DSM 6.x und darunter Let's encrypt Zertifikat ertsellen -wie?

[NASenbär]

Hallo,

ich bekomme das mit dem Let's encrypt Zertifikat nicht hin.
Habe im Router Ports 80 und 443 auf die Disk Station freigeschaltet.
Bin nach den Anleitungen vorgegangen.
Beim ersten Versuch hat das Zertifikat nicht funktioniert ("Hostname stimmt nicht überein")? Womit?
Seit dem zweiten Versuch bricht die Zertifikatsanforderung ab mit "Vorgang fehlgeschlagen"

myds.me DynDNS
DSM 6.0 7321 Update 6

Danke für Hilfe

 

[NASenbär]

Habe jetzt das gelesen:
http://www.synology-forum.de/showth...em-Sicherheitszertifikat&highlight=Zertifikat

Ist es so, daß Let's Encrypt für myds.me Adressen keine Zertifikate mehr vergibt?
Gilt die Beschränkung denn für alle *.myds.me Domänen?

 

[frankyst72]

da Let's Encrypt nur eine begrenzte Anzahl (wie hoch ist diese Grenze überhaupt?) vergibt, kannst Du davon ausgehen, dass die bei den üblichen DynDNS-Dienste bereits weg sind. Zumindest hat es bei mir in 2 bis 3 Tests nicht mehr funktioniert.

Aber für eine .de-Domain zahlt man nur 3-4 € pro Jahr.... das ist fast nichts, pro Monat.

 

[NASenbär]

Also ist es wohl so:
<Gilt die Beschränkung denn für alle *.myds.me Domänen?>
Ja?

Ich habe ja noch zwei Domains unabhängig von dem NAS. Die werden auch nicht wirklich genutzt. Nur wie diese Weiterleitung funktioniert, habe ich noch nicht verstanden.

Stimmt es, daß ich bei dem Provider, von dem ich diese Domains gemietet habe (www.meineDomain.de) einen "CNAME"-Eintrag editieren muß?
Und dort auf meine NAS-Domain *.myds.me weiterleiten muß?
Und dann im DSM bei Let's Encrypt ein Zertifikat für www.meineDomain.de beantragen muß?

Gibt es da nicht eine Anleitung für Dummies?

Vielen Dank.

 

[Fusion]

Domains.
Die Beschränkung gilt für dynDNS Dienste generell, also auch für sub.myds.me, so lange sie nicht auf einer White-List stehen. Wie hoch die Grenzen genau sind habe ich noch nirgends gelesen.
Das Zertifikat muss auch exakt auf diesen Namen sub.myds.me lauten unter dem die DS erreichbar ist.
synology.me sollte eigentlich auf der Whitelist stehen, manchmal muss man es ein paar Tage probieren (aber nur 1-2 Mal am Tag), weil auch die Anzahl pro Tag glaube noch begrenzt ist.

Das mit CNAME und auf welche Domain das Zertifikat ausgestellt werden muss hast du richtig erkannt. sub.meineDomain.tld CNAME auf sub.myds.me
Eine Anleitung für Dummies (die meisten sind ja nicht dumm sondern einfach faul, wie meiner einer) gibt es so nicht, weil es so viele Möglichkeiten wie Sand am Meer gibt je nachdem bei welchem Provider man ist (sieht dann alles wieder anders aus).
Youtube Videos von iDomiX sind da wohl manchmal hilfreich.
Ansonsten verrate uns doch mal, bei welchem Provider du deine Domains verwalten lässt? Eventuell hat dieser schon eine Anleitung in seiner Hilfe stehen.

 

[geimist]

… Die Beschränkung gilt für dynDNS Dienste generell, also auch für sub.myds.me, so lange sie nicht auf einer White-List stehen.
Wie hoch die Grenzen genau sind habe ich noch nirgends gelesen.…

Die Beschränkungen findet ihr hier: https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769
Und hier gibt's die Whitelist: https://publicsuffix.org/list/public_suffix_list.dat (da ist Synology übrigens auch schon drin ).

 

[Fusion]

@geimist - danke fürs rausklauben. Klartext heißt das aber, dass pro Domain wie myds.me oder synology.me die Zertifikatzahl auf 20 neue Hostnames (host.myds.me z.B.) pro Woche begrenzt ist, global. Das ist schon recht überschaubar, auch wenn ich nicht weiß wie viele Synologies da draußen so rumlaufen. Aber da hat Synology so erstmal wenig Einfluß drauf (außer, dass sie LE bei den Randbedingungen für meinen Geschmack, zumindest für alle Leute ohne eigene Domain, zu früh implementiert haben bzw. falsche Hoffnungen geweckt haben. Aber da läßt sich drüber streiten. Dass die Möglichkeit inzwischen da ist finde ich super. Habe auch eigene Domains und die händische Erneuerung jedes Jahr z.B. bei StartSSL ist auf Dauer lästig, wenn es mal mehr als eine Handvoll Zertifikate sind)

 

[NASenbär]

Danke für die Antworten.

verrate uns doch mal, bei welchem Provider du deine Domains verwalten lässt?

Host Europe.

Das mit der Whitelist verstehe ich nicht so richtig.
myds.me steht drauf. Natürlich nicht meine(sub?)domain.myds.me
Heisst das, ich darf ein Zertifikat bekommen oder nicht?

Habe es eben nochmal probiert: "Vorgang fehlgeschlagen".

Entschuldigt meine Ahnungslosigkeit.

Grüße

 

[Fusion]

Ja, darfst du. Die Antwort steht schon oben. Die Whitelist sorgt erstmal dafür, dass die von Synology benutzten Domains überhaupt zugelassen sind.
Dann gibt es noch die Rate Limits / Beschränkungen, was die Anzahl der Domains/Hosts angeht. Auch diese sind oben schon erläutert und verlinkt.

Wenn man also nicht auf den Zufall warten will, bis man mal einen freien Slot erwischt muß man auf eine eigene Domain gehen und per CNAME auf die DDNS verweisen.
Bei Host Europe z.B.
https://faq.hosteurope.de/?cpid=12785
http://sg.utez.de/2013/02/bei-hosteurope-registrierte-domain-fuer-sein-blog-nutzen.html

 

[Anonymized]

Hallo liebes Forum.
Ich bin seit knapp einer Woche stolzer Besitzer einer Synology DS216j.
Davor hatte ich noch keine.
Auch ich möchte meine DS von außen erreichbar machen.
Ursprünglich wollte ich auch eine Domain von Synology registrieren,
aber da man für ein SSL Zertifikat bei StartCom auch der Besitzer der Domain sein muss
habe ich mir bei Strato eine .com Domain angemietet.
Nun habe ich festgestellt,
dass eine Subdomain zusätzlich 3,90€ im Monat kostet.
Soweit ich es aber verstanden habe benötigt man für ein Zertifikat von StartCom auch eine Subdomain.
Nun bin ich auf Let's Encrypt gestoßen.
Ich finde es echt Klasse,
dass Synology diese Funktion in DSM Intergriert hat.
Jetzt habe ich hier schon gelesen,
dass es bei Let's Encrypt eine Beschränkung gibt.
Könnte ich hier Probleme mit meiner Strato Domain ohne Subdomain bekommen?

Ich Danke euch schon jetzt für eure Antworten.

 

[rednag]

Hallo Ringo_Schade

Willkommen im Forum.
Herzlichen Glückwunsch zu Deiner neuen Errungenschaft.
Ich stecke zwar nicht so tief in der Materie, denke aber nicht. daß es Probleme geben sollte.
Du kannst das LE-Zertifikat auch für Deine Domain ausstellen.

 

[Anonymized]

Vielen Dank für die schnelle Antwort.
Ich werde mich mal damit auseinandersetzten und mich ggf. nochmal melden.
Kann aber unter Umständen ein bisschen dauern.

 

[meidon]

Das habe ich gestern selbst gemacht. Ich hatte ein paar Schwierigkeiten mit den Ports, aber dann lief das Zertifikat durch.

 

[rednag]

Alles gut. Danke für die Rückmeldung. Port 80 muß natürlich geöffnet sein. Auch bei der Verlängerung (wenn es denn funktioniert...).

 

[goetz]

Hallo,
die automatische Verlängerung funktioniert, vorausgesetzt Port 80 ist offen. Für diejenigen die Port 80 dicht haben folgende Prozedur
Port 80 öffenen
per Konsole als root folgendes absetzen
syno-letsencrypt renew-all
Port 80 schließen.

Gruß Götz

 

[rednag]

Hallo @goetz,

der Tipp ist Gold wert. Damit kann ich endlich Port 80 im Router dichtmachen. Läuft alles über SSL 443.
Funktioniert das auch, wenn das Zertifikat bereits abgelaufen ist?

 

[goetz]

Hallo,
weiß ich nicht, Zertifikat war noch 15 Tage gültig.

Gruß Götz

 

[rednag]

Ich werde das mal testen. Danke für den prima Tipp.

 

[gente]

...der Befehl syno-letsencrypt renew-all verlängert mein Zertifikat leider nicht, Fehler kommt aber auch keiner.
Port 80/443 geöffnet.
Mein Script ist aber noch 40 Tage gültig (hab mal was von 30 Tagen gelesen, aber auch das es manche monatlich erneuern).

LG Thomas

 

[Nightlover]

Hallo Zusammen,

Also ich hatte wegen den Einträgen bereits Angst was mit meinem Let's Encrypt passiert. Denn letzte Woche war das Datum nicht mehr grün sondern orange und würde am 13.07.2016 ablaufen. War dann gestern morgen überrascht als mich der Browser beim Aufrufen des NAS auf ein neues Zertifikat aufmerksam machte. Mit Interesse schaute ich unter Sicherheit was denn mit dem Zertifikat passiert ist. O Wunder, obwohl ich bei mir nur den 443 Port offen habe wurde das Zertifikat erneuert ohne das ich was unternehmen musste. Da muss ich wohl mehr Glück als andere gehabt haben.

Night