Lets Encrypt Zertifikat erstellen

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Hallo,

bisher sind auf dem NAS 4 Lets Encrypt Zertifikate erfolgreich erstellt worden. Die nächste Aktualisierung steht erst im Juli an.

Nun sollte noch ein neues Lets Encrypt Zertifikat dazu kommen. Nach der Eingabe deder Angaben wird die Überprüfung der Daten durchgeführt... Nach eine Ewigkeit wird folgende Fehlermeldung angezeigt:

"LetsEncrypt kann diesen Domainnamen nicht überprüfen. Stellen Sie sicher, dass auf Ihrem Synology NAS und Router Port 80 für die Internet-Domainüberprüfung durch Lets Encrypt geöffnet ist. Jegliche sonstige Kommunikation mit Lets Encrypt läuft zum Schutz Ihres Synology NAS über HTTPS."

Im Router sind Port 80 und 443 auf die NAS weitergeleitet.

Gibt es irgendwo im NAS eine LOG-Datei mit weiteren Details zum Hergang des Fehlers?

Habe die Befürchtug, dass auch die nächste automatische Aktualisierung der Lets Encrypt Zertifikate fehl schlagen wird.

Hat jemand einen Tip?

Nachtrag:

In der Datei /var/log/messages wird eine Fehlermeldung protokolliert:

2023-05-21T08:51:12+02:00 Diskstation1621 syno-letsencrypt[12340]: client_v2-base.cpp:603 Failed to do new authorization, may retry with another type. [{"error":101,"file":"client_v2-base.cpp","msg":"217.195.149.46: Fetching http://test.domain.de/.well-known/acme-challenge/7OzUMQVqq0MjEjZ0bEzItroXEpwlfbqVdD1vXv2GcWo: Timeout during connect (likely firewall problem)"}

Die Anfrage läuft auf ein Timeout. Muss dafür erst ein WebServer installiert werden, der auf die neue Test-Domain reagiert?
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Punkt 1: DS-Firewall aktiv?
Punkt 2: Der Domainname muss auf deinen Router (IPv4) oder dein NAS (IPv6) zeigen.
Falls das Zertifikat für eine *.synology.me Domain gebraucht wird, brauchst du gar keine Portweiterleitungen machen
 

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Hallo,

die DS-Firewall ist nicht aktiv.

Der Domainname zeigt schon auf das NAS. Via Reverse Proxy wird auf den eigentlichen Webserver im LAN verwiesen.

Es handelt sich nicht um eine *.synology.me Domain.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Mach mal testweise den Reverse Proxy Eintrag aus
 

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Wenn Du mir mitteilen kannst, wie man den ReverseProxy deaktivieren kann, würde ich es gerne machen. Oder muss man dafür alle Einträge entfernen?
 
Zuletzt bearbeitet von einem Moderator:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Grundsätzlich musst du die Einträge löschen. Wenn du aber mit Subdomains arbeitest, dürfte es eigentlich kein Problem geben
 

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Auch nach dem Entfernen aller Reverse Proxy Einträge tritt der gleiche Fehler auf:
Der Domainname konnte nicht überprüft werden ...
client_v2-base.cpp:603 Failed to do new authorization, may retry with another type. [{"error":101,"file":"client_v2-base.cpp","msg":"000.000.000.000: Fetching http://test.domain.de/.well-known/acme-challenge/ucyWL93KTUUkg-Fee6l65qoYFn4JHqJFM_ljEgXuYlo: Timeout during connect (likely firewall problem)"}

Allerdings ist im Messages-Protokoll eine weiterer Eintrag:
syno-letsencrypt[4787]: client_v2-disk.cpp:117 Failed to open port

Welcher Port kann gemeint worden sein?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Du versuchst das Zertifikat aber schon über die Systemsteuerung zu erstellen, oder?
Der DDNS löst auch tatsächlich korrekt auf? DS-Lite ist nicht im Spiel?
 

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Ja, das Zertifikat wird über den Assistent in der Systemsteuerung erstellt:

1684869517026.png
Die Domain wird beim Zugriff über http://test.domain.de korrekt aufgelöst. Es wird auch die richtige Webseite angezeigt.
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Hm. Das habe ich so noch nicht gehört. Wie gesagt, bei mir klappt das ganze auch ohne Portweiterleitungen. Das klingt nach einem Ticket bei Synology
Failed to open port
Wenn er es über http versucht, ist wohl Port 80 gemeint.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Im DSM über das Support Center
 

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Habe nun ein Support Ticket eröffnet. Die Fachleute sind schon bei der Arbeit. Mal sehen, ob die was finden.
 

Bartl

Benutzer
Mitglied seit
05. Sep 2022
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Habe nun ein Support Ticket eröffnet. Die Fachleute sind schon bei der Arbeit. Mal sehen, ob die was finden.

Hallo!

Gibt es auf das Ticket bereits eine Antwort? Ich habe heute festgestellt, dass ich genau das gleiche Problem habe. Zertifikate lassen sich nicht mehr erstellen. Der Zugriff via Reverse Proxy funktioniert und die (Sub) Domain löst korrekt auf…
 

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Gibt es auf das Ticket bereits eine Antwort?
Bisher noch nicht. Das Ticket ist noch in Bearbeitung. Es schaut wohl so aus, als wenn mehrere Systeme von dem Problem betroffen sind.

Sobald eine Antwort auf das Problem eingegangen ist, werde ich es hier kommunizieren.
 
  • Like
Reaktionen: Bartl

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Die Fehlermeldung "Failed to open port" in der Log-Datei bezieht sich auf den Zugriff aus dem Internet. Der LetsEncrypt Server muss demnach aus einem Gebiet kommen, der in der Firewall geblockt wurde.

Zusätzlich wurden auch die ICMP Datenpakete freigegeben.

Es lag also nicht an Synology, wie ich irrtümlich angenommen habe.
 

Bartl

Benutzer
Mitglied seit
05. Sep 2022
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Danke für die Rückmeldung. Leider kann das mir nicht die Ursache sein, denn selbst mit ausgeschalteter Firewall geht‘s nicht.
 

Swp2000

Benutzer
Mitglied seit
29. Nov 2013
Beiträge
2.013
Punkte für Reaktionen
34
Punkte
94
Das Problem wurde gefunden und konnte beseitigt werden.

Ursache:
Im Router war eine Gebietsbeschränkung aktiv, mit der Datenpakete aus einigen Ländern abgeblockt werden. Erst nach der Deaktivierung dieser Einstellung konnten auch neue LetsEncrypt Zertifikate wieder erstellt werden. Eine Aktualisierung vorhandener Zertifikate hat hingegen auch mit aktiver Gebietsbeschränkung fehlerfrei funktioniert.

Die Fehlermeldung "Failed to open port" in der Log-Datei bezieht sich auf den Zugriff aus dem Internet. Der LetsEncrypt Server muss demnach aus einem Gebiet kommen, der in der Firewall geblockt wurde.

Zusätzlich wurden auch die ICMP Datenpakete freigegeben.

Es lag also nicht an Synology, wie ich irrtümlich angenommen habe.
Der Lets Encrypt Server steht in den USA. Hier könntest du den Rest wieder blockieren.
 
  • Like
Reaktionen: Ben2013

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Vielen Dank für den Hinweis. Die Gebietsbeschränkung hat eh nicht so richtig funktioniert. Damit sollten an erster Stelle BruteForce-Angriffe, die überwiegend aus asiatischen Ländern gekommen sind, abgeblockt werden.
 
Zuletzt bearbeitet von einem Moderator:

Ben2013

Benutzer
Mitglied seit
01. Nov 2021
Beiträge
114
Punkte für Reaktionen
11
Punkte
18
Danke für die Rückmeldung. Leider kann das mir nicht die Ursache sein, denn selbst mit ausgeschalteter Firewall geht‘s nicht.
Dann hilft in der Tat nur ein Ticket beim Synology Support weiter.

Alternativ kann man versuchen, einen simplen WebServer mit Port 80 zu verbinden und sehen, ob da die Anfragen überhaupt ankommen.

Der Webserver kann auch auf einem völlig anderem System testweise laufen; wenn es auch da nicht läuft, liegt die Ursache möglicherweise ausserhalb des eigenen Netzes.

Mir hat es geholfen, einen Online-Portscanner (z.B. https://dnschecker.org/port-scanner.php ) einzusetzen.
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat