Lets Encrypt Zertifikat wird nicht mehr erneuert (& schlägt fehl)

[Whoisfoxmulder]

Spannend ist, dass die Zertifikatsverlängerung bei bestehenden Subdomains "yyy.xxx.ch" einwandfrei funktioniert. Nur ein komplett neues für die Hauptdomain zu lösen "xxx.ch" funktioniert nicht...dort kommt nach wie vor die Fehlermeldung.

 

[jus7incase]

OK und wo kommen diese Testpakete an? Bei der DS? deswegen dabei tcpdump auf der DS laufen lassen:
tcpdump -i eth0 tcp port 80 or tcp port 443

wenn da nix kommt, dann fehlt das forwarding auf dem router.

 

[jus7incase]

Spannend ist, dass die Zertifikatsverlängerung bei bestehenden Subdomains "yyy.xxx.ch" einwandfrei funktioniert. Nur ein komplett neues für die Hauptdomain zu lösen "xxx.ch" funktioniert nicht...dort kommt nach wie vor die Fehlermeldung.

wie lautet die Fehlermeldung?

 

[jus7incase]

ausserdem: DSM 6.2.3 hat nicht das neue R3 Zertifikat. Läuft die DS unter 6.2.4?

 

[Whoisfoxmulder]

OK und wo kommen diese Testpakete an? Bei der DS? deswegen dabei tcpdump auf der DS laufen lassen:
tcpdump -i eth0 tcp port 80 or tcp port 443
wenn da nix kommt, dann fehlt das forwarding auf dem router.

Prüfe ich heute Abend mal; grundsätzlich scheint es aber ja zu funktionieren - sonst würde die Verlängerung der anderen Subdomains ja ebenfalls fehlschlagen oder? Sind allesamt Lets Encrypt Zertifikate.
Via SSH kann ich den Befehl leider nicht ausführen (der Account ist admin-berechtigt)

wie lautet die Fehlermeldung?

ausserdem: DSM 6.2.3 hat nicht das neue R3 Zertifikat. Läuft die DS unter 6.2.4?

Die DS hat DSM 7.0-41890

 

[jus7incase]

du musst root sein (siehe Basics): sudo -i

 

[Whoisfoxmulder]

du musst root sein (siehe Basics): sudo -i

Ok, hat funktioniert. Als ich die Zertifikatsabfrage gestartet habe ging das Ding ab wie weiss ich was.

 

[jus7incase]

ich seh auf anhieb nur port 443, nicht 80. mach mal einen test wo auch auf jeden fall port 80 angesprochen wird. du hattest oben so einen scanner benutzt, der sollte es tun. und dann schau on da auch http, nicht nur https steht.

wenn du tcpdump mit -n benutzt sollten die namen weg sein und du kannst nach 80 grep'en.

 

[Whoisfoxmulder]

ich seh auf anhieb nur port 443, nicht 80. mach mal einen test wo auch auf jeden fall port 80 angesprochen wird. du hattest oben so einen scanner benutzt, der sollte es tun. und dann schau on da auch http, nicht nur https steht.

wenn du tcpdump mit -n benutzt sollten die namen weg sein und du kannst nach 80 grep'en.

alles klar - habe ich gemacht. Da geht nicht viel, aber wenn ich mit dem Tool die Abfrage starte wird im tcpdump auch was getrackt. Aber ich glaube das ist Zufall und nicht die Anfrage des Tools...

root@xfiles:~# tcpdump -n -i eth0 port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:45:28.781238 IP 98.44.67.79.80 > 192.168.0.21.49200: Flags [SE], seq 0, win 65453, length 0
13:45:28.781323 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:29.780698 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:31.780701 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:35.780700 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:43.780699 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0
13:45:59.780698 IP 192.168.0.21.49200 > 98.44.67.79.80: Flags [S.], seq 3176416477, ack 1, win 29200, options [mss 1460], length 0

 

[jus7incase]

Sehr gut. Also ist Deine DS auf Port 80 und 443 aus dem Internet erreichbar.
Leider habe ich jetzt auch keine Idee mehr warum du diese Fehlermeldung erhältst.
(Dass es bei subdomains funktioniert könnte daran liegen, dass ggf. keine Prüdung durchgeführt wird, ob die die Second Level Domain kontrollierst. Dann würde der test auf Port 80 wegfallen. Weiss ich nicht ob das so ist)

Sorry.

 

[Whoisfoxmulder]

Habe kurz mit dem Syno-Support gechattet:

Es gibt heute Änderungen bei Let´s Encrypt welche zu Probleme führen kann. Ich würde ihnen empfehlen es später noch einmal zu versuchen. Wenn das Probleme aber weiterhin auftritt würde ich Ihnen hier empfehlen unseren technischen Fachbereich zu kontaktieren, damit selbiger dieses Verhalten einmal genauer für Sie prüfen kann. Den technischen Fachbereich erreichen Sie über ein sogenanntes Support-Ticket. Selbiges erstellen Sie in Ihrem eingeloggten DSM im Hauptmenü unter dem Punkt ---> SupportCenter ---> Support kontaktieren. Alternativ können Sie dieses Support-Ticket auch über http://account.synology.com erstellen. Ein Techniker wird sich dann zeitnah mit Ihnen in Verbindung setzen. Die Techniker haben eventuell die Möglichkeit anhand von LogFiles (Systemprotokolle) die Ursache für dieses Verhalten festzustellen. Ebenfalls können unsere Techniker sich bei Notwendigkeit oder Bedarf per Remote-Zugriff auf Ihre NAS aufschalten.

 

[Whoisfoxmulder]

Ah und hier noch ein Link, welchen ich erhalten habe: https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190

 

[linuxdep]

Hi, lange nicht mehr hier gewesen, syno läuft halt super... bis jetzt.

Habe gerade eine mail von let's encrypt bekommen, Zertifikat könne nicht erneuert werden... ups, Alarm.

Na ja, per Hand erneuern gestartet, da kommt domain wäre nicht erreichbar...

• Namensauflösung per nslookup funktioniert, incl. der sub-domains
• IP der Fritz geändert, die IP wird auch geändert und bei dynDNS Anbieter towDNS übernommen und aufgelöst
• habe mal einen duckdns Account getestet, da geht das austellen eines Zertifikates.

Also denke ich mal, die Syno und der Zugriff auf funktionieren ja, denn das neue Zertifikat geht, dann habe ich ein neues Zertifikat mit meinem alten Namen ohne sub-domains anlegen wollen, aber auch da schläg der fehl.
Scheint ja irgend was mit meiner dyndns domain bei towdns zu tun haben, aber was nur?
Hat da einer auch das Problem? Lösungsansätze?

 

[jus7incase]

Hast Du eine aktuelle Version von DSM auf Deiner Syno? Falls sie sehr veraltet ist kann der Syno nicht mehr mit der LE CA sprechen da sich damals als ich das Problem hatte dort die Zertifikate geändert haben. Dann musst Du Deine DSM Version aktualisieren.

 

[linuxdep]

Ich habe die letzte Version vom DSM 6 drauf, geht ja, wenn du gelesen hättest prinzipiell.
Habe den Fehler gefunden, twodns scheint ein Problem zu haben, mit Heise DNS Tester schlägt fehl, dann kann natürlich kein Zertifikat erstellt werden.
Hoffe ich mal das es bald behoben wird... aber beim letzten Fehler bei twodns (die haben syno-ds.de Domains) hat es aber lange gedauert bis das Problem gefixt wurde... muss ich wohl oder übel doch mal auf einen anderen Anbieter umschwenken.

 

[BerndO67]

Hat da einer auch das Problem? Lösungsansätze?

ja hier - auch twodns - Domain ganz normal erreichbar - aber gleiche Fehlermeldung beim Versuch das Zertifikat zu erneuern

 

[EDvonSchleck]

Du musst schon ein bisschen mehr Infos geben welche DS, Software etc.
Meine Glaskugel ist gerade zur Reparatur.

 

[linuxdep]

Ja, habe auch eine Rückmeldung von towdns bekommen, die arbeiten dran... scheint wohl genau so ein großes Problem zu sein wie NS1 zu reparieren.

Also ich bin weg von towdns... auch wenn es kostenlos ist und war, da nutzt es aber nix.
Habe mal auf duckdns umgestellt und gleich noch alles über eine meiner Domains als CNAME umgeleitet... damit bin ich das Thema dyndns Anbieter los, wenn der jetzt zicken macht, austauschen in der Domain und gut ist es. Name bleibt und damit auch das Zertifikat.
Kann ich auch jedem towdns Nutzer empfehlen.

 

[BerndO67]

Ja, habe auch eine Rückmeldung von towdns bekommen, die arbeiten dran... scheint wohl genau so ein großes Problem zu sein wie NS1 zu reparieren.

Danke für die Rückmeldung - hab auch mal eine Mail an twoDNS geschrieben - mal schauen ob und was sie mir antworten

Dürfte ja wohl höchstwahrscheinlich kein DSM-Problem sein...

 

[linuxdep]

...

Dürfte ja wohl höchstwahrscheinlich kein DSM-Problem sein...

Nein, ist kein DSM Problem...
Sucht euch einen anderen dynDNS Anbieter mit dem es weniger Probleme gibt, ich setze z.Z. auf duckdns, weil der in vielen Projekten benutzt wird, in der Hoffnung auf ein langes problemloses DND-Leben.