DSM 6.x und darunter Let's encrypt Zertifikat ertsellen -wie?

[rednag]

Du hattest nur Port 443 für SSL offen?

 

[Nightlover]

nur Port 443 für SSL offen?

Genau, war selber überrascht und machte dann gleich eine Portkontrolle und hatte wirklich den Port 80 nicht und immerfort nicht offen.

Night

 

[HAL>]

Um auf die Anfangsfrage zurückzukommen:

Den Fehler hatte ich beim Erstellen des Let's Encrypt Zertifikates auch, obwohl Port 80 und 443 auf die Synology gelietet wurden.

Die Lösung war bei mir nicht den ausgegrauten Beispielen in den 3 Textfeldern für Domainname, Email und Betreff Alternativer Name zu folgen.
Dort steht:

Domainname: example.com
Email: admi(at)example.com
Betreff Alternativer Domainname: mail.example.com
​

Ich habe bei Domainname die komplette Domain mit Subdomain eingetragen. Und zusätzlich (was nicht jeder brauchen wird) für eine 2. Synology mit extra Subdomain im unteren Feld die 2. volle Domain mit Subdomain eingetragen.
Und es hat sofort funktioniert. - Zertifikat dann exprtiert und auf der 2. Synology imoprtiert. - Funktioniert super; ein Zertifikat für 2 Domains und 2 Synologys.

Lösung:

Domainname: subdomain.example.com
Email: admin(at)example.com
Betreff Alternativer Domainname: subdomain2.example.com
​

Vielleicht haben einige wie ich dem Beispiel gefolgt und im ersten Feld nur die Domain eingetragen. Was leider nicht ausreicht.

 

[TheGardner]

ginge es eigentlich - auf der eigenen DS - ein Zertifikat für eine andere Domain (nicht sub-Domain) zu verlangen, dieses dann zu exportieren und für eine Seite irgendwo im Netz (mit dieser Doamin) zu verwenden?

Voraussetzung natürlich, dass man Zugriff auf den dortigen Webserver hat um die einzelnen Zertifikat-Dateien unterzubringen!

 

[Fusion]

Mit den DSM Boardmitteln geht das denke ich nicht.
Prinzipiell geht es aber schon, wenn man z.B. die TXT records für eine Domain ändern kann oder Dateien dort auf dem Webserver unterbringen. Irgendwie muss ja sichergestellt sein, dass du Kontrolle über DNS/Domain hast, sonst wäre die Domain-Validierung ja für den Allerwertesten.

 

[Netranger]

Hallo Leute,

Auch ich habe es heute versucht das Zertifikat von Lets Encrypt zu aktivieren aber offensichtlich ist mir das nur teilweise gelungen.

Zu Beginn sah alles ganz easy aus aber nun sehe ich dass das zertifikat mit X3 da steht und wenn ich mit Google Chrome die Adresse aufrufe sagt mir dieser es gäbe kein Zertifikat für diese website.

Was ist da falsch gelaufen ider muss man da abwarten bis das Zertifikat verteilt wird?

 

[Fusion]

Wie rufst du denn die Adresse auf ?
sub.domain.de
oder
https://sub.domain.de
?
Nur letzeres geht, wenn keine automatische Umleitung gesetzt ist, oder nur Port 443 offen ist.

 

[rednag]

Und wenn für die Subdomain ein vHost angelegt wurde, mußt dafür noch das Zertifikat an diesen binden.

 

[Netranger]

natürlich rufe ich mit https://meineds.dynvpn.de auf und ich setze sogar noch die portnummer mit :xxxx dran

der browser meint das wäre keine vertrauenswürdige seite

 

[Fusion]

Richtig, hatte ich fast vergessen. Bei der Zertifkatsliste gibt es den Button "Konfigurieren" wo du diversen "Diensten" auf der DS ein Zertifikat zuordnen kannst. Eventuell ist dort dar Standard/Default Dienst noch auf das Syno-Zertifikat gestellt oder ähnliches. je nachdem wie "es gäbe kein Zertifikat für diese website" zu interpretieren ist.

P.S. Wollte dir nichts unterstellen, aber nur das was du schwarz auf weiß schreibst kann man als gegeben annehmen. "natürlich" ist relativ.

P.S.2. Wenn man die Fehlermeldung genau durchließt und sich auch anschaut, welches zertifikat da eventuell ausgeliefert wird, findet man sehr schnell den Grund (für "nicht vertrauenswürdige Seite".).

 

[Netranger]

okay das war der entscheidende hinweis.
ich hatte zwar einige dienste darauf gemappt allerdings den "Standard" nicht auf die Neue.

jetzt funst das wenigstens mal - vielen Dank erst mal.

Nun gehts weiter um den Port unsichtbar zu machen

 

[martiko]

Hallo zusammen,
ich schließe mich hier mal mit meiner Frage an:
Bisher hat das mit den Let's encrypt Zertifikaten sehr gut funktioniert, um den Port 80 nicht immer offen zu lassen, mache ich das Update selbstsändig (Port 80 öffnen, neue Zertifikat anfordern, Port wieder schließen).

Heute war es mal wieder so weit... und auf einmal bekomme ich die Fehlermeldung "Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM an und versuchen Sie es erneut".

Basierend auf dieser "detaillierten" Fehlermeldung habe ich echt keine Ahnung, was da jetzt schief läuft, ich habe denke ich schon alles geprüft (Port 80 offen etc.) aber auch bei mehrfachen Teste (inkl. mehrmaligem Reboot meiner DS215j) kommt immer wieder der gleiche Fehler...

Hat jemand Tipps für mich, wo das Problem liegt? Oder vor allem, wo und wie ich mehr Infos finde (gibt es da ein Log?) um den Fehler einzugrenzen?

 

[Noisekiller]

Hatte gestern das gleiche Problem, bei mir lag es an der Synology Firewall, da diese alle nicht deutschen IP Adressen standardmäßig blockiert (habe ich so konfiguriert). Also schau mal die Firewall Regeln der Synology an oder deaktiviere sie mal temporär.

 

[martiko]

Hatte gestern das gleiche Problem, bei mir lag es an der Synology Firewall, da diese alle nicht deutschen IP Adressen standardmäßig blockiert (habe ich so konfiguriert). Also schau mal die Firewall Regeln der Synology an oder deaktiviere sie mal temporär.

Danke für den sehr schnelle Tipp, aber das kann es bei mir nicht sein, da ich die Synology Firewall generell deaktiviert habe...

 

[Noisekiller]

Schau mal hier evtl. bringt dich das weiter. Port 443 muss auch offen sein:
http://www.synology-forum.de/showth...cht-ausstellen&p=717483&viewfull=1#post717483

 

[martiko]

Hi,
danke, ich weiß nicht, ob ich das vorher schon hatte, aber ich habe jetzt auf jeden Fall auch noch mal 443 (extern) auf 443 (Synology) weitergeleitet, funktioniert immer noch nicht.

Gibt es denn nicht die Möglichkeit, irgendwo genauer nachzulesen, wo welcher Fehler aufgetreten ist? So eine 0815-Fehlermeldung ist doch wirklich lächerlich und nicht hilfreich um einzugrenzen, wo das Problem liegt :-(

 

[Noisekiller]

Um die Firewall auszuschließen einfach mal alle Ports/Protokolle auf die DS kurzzeitig freigeben.

 

[Fusion]

Und wie machst du den port 80 auf und zu?
mit welchem Router?

Eventuell einfach mal die Freigabe löschen und neu anlegen.

 

[martiko]

Danke für Eure Hinweise... aber so langsam bin ich echt am verzweifeln...

Ich nutze die neue 7590 (vorher mit der 7490 lief es noch problemlos), aber die Einstellungen sind die selben.. Ich habe je eine Portweiterleitung von Port 80 / 443 (extern) auf Port 80 / 443 (intern), natürlich auf meine DS... ich habe die schon alle komplett gelöscht, neu angelegt... keine Änderung... Dann auch mal (natürlich nur ganz kurz) die Diskstation als "exposed host" deklariert, da hätte eigentlich nichts blockiert werden dürfen... Kein Erfolg.

Ich habe jetzt ehrlich gesagt ein bisschen die Vermutung, dass ich bei Let's Encrypt irgendwelche Grenzwerten bzgl. meiner Domain (bzw. E-Mail Adresse) erreicht habe, weil ich so viel rumprobiert habe und es deswegen nicht geht. Genau darum wollte ich ja gerne mal eine richtige Fehlermeldung sehen...So kann ich ja gar nicht beurteilen, ob nur irgendwelche Anfragen nicht durchgehen, oder ob Let's Encrypt meldet, dass für die Domain xyz schon zu viele Anfragen gestellt wurden...

 

[Fusion]

@martiko - du kannst mir per PN mal eine der Domains schicken, dann schaue ich mal von außen, ob mir was ausfällt.
Für mehr debug Info musst du auf die Konsole und die Befehle mit -v oder -vv (verbose Paramter) laufen lassen, dann kriegst du Seitenweise Text ausgespuckt.