichen Konfigurationen (Router/Firewall/etc.).
Ist der Port nicht offen, funktioniert es nicht.
Also bleibt nur der Weg, dies immer wieder manuell zu machen.

Trotzdem danke...
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Also ein ...synology.me Zertifikat und ein Subdomain-Zertifikat ...meine-domain.com.
Um welche Domain geht es dir denn mit den Ports? Um die synology.me oder um deine .com Domain? Für deine .com brauchst du offene Ports. Nur für die synology.me nicht.
 
  • Like
Reaktionen: Benie

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.355
Punkte für Reaktionen
574
Punkte
184
Ich geb mal aktuell meine Erkenntnis preis.
War ne Woche auf Malle, und in dieser Zeit hat die 224+ natürlich nur Fotos7Videos in Masse bekommen.
Aber, der Grund ist der, dass das installierte Watchtower seine Arbeit korrekt erledigt hat. Gersten mal geschaut bei den Zertifikaten und was soll ich schreiben ?
Das LE-Zertifikat ist während meiner Abwesenheit automatisch/erfolgreich verlängert worden. Also so wie ich Watchtower installiert wurde, funktioniert es bestens.
Bei mir in der 7590 ist nur 443 offen und das Zertifikat ist für die xxx.myds.me
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat