DSM 6.x und darunter Let's Encrypt Zertifikat wird nicht mehr erneuert

[gnulp]

Durch die Aufforderung durch Let's Encrypt, mein Zertifikat für eine DNS-Domain zu erneuern, habe ich feststellen müssen, dass die automatische Zertifikatserneuerung nicht mehr funktioniert. Noch ist das auf der DS in einem virtuellen Host laufende Nextcloud per https zu erreichen
Seit einigen Tagen versuche ich bisher erfolglos, die Erneuerung manuell anzustoßen. Wenn ich die Zertifikatserneuerung über die Oberfläche starte erhalte ich folgende Fehlermeldung:

Der NC ist aber über die Domain immer zu erreichen; auf der Kommandozeile der DS ergibt ein Ping manchmal "ping: xxxxxx.yy-zz.de: Temporary failure in name resolution", ansonsten ttl's von ca.1 ms. Mit einem online Port Checker Tool auf die Domain ist Port 80 und 443 offen. DIe Tips mit Firewall und/oder IPv6 deaktieren zeigen auch keinen Effekt.
Die Zertifikatserneuerung über die Kommandozeile der DS angestoßen endet auch mit Fehlermeldungen (siehe Anhang slc.txt, nur mit -v, -vv bei Bedarf).
Der Versuch, über das GUI ein neues LE-Zertifikat zu erzeugen ender reproduzierbar mit einem Fehler:


In Moment bin ich mit meinen Latein am Ende, hoffe in der Community hat jemand einen wirklich hilfreichen Tip.

 

[Fusion]

Welcher dyndns Anbieter?
Firewall geo IP Sperre?
Zeitweise Fehler in der Namensauflösung sind unschön. Könnten für andere länger sein, als für dich.

 

[gnulp]

Anbieter ist Two-DNS; Host ist dort aktualisiert.

 

[Fusion]

Einmal die Suche bemühen.... Mehrfach die letzten Wochen. Der Anbieter hat Probleme.

z.B. https://www.synology-forum.de/threa...rneuerung-macht-probleme.123657/#post-1031855

 

[gnulp]

Danke Fusion,
den Thread kannte ich schon, aber da waren die neuesten Infos zu Two-DNS noch nicht drin
Falls die das nicht in den Griff kriegen und das Zertifikat ausläuft habe ich mir bei NoIP einen Host mit Trustcor Zertifikat geholt.
Das Problem mit TwoDNS erklärt aber leider nicht die Fehlermeldung beim Abrufen eines neuen LE-Zertifikats für eine andere DDNS-Domain; ein automatisch verlängertes LE-Zertifikat wie bisher würde ich vorziehen.
Port 80 und 443 sind geprüft zugänglich; Firewall und/oder IPv6 deaktivieren/aktivieren ändert nichts an der Fehlermeldung dass Let's Encrypt wegen nicht geööfnetem Port 80 den Domainname nicht überprüfen kann.
Bin ratlos.

 

[Fusion]

Wir können nur mit den Infos arbeiten die du anbringst.
Welche Konfiguration und Ergebnisse mit dem anderen dyndns Anbieter?

Eventuell wäre auch ein -vv Lauf mit Log noch interessant. Kenne leider gerade keine Methode für die Syno Implementierung (syno-letsencrypt) den Aufruf in der Konsole oder via Aufgabenplaner nur ein bestimmtes Zertifikat erneuern zu lassen. Wenn man es in der GUI macht weiß ich nicht wo das Log landet falls überhaupt eines erstellt wird.

Andernfalls bräuchte man mal in einer privaten Nachricht die realen Adressen, dass man sich das von außen anschauen kann.

Oder du nimmst mal den Synology eigenen Dienst mit synology.me oder ähnlich.
Dort kann die Ausstellung mit DNS-01 erfolgen. Es sind wildcards (*.xxx.synology.me) möglich und geöffnete Ports sind (weniger) relevant.

 

[gnulp]

Meine zwischenzeitliche weitere Forschung hat zwar nicht die Ursache gezeigt, warum die Neuzertifizierung über angeblich geschlossene Ports gestolpert ist, mit einer Domain von ddnss.de hat es dann auch mit aktiver Firewall geklappt. Two-DNS hat ja noch fast vier Tage Zeit, das Propagation Problen zu beheben
Da ich bei der NC-Instanz noch andere offene Baustellen habe, z.B. läüft cron nicht richtig, will ich hier jetzt nicht mehr Zeit investieren.

 

[EDvonSchleck]

Mit ddnss.de kannst du auch acme.sh nutzen und auf die Portöffnung verzichten. Auch das aktualisieren wird 1 Monat vor Ablauf vorgenommen.