Let's Encrypt Zertifikatsprobleme seit DSM 7

[Impidimpi]

Hallo zusammen,

ich habe eine DS 216+II mit dem neuesten DSM. Vor DSM 7 hatte ich immer problemlos ein Zertifikat über Let's Encrypt, das sich per Aufgabe monatlich erneuert hat. Seit DSM 7 habe ich damit leider nur Probleme, sodass ich seitdem quasi mit dem Synology-Standardzertifikat auskomme. Das LE-Zertifikat soll meine DDNS-Domain zertifizieren, die auf eine Website verweist, die auf der DS über den Webserver läuft. Wenn ich nun ein neues LE-Zertifikat erstelle und es als "Standard" einstelle, passiert erstmal gar nichts. Meine Website ist anscheinend dann immer noch durch das "unsichere" Synology-Zertifikat zertifiziert. Wenn ich nun alle Anwendungen manuell auf das LE-Zertifikat umstelle und die DS neustarte, kommt direkt die Warnung, dass der Webserver nicht richtig läuft und jede Menge anderer Anwendungen auch nicht mehr. Das Problem lässt sich dann nur lösen, wenn ich wieder auf das Synology-Zertifikat gehe mit allen Anwendungen. Ports sind geöffnet. Das LE-Zertifikat wird mir im DSM auch "grün" also als gültig angezeigt. Aber ich kann es irgendwie nicht verwenden bzw. weiß nicht wie. Insgesamt hab ich drei Zertifikate da: das von Synology, das von LE und eins von QuickConnect.

Sagt Jemandem ein solches Problem etwas? Ich möchte "nur" die DDNS-Domain mit dem LE zertifizieren, der Rest darf ja über Synology laufen. Aber das kriege ich einfach nicht (mehr) hin seit DSM 7. Bisher hatte ich noch keine Zeit mich zu kümmert, es stört mich aber seit einer Weile schon.

Wenn ihr weitere Infos braucht, fragt gerne nach. Danke schon einmal!

Viele Grüße

 

[Benares]

"Standard" sagt erstmal nichts aus. Soweit ich weiß, gilt "Standard" nur für neue Apps.
Du musst schon in die Zertifikats-Einstellungen gehen und pro Dienst das richtige Zertifikat einstellen.
Meines Wissens entspricht der "normale" Web-Server auf der DS dem Dienst "Systemstandard". Läuft der Weg über den Reverse Proxy gibt es weitere Dienste.
Also nicht "alles" umstellen, nur das "richtige".

 

[Impidimpi]

Hallo Benares und vielen Dank für deine Antwort!

Wenn ich nur "Systemstandard" auswähle, kommt direkt die Mitteilung "einige Webseiten könnten aufgrund eines Webserverfehlers nicht mehr korrekt funktionieren". Das steht dann auch direkt als gelbe Warnung im Systemstandard-Widget. Wenn ich meine Website aufrufe, wird mir auch immer noch das "unsichere" Synology-Zertifikat angezeigt.

Wenn ich die DS dann neustarte funktioniert danach die Website nicht mehr, aber auch eine Menge anderer Dienste wie File Station, Drive Server, Photos usw. Ich vermute alles, was mit "Systemstandard" läuft. Das hatte ich schon mal irgendwann getestet und ist reproduzierbar. Es wird immer noch die gleiche Warnmeldung angezeigt wie vor dem Neustart.

Hast du / habt ihr eine Idee, woran das liegen könnte?

 

[Benares]

Hast du / habt ihr eine Idee, woran das liegen könnte?

Nö, leider nein.
Bei mir ist das selbst signierte Synology-Zertifikat das Standard-Zertifikat und auch der Dienst "Systemstandard" nutzt es.
Alle Web-Sites/Apps, die nach außen sichtbar sind/sein sollen, laufen über den Reverse Proxy, entweder implizit durch Eintrag einer Domain bei den Standard-Apps, oder explizit über Anmeldeportal, Erweitert, Reverse Proxy, und sind einem LE-Zertifikat zugeordnet.
Ich hab grad auch grad probiert "Systemstandard" mal auf ein LE-Zertifikat zu setzen, das funktioniert - ohne Fehlermeldung.

Schau dir mal Systemsteuerung, Sicherheit, Zertifikat genau an, klapp alle Zertifikate auf, und achte auf die Angabe bei "Für:" Ich denke, da passt bei dir etwas nicht.

 

[Impidimpi]

Hallo,
danke nochmals für deinen Input. Mir fällt nichts auf was da falsch sein sollte. Bei "Für" steht eben immer das, was ich manuell konfiguriert hab. Aber sobald ich Systemstandard mein LE-Zertifikat zuordne, gibts direkt o.g. Fehler. Hab das Zertifikat auch schon mehrmals neu angefordert in den letzten Monaten. Ich kann es mir nicht erklären. Dass ich etwas falsch mache ist natürlich möglich, aber vor DSM 7 hat es ja funktioniert.

Ich hab jetzt auch versucht es mit Reverse Proxy zu lösen. Meine Einstellungen da:

Quelle:
Protokoll: HTTPS
Hostname: meine DDNS
Port: der Ersatz-Port zu 443
HSTS nicht aktiviert
Ziel:
Protokoll: HTTPS
Hostname: die interne IP der DS
Port: 443

In der Router-Firewall wird 443 an den Ersatz-Port (extern) weitergeleitet.

Ich kann dann unter Zertifikate diese Domain (also die DDNS) nun dem LE-Zertifikat zuordnen, das allerdings auf die gleiche Domain läuft. Dann steht unter "Für: meineDDNS:Ersatz-Port". Es zeigt sich jedenfalls keine Änderung, es ist immer noch das Synology Zertifikat drin. Vielleicht hab ich hier aber auch noch ein Verständnisproblem und meine Einstellungen sind falsch.

 

[Benares]

Vielleicht liegt ja da das Problem: meineDDNS:443 auf IP:443

Ich leite nur 443 im Router 1:1 an die DS weiter. Dort wird wird dann Namens-basiert auf die anderen Apps und deren Hosts/Ports weiterverteilt, z.B.
ds415.example.com:443->localhost:5001 (Reverse Proxy)
file.example.com->localhost:7001 (implizit durch Eintrag der Domain file.example.com bei der Filestation)
ds212.example.com:443->ds412:5001 (Reverse Proxy)
photo.example.com->localhost:5443 (implizit durch Eintrag der Domain photo.example.com bei der Synology Photos)
usw, usw ...

Dafür braucht ma aber einen DDNS-Provider, der auch die Definition von CNAMEs (Aliasen) zulässt oder prinzipiell irgendwas.example.com auf die IP von example.com auflöst (Wildcard-DNS)