Let's Encypt - update

[bernd_]

Hallo Forum,

Meldung:
Your certificate (or certificates) for the names listed below will expire in 19 days (on 2023-09-29). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.

Beim Versuch des "Renewals" erhalte ich aber die Hinweismeldung:
Verbindung zu LetsEncrypt fehlgeschlagen, bitte stellen sie sicher dauss auf Ihrer Diskstaition und ihrem Router Port 80 für die Domainüberprüfung
geöffnet ist. Jegliche sonstige Netzwerkommuniktaion mit LetsEncrypt erfolgt zm Schutz ihrer Diskstation nur über https.

In der Fritzbox ist port 80/443 für die Fritzbox allerdings hinterlegt.

Danke für Tips!

 

[Kurt-oe1kyw]

In der Fritzbox ist port 80/443 für die Fritzbox allerdings hinterlegt.

Ich glaube die Synology will auf 443 kommunizieren zum LE Verlängern.

 

[Ulfhednir]

Hallo Bernd, ist die Firewall der DS in Betrieb?

 

[Benie]

Firewall ist richtig eingestellt?
Handelt es sich um eime Synology DNS oder Fremd DNS?

Für eine Synology DNS muß kein Port geöffnet werden, die Verlängerung ist da auch so möglich.

Ansonsten musst Du die Ports 80/443 für die DS öffnen.

 

[Benares]

Wenn das Zertifikat über die DSM-Oberfläche erstellt wurde, brauchst du für die Dauer der Verlängerung zumindest temporär eine Portweiterleitung von 80/443 auf die DS für den http-Challenge.

 

[mayo007]

temporär eine Portweiterleitung

Kommt drauf an:
https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS

 

[Benares]

Ja, aber nur synology.me geht ohne. acme.sh geht auch ohne, da die mit DNS-Challenge (DNS-TXT-Records) arbeiten um den Besitz der Domain zu verifizieren.

 

[ds718-]

In der Fritzbox ist port 80/443 für die Fritzbox allerdings hinterlegt.

Bei der Fritzbox mußt du aber auch Port 80/443 als UDP zusätzlich zum TCP Eintrag definieren.

 

[Benares]

Wieso das? Nein, TCP reicht.

 

[alexhell]

Seit wann das denn? ich habe immer nur TCP freigegeben...

 

[ds718-]

Bei mit funktioniert es nur so, habe selfhost und freedns und subdomains.

Bei selfhost was ja auch eine Wildzertifikat ist funktioniert nicht einmal "acme.sh"

 

[alexhell]

Sicher? https://github.com/acmesh-official/acme.sh/blob/master/dnsapi/dns_selfhost.sh Wird von denen doch unterstützt. Dann müsste das auch funktionieren.

 

[ds718-]

ja kenne ich,leider schon probiert. Funktioniert bei Selfhost nicht, auch wenn der Selfhost bei denen in der Liste aufgenommen ist.

Macht aber auch nichts, per Hand lassen sich auch jede Menge Zertifikate erneuern.

 

[Benares]

Ich denke, du solltest einfach mal hier lesen.

 

[ds718-]

Das die DNS API von selhost da steht, weiß ich ja. Habe nur vergessen euch mitzuteilen das es free Domains von selfhost sind, die nicht
über "acme.sh" gehen.

https://github.com/acmesh-official/acme.sh/wiki/dnsapi2#dns_selfhost


Das tolle an der Sache ist, das eine Freedomain auch ein Wildzertifikat ist, habe ich zufällig mal festgestellt.

 

[Benie]

Bei der Fritzbox mußt du aber auch Port 80/443 als UDP zusätzlich zum TCP Eintrag definieren.

Also ich habe auch eine selfhost DynDNS (auch als kostenlose freedomain) und brauche das nicht.

 

[ds718-]

Ich habe es mal in einen Fachbericht gelesen, seit dem mache ich es einfach. Da ich ja etliche Domains in einen Schwung gleichzeitig erneuere.
Habe keinen Bock auf irgendwelche störungen, danach wird der Port 80 sofort geschlossen.

Der ganze Aufwand dauert selbst für 10 Domains und Port öffnen in der Fritz 40 Sec.

 

[bernd_]

Die Portweiterleitung habe ich ja.. auf die DS. Beide Ports. Daher ja meine Frage. Was könnte ich noch prüfen?

 

[mayo007]

https://kb.synology.com/de-de/DSM/tutorial/What_should_I_do_if_cannot_add_renew_lets_encrypt

 

[bernd_]

Hallo zusammen,

Jetzt habe ich nicht aufgepasst und der Zeitpunkt zum "Erneuern" ist vorüber und das Zertifikat ist gesperrt,

Wie kann ich es am besten "Reaktivieren"?

Ich finde unter Sicherheit / Zertifikat zwar die Möglichkeit "Zertfikat manuell erneuern".
oder aber "Hinzufügen" und "Vorhandenes Zertifikat ersetzen"?

Was ist die bessere Wahl?


https://kb.synology.com/de-de/DSM/tutorial/What_should_I_do_if_cannot_add_renew_lets_encrypt
-->>

4. Stellen Sie sicher, dass die in Schritt 1 registrierte IP -Adresse mit der in Schritt 3 registrierten übereinstimmt.
- ok -
Test 1 : Öffnen Sie einen Webbrowser in Ihrem lokalen Netzwerk (d. H. In dem sich Ihr Synology -Gerät befindet) und gehen Sie zur Webseite „http: // Private IP -Adresse Ihres Synology -Geräts“.
- ok - -->> Es öffnet sich aber die Webserver - Webseite!
Test 2 : Öffnen Sie einen Webbrowser in Ihrem lokalen Netzwerk und gehen Sie zur Webseite „http://fqdn Ihres Synology -Geräts“.
- ok - -->> Es öffnet sich aber die Webserver - Webseite!
Test 3 : Öffnen Sie einen Webbrowser außerhalb Ihres lokalen Netzwerks und gehen Sie zur Webseite „http://fqdn Ihres Synology -Geräts“.
- noch nicht getestet -

Im internen Netz erreiche ich die "DSM Oberfläche" über IpAdresse:5001