Letsencrypt Zertifikate von Subdomains lassen sich nicht mehr erneuern

Geko91

Benutzer
Mitglied seit
04. Apr 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich bin ganz neu hier und habe nach einer ersten Suche leider noch keine Lösung für mein Problem gefunden. Meine Synology DS223 läuft seit Anfang/Mitte letzten Jahres sehr stabil. Diese Woche habe ich jedoch erstmalig eine Mail von Letsencrypt bekommen, mit der Info, dass meine Zertifikate bald ablaufen. Davor wurden diese immer automatisch aktualisiert. Da sie Ende April ablaufen, habe ich den Verdacht, dass es mit dem letzten DSM Update zusammenhängt, das ich Ende Januar installiert habe (DSM 7.2.1-69057 Update 4). Das wären dann etwa 90 Tage, falls die Zertifikate letztmalig kurz vor dem Update aktualisiert wurden.

Zu meinem Setup:
  • Synology DS223
  • DSM 7.2.1-69057 Update 4
  • Domain über STRATO (meinedomain.tld)
  • DynDNS über Fritzbox
  • Für jeden Synology-Dienst, den ich nutze (drive, photos, files, notes, dsm, webdav), habe ich eine eigene Subdomain angelegt, die bei STRATO per CNAME auf "meinedomain.tdl." umgeleitet wird.
  • Auf der DS ist der Reverse Proxy aktiv, um die Subdomains auf den entsprechenden Port zu leiten.
  • Auf der Fritzbox sind aktuell Port 80 und 443 mit Weiterleitung an die DS offen.
  • Bisher habe ich für die TLD und jede Subdomain ein eigenes Zertifikat genutzt (siehe Screenshot).

Das Zertifikat der TLD konnte ich gestern und heute manuell aktualisieren. Leider funktioniert das aber für die Subdomains nicht. Es gibt 2 verschiedene Fehlermeldungen, von denen ich aber gerade nur die erste im Screenshot nachstellen konnte. Eine neue Anmeldung im DSM und auch ein Neustart der DS haben natürlich nicht geholfen.

Ich habe auch schon versucht, ein neues TLD Zertifikat zu erstellen, bei dem ich die Subdomains als Alternative Namen angebe. Das hat aber leider auch nicht funktioniert. Die alten Zertifikate wollte ich nicht löschen, da sie aktuell ja noch gütlig sind und einen stabilen Betrieb ermöglichen. Soweit ich weiß, sollten die er Erstellung von neuen Zertfikaten aber auch nicht im Wege stehen.

Alles Subdomains sind aktuell über das Internet erreichbar, was somit für Letsencrypt kein Problem darstellen sollte. Ein Eintrag aus dem STRATO-Einstellungsmenü kommt mir allerdings verdächtig vor, dass das Umleitungsziel inaktiv ist (3. Screenshot).

Habt ihr Ideen?

1712246677427.png

1712246574752.png

1712248233454.png

Viele Grüße
Geko
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Was du bräuchtest wäre eine Wildcard-Domain, also DDNS und ein Zertifikat, dass auch für *.irgendwas.eu gilt, anstatt einzelner Zertifikate.
Ich bin deshalb vor einiger Zeit von Strato zu Netcup gewechselt, da die das anbieten und auch acme.sh für automatische Zertifikat-Updates unterstützen.
 
  • Like
Reaktionen: Benie

Geko91

Benutzer
Mitglied seit
04. Apr 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Danke für deine Rückmeldung. An ein Wildcard Zertifikat habe ich auch schon gedacht. Allerdings kenne ich mich nicht gut aus und scheue daher den Umstieg. Bisher hat ja alles super funktioniert, daher gehe ich davon aus, dass es auch ohne gehen sollte?!
 
Zuletzt bearbeitet von einem Moderator:

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Hast Du es mal wieder (und wieder) auf die bisher durchgefürte Art probiert?
Mir kommts so vor, als wäre das (bei Dir) nur ein temporäres Problem. Ich selbst habe bisher keine Probleme, nur musste ich halt lernen, dass ich nach der Erstellung jedweder neuer Subdomains, den ganzen Zertifikats-Prozess selbst manuell nochmal "für alle" neu anstoßen musste.

D.h. vielleicht hilft es Dir auch, wenn Du einfach mal alles nochmal in einem Rutsch neu beantragst. Also die Hauptdomain und im nachfolgenden Fenster alle Subdomains eintragen und so tun, als hättest Du das alles noch nie vorher beantragt.
Das klappt natürlich jetzt erst wieder Ende Mai (denke ich mal) denn der wird im April und den halben Mai (wegen der Hauptdomain) immer rumjammern, dass ein Update doch noch gar nicht nötig ist und erst ab XX. Mai 2024 wieder möglich ist.
D.h. Du musst mal 3-4 Wochen ohne die ganzen Subdomain Zertifikate durchhalten...
 

Geko91

Benutzer
Mitglied seit
04. Apr 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
@TheGardner
Ich habe es so oft manuell versucht, bis ich die maximale Anzahl an Zertifikatsanfragen für meine TLD erreicht habe und vorübergehend gesperrt war bei Letsencrypt. Seit gerade eben konnte ich zumindest das TLD Zertifkat nochmal neu erstellen lassen. Bei den Subdomains klappt es leider weiterhin nicht.

Wie du schon sagst, gibt es die Möglichkeit, bei Beantragen der Hauptdomain direkt im gleichen Zertifikat die Subdomains mit anzugeben. Das funktioniert aber leider auch nicht.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Wie geschrieben - theoretisch lässt Let's Encrypt nach einer erfolgreichen Erstellung eine erneute Erstellung erstmal für einen bestimmten Zeitraum nicht mehr zu. D.h. Du kannst es dann erst wieder ca. 6 Wochen vor dem eigentlichen Ablaufen probieren, solltest aber dann nicht wieder nur die Hauptdomain verlängern, sondern eben alles in einem Ritt mit den Subdomains zusammen neu erstellen (nicht verlängern)...
 
  • Like
Reaktionen: Benie

Geko91

Benutzer
Mitglied seit
04. Apr 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Kurze Rückmeldung:

Mittlerweile läuft wieder alles, nachdem ich den Synology Support eingeschaltet habe und dieser sich per Fernzugriff das Problem angeschaut hat. Anscheinend wurde irgend ein Port durch Firewall-Regeln blockiert. Mir kommt das weiterhin komisch vor, da ich weder vor Auftreten des Problems noch danach irgendwelche Einstellungen geändert habe. Ich habe auch nicht gesehen, dass der Support die Firewall umkonfiguriert hat.

Ein zusätzlicher Tipp war, NTP in der Firewall zuzulassen (aber auch ohne aktualisieren sich die Zertifikate wieder).

@TheGardner der Zeitraum, in dem sich die Letsencrypt Zertifkate wegen zu häufiger Anfrage nicht mehr erneuern lassen, ist nur ein paar Stunden.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.526
Punkte
344
Da hast Du Glück gehabt, das mit dem Zertifikat kann auch gerne 3 Tage und länger dauern.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat