DSM 6.x und darunter Let's Encrypt Zertifikat: Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM

[Fettgriffel]

Es hat tatsächlich funktioniert, allerdings auch erst nach mehrmaligen Anläufen. Ich habe dann als Hauptdomain meine Subdomain angegeben und die alternativen Domains leer gelassen. Das Prinzip stört mich nicht großartig, wenn es über diesen Weg funktioniert. Ich würde eben nur gerne wissen, wieso es quasi launenabhängig ist, OB es funktioniert und ich keinen bestimmten Weg einhalten kann, der reibungslos läuft.

Mit der Konsole habe ich mich noch nicht beschäftigt, ich ging bisher immer den Weg über den Assistenten. Gibt es eventuell ein Tutorial dazu?

 

[Fusion]

Da es viele Leute gibt bei denen es zu funktionieren scheint, würde ich die überwiegende Zahl der Probleme auf dem Weg dazwischen vermuten.
Also z.B. DSM Einstellungen (webserver config), Art und technische Umsetzung des Internetanschlusses, Provider(-besonderheiten), Domain und DNS Einstellungen,...
Die Rate-Limits ( https://letsencrypt.org/docs/rate-limits/ ) dürften die wenigsten reißen, außer mit wildem probieren.
Ob Synology hier noch gewollte oder ungewollte Einschränkungen in seiner Implementierung hat steht leider auch nicht in der Hilfe
https://www.synology.com/en-global/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate

Zudem kann man unter https://crt.sh/ suchen, ob vielleicht ein Zertifikat für die eigene Domain ausgestellt wurde, aber Syno einen Bug mit abholen/aktualisieren hat.

Tutorial für die Konsole oder für lets encrypt?
Habe nichts griffbereit
Infos hier im Forum oder Wiki. Suche nach SSH + root vermutlich

Kann an Portumleitungen, web-redirects und vielem mehr liegen, z.B.
https://community.letsencrypt.org/t/impossible-to-renew-certificate-for-synology-nas/26721/26

Nur wenn eben der gesamte Rahmen gegeben ist wird es auf dem einen vom Assi vorgegebenen Weg funktionieren.

Zugegeben ist die Situation aktuell nicht "schön".

 

[Fettgriffel]

Hallo zusammen,

es gibt nach wie vor massive Probleme und Störungen bei der Ausstellung diverser LE-Zertifikate. Alle 3 bis 6 Monate kommt es zu nicht erneuerten Zertifikaten, und ich begebe mich wieder auf die enorm zeitintensive Suche nach der Nadel im Heuhaufen. Eine Änderung, die sich seit den letzten Störungen ergeben hat: Der Internetanschluss wurde von Unitymedia auf 1und1 geswitched, ergo fällt das Kabelmodem weg und DSL geht direkt über die FB.

Nachdem in den letzten Fällen das Ausstellen eines Certs lediglich für eine einzelne Domain ohne alternative Namen funktioniert hat, schlägt das jetzt auch wieder fehl. Ich kann ein abgelaufenes Cert weder erneuern noch ein neues von LE hinzufügen.

- 80 und 443 weisen auf die DS und sind auch definitiv aus dem WAN erreichbar
- Fritzbox und Syno wurden mehrmals neu gestartet
- Testweise den IPv6-Support in den beiden DS-Ports aktiviert
- dies wieder deaktiviert sowie auch in der FritzBox den aktuell aktivierten IPv6-Support deaktiviert, läuft demnach nur noch über IPv4
- DS-Firewall deaktiviert
- Renewal des abgelaufenen Certs probiert (aktuell mit einigen alternativen Namen) -> Ich soll mich erneut im DSM anmelden (völliger Schwachsinn, das ändert ja nicht das Geringste)
- Ausstellung eines neuen Certs mit nur der Hauptdomain -> selbe Fehlermeldung

Aktuell lässt sich absolut kein einziges Cert über LE ausstellen, weder ein einzelnes noch eines mit alternativen Namen. Wie die Vergangenheit aber auch zeigt, hängt dies nicht unbedingt von eigenen technischen Ursachen ab, sondern kann auch durch das Umfallen eines Sacks mit Reis in China beeinfusst sein. Ergo ist man völlig machtlos gegenüber dieser desolaten Umsetzung von Syno bzw. die Funktionalität von LE.

Mir ist nicht bekannt, ob die DS in regelmäßigen Abständen selbständig versucht, das Cert zu erneuern. Dazu gibt es ja ebenso keinerlei Logeinträge, Meldungen, Emails etc. Sofern dem nicht so ist, gäb es eine Möglichkeit, eine geplante Aufgabe zu erstellen, die im 10-Sekundentakt versucht, das Cert zu erneuern? Eventuell ist hierbei das massenhafte Zuballern irgendwann erfolgreich - einen anderen Weg gibt es nicht mehr.

Die Thematik ist so unsäglich nervig - und je mehr Tage ich mit diesem Schwachsinn verschwende, desto eher stellt sich mir die Frage, ob sich der Aufwand überhaupt lohnt. Klar - kostenlos (LE) ist meist Müll, aber an Synology zahlt man eben doch, und nicht zu knapp - auch für die Entwicklung und vor allem Bug-Fixing. Ist nur die Frage, an welchem Anbieter es jetzt hängt. Die Alternative über ein Bezahl-Cert ist für mich auch keine, da Comodo übernommen und deutlich teurer wurde.

Die Utopie von LE eines zunehmend erhöhten Verschlüsselungsgrades kann getrost in die Tonne gekloppt werden - so funktioniert das definitiv nicht.

Tipps an einen verzweifelten Admin sind gerne gesehen, gerne auch Script-Hinweise, wie es über die Shell funktioniert oder man sich manuell per CSR bei LE ein Cert holt und in der DS importiert.

Danke für's Lesen!


FG

 

[Fettgriffel]

WOW, es ist unglaublich !! Kaum habe ich mein Pampflet hier verfasst, betätigte ich nochmal den Button im immer noch offenen Fenster der DS für das Renewal - und siehe da: Es hat funktioniert! Demnach ist es 100%ig eine immer noch existiertende Störung bei LE, scheinbar gibt es nur sehr enge Zeitslots für eine Anfrage, die man eben zufällig erwischen muss. Dann ist es umso interessanter, die 3-monatigen Anfragen automatisiert bis ins Unendliche wiederholen zu lassen, bis es eben irgendwann mal zufällig funktioniert. Wenn hierzu jemand eine Idee hat, nehme ich sie sehr gerne auf!

FG

 

[Kurt-oe1kyw]

Mir ist nicht bekannt, ob die DS in regelmäßigen Abständen selbständig versucht, das Cert zu erneuern.

Also ich kann dir nur meine Erfahrungen weitergeben und da ist es jetzt seit vielen Monaten so, dass die autom. Zertifitsverlängerung von LE bei mir einwandfrei funktioniert.
Ich mache gar nichts, das Einzige was ich bisher beobachten konnte waren 2 Dinge.
Erstens, vor Ablauf vom Zertifikat wird die Datumsanzeige bei mir Orange dargestellt. So lange die Anzeige grün ist, kann ich auch manuell kein Zertifikat erneuern. Das geht erst wenn das Datum Orange ist, zumindest bei mir.



Sobald das Datum Orange dargestellt wird, kann ich manuell das Zertifikat verlängern durch: DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Zertifikat" > Mauszeiger auf die entsprechende LE Zertifikatseintragszeile stellen, rechte Maustaste drücken > letzten Menüpunkt aus dem sich öffnenden Pulldown-Menü auswählen "Zertifikat erneuern" > neues Fenster > Übernehmen.
HIER an dieser Stelle hast du Recht, da habe ich das letzte Mal im Herbst eine falsche Fehlermeldung erhalten! So wie auch von dir beobachtet, da steht dann fälschlicher Weise "Vorgang fehlgeschlagen", ABER im Protokoll wird dir sofort das erfolgreiche Verlängern des Zertifikats zurückgemeldet, siehe roter Rahmen im Bild:



Ich gehe also davon aus, dass der Text von Synology einfach nur falsch ist. Die Anmeldung im DSM ist deswegen notwendig, eben weil das neue Zertifikat erfolgreich verlängert wurde. Du hast dadurch einen neuen Fingerprint erhalten!
Kann man schön beobachten, da dann zB in Hyperbackup das nächste Backup nicht funktioniert, da du zuzerst den neuen Fingerprint akzeptieren musst und in den Einstellungen von der Hyperbackup - Aufgabe bestätigen musst.



Du siehst auch nach ein paar Augenblicken dass sich die Anzeige vom Datum um 3 Monate verlängert hat und daher wieder grün angezeigt wird.
Wenn du jetzt an dieser Stelle noch mal versuchst, manuell zu verlängern dann kommt korrekterweise die Fehlermeldung "Vorgang fehlgeschlagen"! Deine Anzeige ist ja bereits grün und das Datum um 3 Monate verlängert. Du kannst das Zertifikat nicht "noch weiter" verlängern, daher die Fehlermeldung:



Die Fehlermeldung oben ist korrekt, da ich versucht hatte das Zertifikat zu verlängern, obwohl es noch gültig war und die Datumsanzeige "grün" war.
Seit Juni 2018 habe ich jetzt dann gar nichts mehr gemacht und nur von Zeit zu Zeit das Datum kontrolliert, bzw. wenn ich in den Protokollen gesehen hatte das Hypberbackup fehlgeschlagen war, wusste ich, ah ok das automatische Verlängern wurde wieder durchgeführt und ich habe das verlängerte Zertifikat mit dem neuen Fingerprint in der Hyperbackupaufgabe autorisiert.

Ich würde also nur Sicherstellen, dass der Port 443 (80) auf die DS frei ist und dann sollte auch das autom. verlängern vom Zertifikat funktionieren, im Moment kann ich es nicht Testen, da mein Zertifikat bereits autom erneuert wurde und bis Anfang März 2019 gültig ist:



Das Datum ist grün und in dieser Zeit ist auch ein manuelles verlängern nicht möglich, erst wenn irgendwann im Februar 2019 das Datum auf "orange" umspringt, könnte ich die manuelle Verlängerung durchführen.
Das automatische Verlängern wird bei mir meist erst 1-2 Tage vor dem Ablauf vom Zertifikat autom durchgeführt.

 

[Fettgriffel]

Hallo Kurt,

zunächst vielen Dank für die sehr detaillierte Darstellung und Beschreibung! In der Tat habe ich nicht direkt die Protokolleinträge geprüft, allerdings meine ich, immer wieder gesehen zu haben, dass das Cert nach wie vor rot und damit abgelaufen ist - auch nach diversen Neuanmeldungen. Ich werde das aber beim nächsten Mal noch genau prüfen, vielleicht ist es ja wirklich das selbe Phänomen.

Beide Ports sind dauerhaft auf die DS offen, daran sollte es nicht liegen. Der manuelle Aufruf der Standad-Website funkitoniert auch immer problemlos über 80 & 443.

Werde mich melden!



FG

 

[NSFH]

Mir ging diese Zertifikatsfummelei alle 2 Monate so auf den Keks, dass ich ein 2 Jahre gültiges Cert für 22€gekauft habe (Comodo SSL) und nun ist Ruhe. Das Einbinden ist in Sekunden passiert. Vor allem wenn man die Synos im Firmenumfeld einsetzt ist LE dann keine Alternative mehr.

 

[mördock]

@NSFH: Im Firmenumfeld würde ich mir das auch nicht antun, aber privat ist es keine Fummelei. Ich nutze LE schon recht lange und inzwischen hat ist der 3-monatige Arbeitsablauf in 3 Minuten erledigt. Auch die einzelnen Benutzer haben inzwischen verstanden was sie zu tun haben wenn meine vorgefertigte E-Mail kommt in der steht das sie mal wieder das neue Zertifikat innerhalb der Apps anerkennen müssen.