Schaffe es nicht, Let's Encrypt Zertifikat zu installieren

androidin · 03. Mrz 2017

Hallo,

ich versuche, ein Let's Encrypt Zertifikat zu installieren. Mir gehört eine Domain und ich habe auch eine Subdomain angelegt. Nun habe ich versucht, das Zertifikat zu installieren und dabei den Port 80 in meiner Fritz.Box geöffnet/durchgereicht. Die Firewall in der DSM habe ich temporär deaktiviert. Ich bekomme immer folgende Fehlermeldung beim Let's Encrypt Assistenten: "Verbindung zu Let’s Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf Ihrer Diskstation und Ihrem Router Port 80 für die Internet-Domainprüfung durch Let’s Encrypt geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let’s Encrypt erfolgt zum Schutz Ihrer Diskstation über HTTPS"

Was mache ich da nur falsch?

Anzeige · 03. Mrz 2017

Hallo androidin,

Bücher und Hardware zum Thema gibt es bei Amazon: Schaffe es nicht, Let's Encrypt Zertifikat zu installieren

Thonav · 03. Mrz 2017

Du musst bitte auch den Port 443 auf den Port 443 der DS weiterleiten.

androidin · 03. Mrz 2017

Hallo ThonaV,

das habe ich auch gemacht:

Fusion · 03. Mrz 2017

Du brauchst 80 > 80 und 443 > 443 nicht irgendwelche anderen Ports.

androidin · 03. Mrz 2017

Hallo Fusion,

ja, die beiden Ports habe ich geöffnet. Allerdings wird der 443 in meiner Fritz.Box mit 61450 angegeben:

Fusion · 03. Mrz 2017

Hast du vielleicht die Fernverwaltung der Fritzbox aktiv, die könnte 443 blockieren. Wenn, dann die Fernverwaltung auf einen anderen Port verlegen.

Bei mir steht in allen Feldern die 443, auch im unteren Bereich.

androidin · 03. Mrz 2017

Hallo Fusion,

Danke für den Tipp. So war es. Ich habe die Fernverwaltung auf einen anderen Port gelegt. Nun ging natürlich Box2Go nicht mehr. Aber das liess sich leicht korrigieren. Dann habe ich den 443 für die DS gelöscht und neu angelegt und nun wird das auch richtig angezeigt.

Ein Problem scheinbar schon gelöst. Die Fehlermeldung beim Anfordern des Zertifikats ist aber immer noch gleich: "Verbindung zu Let’s Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf Ihrer Diskstation und Ihrem Router Port 80 für die Internet-Domainprüfung durch Let’s Encrypt geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let’s Encrypt erfolgt zum Schutz Ihrer Diskstation über HTTPS"

Fusion · 03. Mrz 2017

Dann wäre interessant welche Angaben du wo beim Erstellen des Zertifikats machst?

Und dass alle Domainnamen die im Zertifikat benutzt werden, also domain.de und/oder sub.domain.de etc., auf deine DS auflösen.
Also beim Aufruf im Browser z.B. die Web Station oder das DSM antwortet

androidin · 03. Mrz 2017

Ich habe eine Subdomain angelegt (diskstation.meine-domain.de), die auf https://192.168.178.25:5001 (meine DS) auflöst. Das habe ich gerade nochmal im Edge-Browser verifiziert und wollte es auch vom Chrome aus testen. Da geht die Weiterleitung wieder nicht - ich werde verrückt. Ich habe dann noch den Firefox und den IE ausprobiert. Bei diesen beiden Browsern funktioniert die Weiterleitung einwandfrei.

Angaben beim Erstellen des Zertifikats? Da spiele ich den Wizard durch: Sicherheit -> Zertifikat -> Hinzufügen -> Vorhandenes Zertifikat ersetzen -> Zertifikat von Lets Encrypt abrufen (bei gleichzeitig aktiviertem "Als Standardzertifikat festlegen" -> Domainname: diskstation.meine-domain.de, Email: postmaster@meine-domain.de und auf Übernehmen klicken.

Fusion · 03. Mrz 2017

Das ist aber deine interne IP. Die ist von außen nicht erreichbar in der Form.
Die Domain muss (per nslookup diskstation.meine-domain.de) auf die externe IP der Fritzbox auflösen.

Wo landet denn
http://diskstation.meine-domain.de aufgerufen von einem Browser von extern?
Also Mobilfunknetz oder anderes, aber NICHT aus deinem LAN/WLAN.

androidin · 03. Mrz 2017

Hallo Fusion,

ich kenne mich nicht besonders gut aus, aber ich habe nun bei meinem Domain-Verwalter die externe IP-Adresse meiner Fritz.Box eingestellt als DNS-Record. Die Weiterleitung auf die interne IP habe ich gelöscht.

Trotzdem werde ich, wenn ich die Subdomain diskstation.meine-domain.de im Browser eingebe, an meine diskstation weitergeleitet. Warum weiss ich nicht. Keine Ahnung.

Ich habe die Prozedur dann nochmal durchgespielt mit dem Zertifikats-Wizard, und nun zeigt mir die DS, dass ich ein gültiges Zertifikat von Lets Encrypt installiert habe.

Gebe ich aber nun meine Subdomain im Browser ein, so sagt der immer, dass die Verbindung nicht sicher sei. Irgendwas ist noch krumm.

Thonav · 03. Mrz 2017

Hast eine PN, androidin.

Fusion · 04. Mrz 2017

@Thonav - du immer mit deinen PN.

Dann warte ich mal auf Rückmeldung, ob noch Fragen offen sind bzw. der Erklärung bedarf.

androidin · 04. Mrz 2017

Hallo Fusion und Thonav,

so schaut's momentan aus:

Ich verstehe nicht, warum
a) diskstation.meine-domain.de auf meine Diskstation umgeleitet wird, wenn ich doch bei meiner Subdomain nur die externe IP der Fritzbox angegeben habe.
b) das Zertifikat als nicht sicher angesehen wird.

Kann mir das jemand erklären? Ich habe keinen Schimmer.

Thonav · 04. Mrz 2017

Mach nochmal einen gleichen Screen wenn Du Deine Adresse "https://dydns.....de:5001" eingegeben hast....

androidin · 04. Mrz 2017

Du meinst: https://diskstation.meine-domain.de:5001/

Da kommt, dass die Seite nicht geladen werden kann...

rednag · 04. Mrz 2017

Ist der Port 5001 überhaupt im Router und der FW der DS frei?

Fusion · 04. Mrz 2017

sub.dynDNS.de zeigt ja auf die öffentliche IP deines Routers.
Im Router ist Port 80/443 auf die DS weitergeleitet.
Daher landet http(s)://sub.dynDNS.de auf deiner DS. Das will man ja schließlich auch, du wilslt ja nicht auf die Fritzbox.

Rufst du die DS mit der lokalen IP auf (.25), dann gibt es weiterhin eine Warnmeldung, weil das Zertifikat auf einen Namen und nicht eine IP ausgestellt wird.

Also auch nochmal http(s)://sub.dynDNS.de testen ohne Port, ob das auch ins Leere läuft.

Eventuell muss man dann sub.dynDNS.de noch in der Fritzbox in den Netzwerkeinstellungen im DNS-Rebind-Schutz als Ausnahme eintragen.

androidin · 05. Mrz 2017

Heute geht natürlich meine Weiterleitung wieder nicht. Ich denke, ich habe schon etwas bei den Domaineinstellungen falsch gemacht (abgesehen davon, dass ich die IP-Adresse der Fritz Box eingetragen habe, die mir von der Telekom zugewiesen wurde und natürlich über Nacht geändert wurde). Vielleicht könnt ihr hier mal schauen, ob alles beim Domainprovider richtig eingestellt wurde. Es sind zwei Fenster: das linke zeigt die Subdomain, die ich eingerichtet habe. Weiterleitung steht hier auf "/". Das rechte Fenster den DynDNS-Record, der auf die IP-Adresse der Fritz Box zeigt:

Passt das alles so?

Fusion · 05. Mrz 2017

Kenne jetzt den Anbieter nicht.

Subdomain sollte nirgend wohin weiterleiten wenn möglich, sie muss einfach nur existieren.

Die Rechte Seite zeigt einen A-Record auf eine flüchtige IP (deiner Schilderung nach). Das ist kein dynDNS.
Das ist also so recht unpraktisch / unbrauchbar (von einem Kurztest abgesehen, solange die IP noch aktuell ist)

Wenn du einen dynDNS Name von AVM oder von einem anderen Anbieter hast, dann gehört auf die Rechte Seite
diskstation.domain.de CNAME sub.dynDNS.de
Damit zeigt der Domainname links auf die IP/A-record die sich hinter dem rechten Eintrag "versteckt".