Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)

[alexhell]

Ich hatte mehrere Zertifikate nacheinander angelegt. Glaube waren 5 oder so. Das verlängern ging dann auch für alle....
Ich habe gerade in meine Notizen geguckt. Wenn es nicht das standard Zertifikat ist, dann muss man noch folgendes vorher setzen:

#for non default cert
export SYNO_Certificate="A different certificate"
export SYNO_Create=1

 

[ebusynsyn]

@Sir Jack Daniels

Bei mir läuft Btwrd bzw. Vaultwarden seit vielen Jahren problemlos. Zuerst nur im eigenen LAN. Da meine Instanz mittlerweile von Aussen zugänglich ist, habe ich noch fail2ban drüber gelegt.

Mit dieser Anleitung habe ich Vaultwarden/Bitwarden auf mehreren Instanzen (Synology Docker) problemlos installiert.
Du musst aber Schritt für Schritt jeden Punkt durcharbeiten. Es ist keine Sache von 10 Minuten.

 

[ebusynsyn]

@Sir Jack Daniels

Eine sehr gute Anleitung ist noch hier: https://www.youtube.com/watch?v=M5i64exaLjM&t=64s

Aber auch hier gilt. Nimm es gelassen und arbeite Schritt für Schritt durch. Ich habe diese Anleitung dazu benutzt, meine schon länger laufende Instanz zu prüfen und gegebenenfalls nachzubessern.

 

[EDvonSchleck]

#for non default cert
export SYNO_Certificate="A different certificate"
export SYNO_Create=1

Leider hab ich dazu nichts im Wiki gefunden, was muss da genau eingetragen werden?
Da @haydibe es auch laufen hat, hoff ich noch auf einen kurzen Hinweis.

 

[EDvonSchleck]

Wenn ich manuell *.exemple.com eingebe wird ein passender Ordner angelegt mit 4 Files: exemple.conf, exemple.csr, exemple.csr.conf und exemple.key. Das passiert aber nur wenn eine Dömain abgefragt wird. Es soll ka möglich sein mehrere Domains gleichzeitig und hintereinander im Befehl zu integrieren. Die ca.cer als auch die exemple.cer fehlen. Danach wird versucht das Zertifikat zur DSM upzuloaden, welches mit den Fehler Wenn ich manuell *.exemple.com eingebe wird ein passender Ordner angelegt mit 4 Files: exemple.conf, exemple.csr, exemple.csr.conf und exemple.key. Das passiert aber nur wenn eine Dömain abgefragt wird. Es soll ja möglich sein mehrere Domains gleichzeitig und hintereinander im Befehl zu integrieren. Die ca.cer als auch die exemple.cer fehlen. Danach wird versucht das Zertifikat zur DSM upzuloaden, welches mit den Fehler:

 ("Unable to update certificate, error code ("code":5510),"success";false) und

und

Error deploy for domain: *.exemple.com

sowie

Deploy error.

beendet wird.

 

[alexhell]

SYNO_Certificate ist die Beschreibung für das Zertifikat bzw. der Name. Da kannst du eintragen was du willst. Und SYNO_CREATE=1 heißt, dass er das Zertifikat erstellen soll, wenn es nicht vorhanden ist.
Hier mal die komplette Liste der Befehle die ich benutzt habe.

sudo su
export CF_Token="xxxxxx"
export CF_Email="xxxx"
export CERT_DOMAIN="*.example.com"
export CERT_DNS="dns_cf"
export SYNO_Username='xxxx'
export SYNO_Password='xxxx'
export SYNO_DID='xxxx' # Wenn man 2FA nutzt, dann im Browser sagen, dass man dem Browser immer vertraut und dann den Inhalt vom "DID" Cookie hier eintragen
export SYNO_Hostname="localhost" # Specify if not using on localhost
export SYNO_Scheme="https"
export SYNO_Port="xxx"

#for non default cert
export SYNO_Certificate="A different certificate"
export SYNO_Create=1 # Says to create the certificate if it doesn't exist

cd /usr/local/share/acme.sh
./acme.sh --deploy --insecure --home . -d "$CERT_DOMAIN" --deploy-hook synology_dsm

Ich habe das nicht im Docker benutzt sondern es direkt auf der Syno ausgeführt. Aber das sollte ja keinen Unterschied machen. Nur dass du SYNO_Hostname setzen musst.

Update:
Ich habe die Schritte

export CERT_DOMAIN="*.example.com"
export SYNO_Certificate="A different certificate"
export SYNO_Create=1 # Says to create the certificate if it doesn't exist
./acme.sh --deploy --insecure --home . -d "$CERT_DOMAIN" --deploy-hook synology_dsm

mehrfach ausgeführt und so immer einzeln angelegt. Mehrere Domains auf einmal hab ich nicht probiert.

 

[EDvonSchleck]

Irgendwo ist bei mir noch der Wurm drin, nachdem heute Nachmittag alles funktionierte kommt bei meiner Domain jetzt der gleiche Fehler (siehe oben)

 

[alexhell]

Sorry, den Fehler hatte ich (leider?) nicht und kann dir da leider nicht weiterhelfen...

 

[EDvonSchleck]

So ich habe es hin bekommen - einfach alles noch einmal in Ruhe probiert und es funktioniert.
Man kann auch einfach meherere (Sub)Domains in einen Zertifikat zusammen fassen. Jeweils ein Zertifikat für die Domain und Subdomain oder Wildcard ist nicht nötig! Der Befehl wird jeweils mit "-d example,com" erweitert

Der komplette Befehl sieht bei mir wie folgt aus:

acme.sh --issue --dns dns_netcup -d example.com -d sub.example.com -d *.example.com --dnssleep 300

Alle Sub-Domains sowie die Hauptdomain werden direkt im Zertifikat auf der DS angezeigt/aufgelistet.

Verwendet habe ich diese Anleitung zusammen mit diesem Hinweis. Unten in der Anleitung gibt es weitere nützliche Links und Tipps.

 

[w00dcu11er]

Das Ganze lässt sich doch auch via Alias in SSL-Zertifikat (via GUI im DSM) gut lösen, indem man dort weitere / neuere Sub-Domains o.ä. nachtragen lässt.

 

[alexhell]

Aber keine Wildcard und wenn eine neue dazu kommt, dann muss man das wieder neu erzeugen.
Und über die GUI müssen Ports geöffnet werden. Das ist beim Script mit Cloudflare nicht nötig.