Let's Encypt - update

bernd_

Benutzer
Mitglied seit
29. Apr 2014
Beiträge
730
Punkte für Reaktionen
7
Punkte
38
Hallo Forum,

Meldung:
Your certificate (or certificates) for the names listed below will expire in 19 days (on 2023-09-29). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.

Beim Versuch des "Renewals" erhalte ich aber die Hinweismeldung:
Verbindung zu LetsEncrypt fehlgeschlagen, bitte stellen sie sicher dauss auf Ihrer Diskstaition und ihrem Router Port 80 für die Domainüberprüfung
geöffnet ist. Jegliche sonstige Netzwerkommuniktaion mit LetsEncrypt erfolgt zm Schutz ihrer Diskstation nur über https.

In der Fritzbox ist port 80/443 für die Fritzbox allerdings hinterlegt.

Danke für Tips!
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Hallo Bernd, ist die Firewall der DS in Betrieb?
 
  • Like
Reaktionen: Benie

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.501
Punkte für Reaktionen
3.519
Punkte
344
Firewall ist richtig eingestellt?
Handelt es sich um eime Synology DNS oder Fremd DNS?

Für eine Synology DNS muß kein Port geöffnet werden, die Verlängerung ist da auch so möglich.

Ansonsten musst Du die Ports 80/443 für die DS öffnen.
 
  • Like
Reaktionen: plang.pl

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.798
Punkte für Reaktionen
3.755
Punkte
468
Wenn das Zertifikat über die DSM-Oberfläche erstellt wurde, brauchst du für die Dauer der Verlängerung zumindest temporär eine Portweiterleitung von 80/443 auf die DS für den http-Challenge.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.798
Punkte für Reaktionen
3.755
Punkte
468
Ja, aber nur synology.me geht ohne. acme.sh geht auch ohne, da die mit DNS-Challenge (DNS-TXT-Records) arbeiten um den Besitz der Domain zu verifizieren.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.798
Punkte für Reaktionen
3.755
Punkte
468
Wieso das? Nein, TCP reicht.
 
  • Like
Reaktionen: geimist

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Seit wann das denn? ich habe immer nur TCP freigegeben...
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
155
Punkte für Reaktionen
22
Punkte
18
Bei mit funktioniert es nur so, habe selfhost und freedns und subdomains.

Bei selfhost was ja auch eine Wildzertifikat ist funktioniert nicht einmal "acme.sh"
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
155
Punkte für Reaktionen
22
Punkte
18
ja kenne ich,leider schon probiert. Funktioniert bei Selfhost nicht, auch wenn der Selfhost bei denen in der Liste aufgenommen ist.

Macht aber auch nichts, per Hand lassen sich auch jede Menge Zertifikate erneuern.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.798
Punkte für Reaktionen
3.755
Punkte
468
Ich denke, du solltest einfach mal hier lesen.
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
155
Punkte für Reaktionen
22
Punkte
18
Das die DNS API von selhost da steht, weiß ich ja. Habe nur vergessen euch mitzuteilen das es free Domains von selfhost sind, die nicht
über "acme.sh" gehen.

https://github.com/acmesh-official/acme.sh/wiki/dnsapi2#dns_selfhost


Das tolle an der Sache ist, das eine Freedomain auch ein Wildzertifikat ist, habe ich zufällig mal festgestellt.
 
Zuletzt bearbeitet:

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.501
Punkte für Reaktionen
3.519
Punkte
344
Bei der Fritzbox mußt du aber auch Port 80/443 als UDP zusätzlich zum TCP Eintrag definieren.
Also ich habe auch eine selfhost DynDNS (auch als kostenlose freedomain) und brauche das nicht.
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
155
Punkte für Reaktionen
22
Punkte
18
Ich habe es mal in einen Fachbericht gelesen, seit dem mache ich es einfach. Da ich ja etliche Domains in einen Schwung gleichzeitig erneuere.
Habe keinen Bock auf irgendwelche störungen, danach wird der Port 80 sofort geschlossen.

Der ganze Aufwand dauert selbst für 10 Domains und Port öffnen in der Fritz 40 Sec.
 

bernd_

Benutzer
Mitglied seit
29. Apr 2014
Beiträge
730
Punkte für Reaktionen
7
Punkte
38
Die Portweiterleitung habe ich ja.. auf die DS. Beide Ports. Daher ja meine Frage. Was könnte ich noch prüfen?
 

bernd_

Benutzer
Mitglied seit
29. Apr 2014
Beiträge
730
Punkte für Reaktionen
7
Punkte
38
Hallo zusammen,

Jetzt habe ich nicht aufgepasst und der Zeitpunkt zum "Erneuern" ist vorüber und das Zertifikat ist gesperrt,

Wie kann ich es am besten "Reaktivieren"?

Ich finde unter Sicherheit / Zertifikat zwar die Möglichkeit "Zertfikat manuell erneuern".
oder aber "Hinzufügen" und "Vorhandenes Zertifikat ersetzen"?

Was ist die bessere Wahl?


https://kb.synology.com/de-de/DSM/tutorial/What_should_I_do_if_cannot_add_renew_lets_encrypt
-->>

4. Stellen Sie sicher, dass die in Schritt 1 registrierte IP -Adresse mit der in Schritt 3 registrierten übereinstimmt.
- ok -
Test 1 : Öffnen Sie einen Webbrowser in Ihrem lokalen Netzwerk (d. H. In dem sich Ihr Synology -Gerät befindet) und gehen Sie zur Webseite „http: // Private IP -Adresse Ihres Synology -Geräts“.
- ok - -->> Es öffnet sich aber die Webserver - Webseite!
Test 2 : Öffnen Sie einen Webbrowser in Ihrem lokalen Netzwerk und gehen Sie zur Webseite „http://fqdn Ihres Synology -Geräts“.
- ok - -->> Es öffnet sich aber die Webserver - Webseite!
Test 3 : Öffnen Sie einen Webbrowser außerhalb Ihres lokalen Netzwerks und gehen Sie zur Webseite „http://fqdn Ihres Synology -Geräts“.
- noch nicht getestet -

Im internen Netz erreiche ich die "DSM Oberfläche" über IpAdresse:5001
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat