"Let's Encrypt"-Zertifikat kann nicht erstellt werden

[Red-Dance]

Ich habe auf meiner Diskstation einen aus dem Internet erreichbaren Webserver mit statischem Inhalt eingerichtet, soweit funktioniert das gut, aber nicht über https, da noch kein Zertifikat vorhanden.

Unter "Connectivity->Security" konnte ich das vorhandene abgelaufene Zertifikat der Diskstation, problemlos erneuern. Aber für meine Homepage kann ich kein zusätzliches Zertifikat erstellen, der Versuch wird mit dem Fehler quittiert:

"Please check if your IP address, reverse proxy rules and firewall settings are correctly configured and try again"

Nähere Angaben meiner Konfiguration:
Unter "Create Certificate":
Domain Name: meinname.de (ist registriert bei United Domains mit Weiterleitung)
Email: meineemail.adresse@emailprovider.de
Subject Alternative Name: meinname.de

Die Diskstation DS414j steht hinter einem Fritz-Router 7530 mit einer festen (privaten) IP-Adresse und hat die notwendigen Freigaben für Port 80 und 443 für die Weiterleitung an die Diskstation. In der Diskstation läuft Apache (Webstation-Modul) mit dem eingerichteten HTML-Inhalt unter dem Document-Root-Verzeichnis. Der direkte Aufruf über die private IP-Adresse (also intern im LAN) geht problemlos über "http://192.168.178.20", und über https ebenfalls, allerdings als "unsichere Verbindung" (da noch kein Zertifikat).

Die Dynamische DNS läuft über MyFritz, so ist die öffentliche Adresse der Fritz!Box "https://zeichensalat.myfritz.net:47668" (hier uninteressant) und die öffentliche Adresse des Webservers auf der Diskstation ist dann
"http://zeichensalat.myfritz.net" (kann direkt aus dem Internet erreicht werden)
bzw.
"https://zeichensalat.myfritz.net" (erzeugt eine Warnung über unsichere Verbindung, es klappt jedoch auch)

Die Absicht ist natürlich, dass als Adresse "www.meinname.de" (keine zeichensalat-Adresse) benutzt wird. Der DNS-Registrar ist so konfiguriert, dass die Aufrufe von "http://www.meinname.de" zu "https://zeichensalat.myfritz.net" weitergeleitet werden. Dann gelingt der Aufruf als "unsichere Verbindung" ohne Warnung. Allerdings möchte ich sie als sichere Verbindung anbieten, wofür ich das Let's Encrypt-Zertifikat brauche, welches mir nicht gelingt zu erstellen.

Der Router hat ebenfalls kein eigenes Zertifikat (also wenn man die Router-GUI aus dem Internet aufruf), aber für diesen Zweck braucht er das nicht, denke ich. Er soll nur die Ports weiterleiten.

Offenbar kann der Webserver sowohl über Port 80 als auch über Port 443 erreicht werden. Die Fritz!Box selbst sowieso. Ich habe die Firewall auf der Diskstation gar nicht eingeschaltet. DSM ist aktuell. Warum gelingt das erstellen des "Let's Encrypt"-Zertifikats nicht?

In diesem Zusammenhang:
Wie kann ich die Log-Datei des Apache-Servers auf der Diskstation prüfen, wenn ich mich über ssh anmelde?
Kann ich dieses Zertifikat anderweitig holen und eigenhändig auf der Diskstation einrichten? (Aber natürlich so, dass es sich alle 3 Monate automatisch verlängert).

Vielen Dank!

 

[geimist]

Was heißt:

Der DNS-Registrar ist so konfiguriert, dass die Aufrufe von "http://www.meinname.de" zu "https://zeichensalat.myfritz.net" weitergeleitet werden.

In deinem Fall wäre wohl ein CNAME das Mittel der Wahl. Bei einer Weiterleitung wird die ursprüngliche Adresse ja nicht auf deiner IP aufgelöst. Könnte das das Problem sein?

 

[heavy]

Die Praxis hat gezeigt (und ist ja eigentlich auch der Sinn hinter den Zertifikaten) dass das erstellen eines LE Zertifikats nur funktioniert wenn hinter der Domain die externe IP steckt. Also wenigstens zum erstellen musst du bei deinem Registrar deine externe IP von Hand eintragen unter der DE domain.

 

[Red-Dance]

Was heißt:

In deinem Fall wäre wohl ein CNAME das Mittel der Wahl. Bei einer Weiterleitung wird die ursprüngliche Adresse ja nicht auf deiner IP aufgelöst. Könnte das das Problem sein?

Die genaue Art der Eintragung entzieht sich mir. Ich habe nur die Möglichkeit zu wählen, ob die ursprünglich eingegebene URL beim Client sichtbar bleibt (so dass die End-URL verborgen bleibt) - genau das habe ich ausgewählt. Alles Andere würde nur die Person verunsichern.

 

[Red-Dance]

Die Praxis hat gezeigt (und ist ja eigentlich auch der Sinn hinter den Zertifikaten) dass das erstellen eines LE Zertifikats nur funktioniert wenn hinter der Domain die externe IP steckt. Also wenigstens zum erstellen musst du bei deinem Registrar deine externe IP von Hand eintragen unter der DE domain.

Ich werde das ausprobieren; allerdings wäre das Zertifikat gleich bei der nächsten IP-Adress-Vergabe unbrauchbar.
Ich habe absichtlich falsche Domäne-Namen angegeben, dann kam die Meldung, die der Name nicht auflösbar sei. Die Domäne wird also richtig zu einer IP-Adresse aufgelöst.

Am liebsten würde ich entweder an der Fritz!Box oder an der Diskstation auf Shell-Ebene nachschauen. Leider ist der Shell-Zugang zu den Fritz!Boxen abgeschafft worden. Bei der Diskstation habe ich gestern bei einem schnellen Versuch nichts brauchbares gefunden; außerdem würde ich die log-Dateien vermutlich nicht lesen können, da der admin-Zugang dafür nicht ausreicht. Das root-Passwort der Diskstation kenne ich nicht, habe ich nie gebraucht bisher.

--
Jetzt habe ich aber den Hinweis richtig verstanden: Beim Registrar zwischenzeitlich zum Zweck der Erstellung der LE-Zertifikats die IP-Adresse eintragen, danach zurück korrigieren. Das klingt vielversprechend - ich werde berichten.
--
Habe das so gemacht - gleiches Ergebnis. Auch mit expliziter IP-Adresse als Weiterleitungs-Ziel beim Registrar hat es nicht funktioniert.

 

[Red-Dance]

Dann gelingt der Aufruf als "unsichere Verbindung" ohne Warnung.

Ich muss hier präzisieren:
Der Aufruf von "http://www.meinname.de" funktioniert sofort, neben der URL wird "unsicher" angezeigt.
Der Aufruf von "https://www.meinname.de" zeigt: "Webseite nicht erreichbar"! + "www.meinname.de hat die Verbindung abgelehnt"!

Das verstehe ich erstmal nicht. Es sieht so aus, als ob der Registrar nur Port 80 weiterleitet und Weiterleitungen von Port 443 ablehnt...

 

[synfor]

Ich habe nur die Möglichkeit zu wählen, ob die ursprünglich eingegebene URL beim Client sichtbar bleibt (so dass die End-URL verborgen bleibt) - genau das habe ich ausgewählt. Alles Andere würde nur die Person verunsichern.

Das hast du mit einem CNAME-Eintrag im DNS völlig automatisch und zuverlässig.

Die Domäne wird also richtig zu einer IP-Adresse aufgelöst.

Nur ist das bei deiner jetzigen Konfiguration nicht die öffentliche IP-Adresse deines NAS.

 

[heavy]

Habe das so gemacht - gleiches Ergebnis. Auch mit expliziter IP-Adresse als Weiterleitungs-Ziel beim Registrar hat es nicht funktioniert.

wie lange hast du gewartet? Das braucht seine Stunde bis alle DNS Server das übernommen haben.

 

[heavy]

Noch als Info ich weiß nicht ob es dir klar ist aber www ist eine Subdomain. Und muss dementsprechend auch im Zertifikat stehen. also spätestens bei alternativer name muss www.domain.test drin stehen.

 

[Red-Dance]

Nur ist das bei deiner jetzigen Konfiguration nicht die öffentliche IP-Adresse deines NAS.

Die Diskstation wird über die IP-Adresse des Routers erreicht, und das ist die öffentliche IP-Adresse (es gibt nur eine). Weder Registrar noch Client wissen, dass hinter der IP bei Port 80 nicht der Router steht, sondern die Diskstation.

 

[synfor]

Ich rede von der IP-Adresse, auf die deine Domain auflöst. Das ist nicht die, unter der dein NAS erreichbar ist, denn dann bräuchtest du keine Weiterleitung.

 

[Fusion]

http / 301 Umleitungen wie vermutlich dein http://example1 > https://example2 sollte man vermeiden.
RFC konforme sollten zwar funktionieren, aber...
https://community.letsencrypt.org/t/301-cross-domain-redirects-should-not-be-followed/90340/8

Probiers doch einfach mal mit dem von @geimist vorgechlagenen CNAME.
Also in den DNS Einstellungen bei Ionos für www.example.com ein CNAME auf abc.myfritz.net

Für den https-redirect sorgt man dann lieber auf der Syno selbst (je nachdem und/oder DSM / .htaccess / nginx Direktive).

 

[Stefan22Meyer]

Ich habe auf meiner Diskstation einen aus dem Internet erreichbaren Webserver mit statischem Inhalt eingerichtet, soweit funktioniert das gut, aber nicht über https, da noch kein Zertifikat vorhanden.

Unter "Connectivity->Security" konnte ich das vorhandene abgelaufene Zertifikat der Diskstation, problemlos erneuern. Aber für meine Homepage kann ich kein zusätzliches Zertifikat erstellen, der Versuch wird mit dem Fehler quittiert:

"Please check if your IP address, reverse proxy rules and firewall settings are correctly configured and try again"

Nähere Angaben meiner Konfiguration:
Unter "Create Certificate":
Domain Name: meinname.de (ist registriert bei United Domains mit Weiterleitung)
Email: meineemail.adresse@emailprovider.de
Subject Alternative Name: meinname.de

Die Diskstation DS414j steht hinter einem Fritz-Router 7530 mit einer festen (privaten) IP-Adresse und hat die notwendigen Freigaben für Port 80 und 443 für die Weiterleitung an die Diskstation. In der Diskstation läuft Apache (Webstation-Modul) mit dem eingerichteten HTML-Inhalt unter dem Document-Root-Verzeichnis. Der direkte Aufruf über die private IP-Adresse (also intern im LAN) geht problemlos über "http://192.168.178.20", und über https ebenfalls, allerdings als "unsichere Verbindung" (da noch kein Zertifikat).

Die Dynamische DNS läuft über MyFritz, so ist die öffentliche Adresse der Fritz!Box "https://zeichensalat.myfritz.net:47668" (hier uninteressant) und die öffentliche Adresse des Webservers auf der Diskstation ist dann
"http://zeichensalat.myfritz.net" (kann direkt aus dem Internet erreicht werden)
bzw.
"https://zeichensalat.myfritz.net" (erzeugt eine Warnung über unsichere Verbindung, es klappt jedoch auch)

Die Absicht ist natürlich, dass als Adresse "www.meinname.de" (keine zeichensalat-Adresse) benutzt wird. Der DNS-Registrar ist so konfiguriert, dass die Aufrufe von "http://www.meinname.de" zu "https://zeichensalat.myfritz.net" weitergeleitet werden. Dann gelingt der Aufruf als "unsichere Verbindung" ohne Warnung. Allerdings möchte ich sie als sichere Verbindung anbieten, wofür ich das Let's Encrypt-Zertifikat brauche, welches mir nicht gelingt zu erstellen.

Der Router hat ebenfalls kein eigenes Zertifikat (also wenn man die Router-GUI aus dem Internet aufruf), aber für diesen Zweck braucht er das nicht, denke ich. Er soll nur die Ports weiterleiten.

Offenbar kann der Webserver sowohl über Port 80 als auch über Port 443 erreicht werden. Die Fritz!Box selbst sowieso. Ich habe die Firewall auf der Diskstation gar nicht eingeschaltet. DSM ist aktuell. Warum gelingt das erstellen des "Let's Encrypt"-Zertifikats nicht?

In diesem Zusammenhang:
Wie kann ich die Log-Datei des Apache-Servers auf der Diskstation prüfen, wenn ich mich über ssh anmelde?
Kann ich dieses Zertifikat anderweitig holen und eigenhändig auf der Diskstation einrichten? (Aber natürlich so, dass es sich alle 3 Monate automatisch verlängert).

Vielen Dank!

Ich habe das Problem nur, wenn ich die Firewall der DS auf IP-Adressen aus Deutschland begrenze.
Einfach mal die Firewall ausschalten und probieren.
Anschließend kannst Du Dir wieder aktivieren.

Übrigens funktioniert dann aber die automatische Verlängerung des Zertifikats nicht.

Und falls ihr euch nun fragt, warum ich nur deutsche IP-Adressen zulasse; ich hatte vorher zig Anfragen aus den USA, Asien und Afrika.
Die sind nun geblockt.

 

[synfor]

Die Ausführungen des Threadstarters, ganz besonders die in #4, klingen aber nicht nach einer 301er Umleitung. Sondern nach einer Webseite bei seinem Registrar in der seine Seite auf dem NAS per IFrame eingebettet ist.

 

[Fusion]

Die Firewall ist überhaupt nicht aktiv, siehe vorletzter Absatz in deinem Vollzitat. @Stefan22Meyer

@synfor haste recht. Steht auch nix von Ionos, hab ich wohl mit einem anderen Thread verwürfelt.
Man weiß es nicht, Infos fehlen.

 

[Red-Dance]

Ich rede von der IP-Adresse, auf die deine Domain auflöst. Das ist nicht die, unter der dein NAS erreichbar ist, denn dann bräuchtest du keine Weiterleitung.

Ja, das stimmt. Ein nslookup von meinname.de führt zu einer Adresse des Registrars. Aus der Sicht vom Let's Encrypt-Server ist die Domäne "meinname.de" gültig, wenn auch mit falscher IP. Aber offenbar wird die Diskstation vom Zertifikat-Aussteller nicht erreicht, weil anscheinend genau diese IP-Adresse für den Aufbau der Verbindung mit der Diskstation genommen wird, und dann klappt es nicht mit der Erstellung des Zertifikats.

Das ist alles blöd, weil alle Dienste, die die IP-Adresse explizit für die Kommunikation benutzen, auf die Nase fallen (außer http). Es ist nämlich so, dass bei der Eintragung der gültigen öffentlichen IP-Adresse (die mein Router gerade vom Provider zugewiesen bekommen hat) als Ziel-Adresse für die Weiterleitung, keine Weiterleitung mehr funktioniert! Keine Ahnung, ob das so bei allen DNS-Stellen mit Weiterleitungsdienst so ist.

Im Ergebnis ist die vorgeschlagene Lösung, zwischenzeitlich die "richtige" IP-Adresse als Ziel-Adresse für die Weiterleitung einzutragen, nicht zielführend, weil dann keine Kommunikation aufgebaut werden kann, obwohl die IP-Adresse solange stimmt.

Übrigens das erklärt auch, warum Änderungen der Ziel-Adresse nicht abgewartet werden brauchen, damit sie in der DNS-Hierarchie verbreitet werden. Jede Änderung funktioniert sofort, habe ich festgestellt. Klar, diese Änderungen findet direkt beim Registrar statt und betrifft nicht die eigentliche Auflösung von "meinname.de" - diese bleibt immer gleich.

Ich überlege gerade, was ich sonst tun kann. Mir geht es nur darum, zu vermeiden, dass der Client irgendetwas mit "unsicher" zu sehen bekommt.

Für diejenigen, die es vielleicht interessiert:
Die MyFritz-Adresse des Routers (zeichensalat.myfritz.net) ist ebenfalls keine öffentliche Adresse, sondern eine im Bereich 100.100.x.x (also für NAT der Provider). Man geht sozusagen mehrmals um die Ecke (Client->United Domains->MyFritz-Server->mein Router->Diskstation).

Die Ausführungen des Threadstarters, ganz besonders die in #4, klingen aber nicht nach einer 301er Umleitung. Sondern nach einer Webseite bei seinem Registrar in der seine Seite auf dem NAS per IFrame eingebettet ist.

So denke ich auch, denn United Domains bietet Website-Hosting mit HTML-Baukasten an. Die von mir benutzte Weiterleitung wird dort so beschrieben:
"Frame-Weiterleitung (versteckte Weiterleitung)".

Ich habe bei diesen Versuchen die direkte Erreichbarkeit der Diskstation aus dem Internet erstmal ausgeschaltet. Denn wenn diese aktiv ist, werden intern in DSM noch Port-Umleitungen aktiviert. Mir ist momentan auch nicht ganz klar, wie die Erreichbarkeit über QuickConnect funktionieren soll, wenn ich als Ziel irgend einen von mir gewählten Diskstation-Namen nehme, wie "meineDiskstation", was dann ergibt: "http://QuickConnect.to/meineDiskstation". Das würde auf Port 80 der Routers kommen und zu meiner dort laufenden Webstation der Diskstation ankommen, also zu meiner selbst gebastelten Homepage... oder nicht?! Muss ich noch ausprobieren! Eigentlich sollte die Diskstation-GUI über Port 5000 bzw. 5001 erreicht werden, vielleicht muss ich hier weitere Port-Weiterleitungen im Router einrichten.

 

[Red-Dance]

Das würde auf Port 80 der Routers kommen und zu meiner dort laufenden Webstation der Diskstation ankommen, also zu meiner selbst gebastelten Homepage... oder nicht?! Muss ich noch ausprobieren!

OK, habe ich getan. Der Aufruf http://QuickConnect.to/meineDiskstation führt zu eine Art Schleife (der Browser spinnt!). Mein Bedenken war berechtigt.

Mir erschliesst sich nicht, wie eine WebStation mit dem WebServer, der die GUI bereitstellt, coexistieren kann.

 

[Red-Dance]

Mir erschliesst sich nicht, wie eine WebStation mit dem WebServer, der die GUI bereitstellt, coexistieren kann.

Aktueller Stand der Dinge:
QuickConnect-Mechanismus bleibt abgeschaltet, weil aus irgendeinem Grund der Browser die Krise kriegt, wenn man über diesen Weg versucht, sich mit der Diskstation zu verbinden. Das hat mal funktioniert, und damals lief keine WebStation auf der Synology (aber das ist lange her, anderer Router, anderer Provider etc.). Ich habe stattdessen weitere Port-Weiterleitungen für 5000 und 5001 in der Fritz!Box eingetragen.

Und wie erreiche ich dann die DSM GUI? Über http://www.meinname.de:5000 geht das nicht, da der Registrar von "meinname.de" nur die Weiterleitung von Web-Diensten zulässt. Also nehme ich die von MyFritz vergebene zeichensalat-Adresse: http://zeichensalat.myfritz.de:5000 und so funktioniert das tatsächlich.

Da die MyFritz-IP-Adresse in diesem besonderen NAT-Bereich liegt (100.100.x.x), frage ich mich, welche Einschränkungen sich daraus ergeben. Ich möchte nicht erleben, z.B. im Urlaub von meinem Heimnetz abgeschnitten zu sein.

Bei diesen Experimenten ist mir aufgefallen, dass meine "richtige" öffentliche IP-Adresse (die der Provider zugeteilt hat) nicht geeignet ist, meinen Router zu erreichen. Ich weiß nicht, was ist davon halten soll... Ist das eine vorauseilende Sicherheitsmaßnahme des Providers, um mich von Internet-Angriffen zu schützen oder was? Wie es scheint, werden keine eingehenden Verbindungen zugelassen. Ich fühle mich bevormundet. Ist das so üblich?

An dieser Stelle frage ich mich: Was muss ich tun, um Herr meiner Kommunikationswege zu werden?

 

[geimist]

Da die MyFritz-IP-Adresse in diesem besonderen NAT-Bereich liegt (100.100.x.x), frage ich mich, welche Einschränkungen sich daraus ergeben. Ich möchte nicht erleben, z.B. im Urlaub von meinem Heimnetz abgeschnitten zu sein.

https://avm.de/service/wissensdaten...ternetzugang-mit-IPv6-DS-Lite-genutzt-werden/