Lets Encrypt Zertifikat erstellen/erneuern

PetA90

Benutzer
Mitglied seit
20. Jun 2012
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
Hallo Zusammen

ich würde gerne ein Lets Encrypt Zertifikat erstellen, leider bekommeich die Fehlermeldung das ich kontrollieren soll, ob IP Adresse , Reverse Proxy-Regel und Firewall-Einstellungen korrekt konfigurtiert sind.
Reverse-Proxy hab ich keine am laufen.
Port 80 & 443 sind im Unifi Controller freigegeben und die Firewall ist im Moment auf der NAS deaktiviert
DNS verweiss stimmt mit meiner externen IP überein.
Anbei noch ein paar Screenshots das die Ports freigegebn sind.

Hat noch jemadn eine Idee wo dran es liegen könnte?

Danke für euren Support
Bildschirmfoto 2021-11-07 um 13.27.47.pngBildschirmfoto 2021-11-07 um 13.27.13.pngBildschirmfoto 2021-11-07 um 13.26.50.png
 

ux0

Benutzer
Mitglied seit
12. Jul 2021
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Bei mir das selbe Problem: Auf der Diskstation läuft DSM 7.0. Sie ist von aussen über eine dedyn.io-Adresse erreichbar. Die externen Ports 80 und 443 des Routers (Speedport 724V) werden auf die internen Ports 5000 und 5001 der Diskstation weitergeleitet. Die Diskstation meldet sich von aussen auf den Ports 80 und 443 mit der Loginseite. https://letsdebug.net meint zur dedyn.io-Adresse der Diskstation: "All OK! No issues were found".

Ein Log habe ich nicht finden können innerhalb /var/log.

Danke für Eure Ideen und Hilfe im voraus!
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
@PetA90 ich kann in deinen Screenshots nicht erkennen auf welche Ports du jetzt durchleitest.
@ux0 Die Ports müssen auch intern auf 80 und 443 verweisen denn der Web Server der das LE Zertifikat erstellt ist nicht der selbe wie der, der das DSM zur Verfügung stellt.
 

PetA90

Benutzer
Mitglied seit
20. Jun 2012
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
Ich habe Port 80 und 443 freigegeben , bei der Synology Hilfe steht das man das via Terminal (Mac) testen kann/soll mit dem Befehl:
nc -zv domain.diskstation.me port
da kommt folgendes Ergebnis:
Connection to domain.diskstation.me port 80 [tcp/http] succeeded!
Domain hab ich natürlich mit meiner ersetzt, das gleiche kommt auch mit dem Port 443

Danke dir!
 

ux0

Benutzer
Mitglied seit
12. Jul 2021
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
@heavy Danke, das war die Info, die mir fehlte. Jetzt funktioniert das Erstellen des Let's Encrypt-Zertifikats.
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Hallo Community!

Ich kapere mal diesen Thread, weil die Überschrift genau mein Problem beschreibt.

Ich möchte mein Let's Encrypt Zertifikat verlängern und bekomme die gleiche Fehlermeldung.
In meiner FritzBox leite ich die Ports auf meine DS weiter: 1641574421489.png
In den DSM-Einstellungen steht folgendes:
1641574512933.png

Und meine Webstation ist von außen über Port 80 erreichbar:
http://pepperland.diskstation.me

Warum kommt dann immer diese Fehlermeldung, wenn ich das Zertifikat erneuern möchte?
Was übersehe ich?

1641574780370.png
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Interessante These.
Wo würde ich diese Firewall finden?
Die Diskstation hängt direkt an der FritzBox.
Die Ports sind - wie ich bereits schrieb - offen und erreichbar... :unsure:
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
systemsteuerung /Sicherheit/
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Du hast da eine komische 'Umleitung' drin. Die dynDNS wird direkt auf die photo Station und irgendein Album verbogen.
Wie hast du das eingerichtet?

Aufschlussreichere Fehlermeldung bekommt man nur via einloggen per SSH und Ausführung der Verlängerung über die Konsole mit debug/verbose Ausgabe.
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Du hast da eine komische 'Umleitung' drin. Die dynDNS wird direkt auf die photo Station und irgendein Album verbogen.
Wie hast du das eingerichtet?
Nix besonderes

Ich habe lediglich in der index.php den Pfad umgebogen.
Code:
<?php
header("Location: /photo/index.php#!Albums/album_48617573666c6f686d61726b74");
exit();
?>
Aufschlussreichere Fehlermeldung bekommt man nur via einloggen per SSH und Ausführung der Verlängerung über die Konsole mit debug/verbose Ausgabe.
Wie mache ich das?
(per SSH einloggen kann ich)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Einfach mal ohne diese index.php probieren. Könnte schon die Lösung sein, wenn die /well-known/acme-challenge/ oder wo er da schaut nicht erreichen kann.

Per ssh mit root Rechten ("sudo -i" nach dem Login und Passwort nochmal eingeben), z.B.
Code:
syno-letsencrypt renew-all -vv
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
Hallo,

vielen Dank für die Behandlung dieses Themas. Ich habe diesselbe Fehlermeldung bei der Zertifikatserneuerung, kriege das Problem aber leider mit den hier beschriebenen Schritten nicht in den Griff.
  • Fritzbox 7590 mit Fritz!OS 7.29 (aktuell)
  • Syno DS920+mit DSM 7.1-42661 Update 2 (aktuell)
  • Port 80 auf der Fritz!Box zur Syno weitergeleitet
  • Firewal auf Syno deaktiviert
  • keine index.html / index.php in /volume1/web
  • Beim Browser-Aufruf von http://meinedomain.de kommt der http-Fehler 403
Wenn ich nun unter Systemsteuerung>Sicherheit>Zertifikat bei dem Let's Encrypt-Zertifikat die Aktion "Zertifikat erneuern" starte, kommt die oben beschriebene Fehlermeldung.

Wenn ich den Befehl syno-letsencrypt renew-all -vv als root in SSH ausführe, kommt im Debug-Log zuletzt die Meldung

DEBUG: Failed to do challenge for mydomain.de with type http-01.​
DEBUG: close port 80.​
{"error":101,"file":"client_v2-base.cpp","msg":"XX.XX.XX.XX: Fetching http://mydomain.de/.well-known/acme-challenge/mUJ8t0Eel_GAa
qKsnCVyjVCdLgfasdfgdsdfsasdfk: Error getting validation data"}​

Was übersehe ich?

Vielen Dank für Hilfe!
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
Zusatzinfo:
Ich nutze auf der Syno verschiedene Dienste, die z.T. unter Docker und/oder mit Reverse Proxy laufen: Nextcloud, Dokuwiki, pi-hole usw.
Kann das mit dem Problem zsammenhängen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Für example.com sollte eine Dummy Seite oder ein anderer Dienst antworten.
Wenn du da den Fehler 403 weg bekommst geht vermutlich auch die Erneuerung.

Wo ist example.com auf der DS überall eingetragen, falls überhaupt?

Andere Reverse Proxies lauschen auf anderen Namen und haben mit dem Problem normal nichts zu tun.
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
Hallo Fusion,
vielen Dank für die schnelle Antwort.

Leider komme ich damit noch nicht weiter. Ich habe jetzt eine index.html in /volume1/web gelegt und bekomme keinen 403-er mehr. Dennoch kommt beim Update des Zertifikats bei beiden Methoden weiterhin die Fehlermeldung. Das Challenge funktioniert demnach nicht.

Ich weiß nicht, was Du mit example.com meinst, aber nach Deinen Worten dürfte das keine Rolle mehr spielen, nachdem ich den 403-er eliminiert habe.

Hast Du noch eine andere Idee, woran es haken könnte?

Schönen Gruß...
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
Ich habe noch eine weitere mögliche Fährte: ich bin bei Strato und schaffe es nicht, in der Kombination Strato/Syno/Let's Encrypt Wildcards für meine Subdomains einzurichten. Deshalb habe ich alle Subdomains (foo.mydomain.de, bar.mydomain.de usw.) einzeln bei Strato, bei DynDNS und im Zertifikat eingerichtet. Kann die Ursache meines Problems sein, dass nicht unter allen Subdomains der Port 80 erreichbar ist?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.797
Punkte für Reaktionen
3.755
Punkte
468
Probier's mal mit einem neuen Zertifikat und leite neben Port 80 auch 443 weiter.
Meines Wissens gibt es bei LE zwei Methoden um sicherzustellen, dass die Domain, deren Zertifikat verlängert werden soll, auch die ist, für die es ursprünglich beantragt wurde. Da gibt einmal den DNS-Challenge, da wird ein TXT-Record im DNS gesetzt/abfragt, und einmal den HTTP-Challenge, eine Art Cookie, der irgendwie im Web-Server abgelegt/abgefragt wird. Aber so genau nicht, auch, wie genau man die Verwendung der beiden Methoden steuern kann. Auf jeden Fall, dürfte im Falle eines HTTP-Challenge die Verlängerung nicht mehr funktionieren, wenn der Web-Server, auf den die Domain bei der Verlängerung zeigt, nicht mehr der ist, der es bei der Beantragung war.
 

KriKrack

Benutzer
Mitglied seit
08. Nov 2012
Beiträge
28
Punkte für Reaktionen
1
Punkte
3
Hallo Benares,
auch Dir vielen Dank für die rasche Antwort.
Ich bin jetzt unsicher, wie Du das mit dem neuen Zertifikat meinst. Ich habe bereits es aus der Systemsteuerung>Sicherheit>Zertifikat mit "Hinzufügen" und "Vorhandenes Zertifikat ersetzen" versucht, funktioniert auch nicht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat