Zertifikat lässt sich nicht erneuern

[*kw*]

Ich habe vorgestern auch erfolgreich mein Zertifikat installieren können, keine Probleme*.

*wg. Dabbischkeit, technisch alles okay

 

[EDvonSchleck]

meine.domain: 4
meine.domain_ecc: 7

Ich habe nur den ecc-Ordner. 7 sollte passen.

 

[EDvonSchleck]

Wie sieht es bei euch mit der Firewall aus? Habt Ihr diese deaktiviert oder das Dockernetzwerk freigegeben? Bei @*kw* weiß ich ja das es passt.

 

[ctrlaltdelete]

Ist alles offen. Ich versuche es nächste Woche nochmal, nicht das ich bei letsencrypt geblocked werde.

 

[abrocksi]

@abrocks, ich sehe gerade, du hast die Weiterleitung auf HTTPS aktiviert. Benutze bitte einmal diesem Befehl:

acme.sh --insecure --deploy -d abrocksi.de --deploy-hook synology_dsm

und berichten.

Gute Idee, das mache ich heute abend

 

[*kw*]

@EDvonSchleck : die habe ich auch drin, dennoch ist sie mit dem bisherigen Befehl durchgelaufen

acme.sh --deploy -d xxxxx.de --deploy-hook synology_dsm

 

[EDvonSchleck]

Ist alles offen. Ich versuche es nächste Woche nochmal, nicht das ich bei letsencrypt geblocked werde.

Da brauchst du keine Angst haben, kannst es ruhig immer wieder probieren
eventuell wäre es besser die Files zu löschen und noch einmal das Zertifikat erstellen.

Bist du jetzt auch bei Netcup?

@EDvonSchleck : die habe ich auch drin, dennoch ist sie mit dem bisherigen Befehl durchgelaufen

acme.sh --deploy -d xxxxx.de --deploy-hook synology_dsm

Ich habe noch einmal nachgeschaut, habe zum Testen noch einen anderen Provider benutzt. Bei diesem ist nur eine Domain_ecc dazu gekommen. Beim Netcup habe ich nur einen Ordner mit meiner Domain. Das ist aber eine alte Installation und die Aktualisierung steht in ein paar Tagen an. Es ist ja möglich das etwas geändert wurde in dieser Richtung. Hast du dein Zertifikat von Hand neu erstellt oder das automatische Update genutzt? Wenn manuell hast du die Files bis auf die acconut.conf gelöscht?

 

[*kw*]

...long story short: Zertifikat in der DS zurückgesetzt, den Domain-Ordner in der Filestation gelöscht, account-conf drin gelassen und dann über acme-docker-Konsole die Befehle 2 und 3 ausgeführt.

PS: ...und die 300 Sek. abgewartet

 

[EDvonSchleck]

Also neu erstelle, kein Update.

Ich bekomme einfach nicht den Fehler reproduziert. 2 unterschiedliche Domain, neu erstelle Zertifikat, mit und ohne Umleitung, mit Synology-Standartzertifikat und anderem, mit und ohne --insecure -Befehl. Alle funktioniert ohne Probleme.

@ctrlaltdelete, nutzt du einen anderen User und hat dieser Admin-Rechte? Und das einfachste_ Hast du die DS einmal neu gestartet?

 

[*kw*]

Fast vergessen: nachdem du noch die beiden optionalen Befehle aufgezeigt hast (- - force), habe ich den direkt mal getestet. Ging auch.

 

[EDvonSchleck]

Was steht bei dir bei Netcup neben Standardzertifikat? Mit oder ohne ECC? Mein altes, was demnächst verlängert wird, ist ohne ECC, genauso wie das von Synology. Ein weiteres beim anderen Anbieter ist mit ECC geladen worden.

 

[Fusion]

Ich mache es per acme.sh auf der Syno selbst.

Wenn Zertifikate noch nicht vorhanden sind muss bei der Aufstellung SYNO_create = 1 gesetzt sein. Bei der Erneuerung findet er dann die im deploy hook verwendete Domain und ersetzt das vorhandene.

Insecure war nicht nötig weil ich auch lokal Domains benutze, ist es aber, wenn z.b. Die IP benutzt wird.

Rsa/ecc Kombi stellt Syno über die GUI aus. Hab mir jetzt noch nicht angeschaut wie sie das konkret machen.
Meine eigenen sind entweder rsa oder ecc, je nach Parameterangabe bei der ersten Erstellung eines neuen Zertifikats.

 

[*kw*]

Ohne ECC

 

[EDvonSchleck]

Wenn Zertifikate noch nicht vorhanden sind muss bei der Aufstellung SYNO_create = 1 gesetzt sein. Bei der Erneuerung findet er dann die im deploy hook verwendete Domain und ersetzt das vorhandene.

Die Synology hat aber immer ein Standardzertifikat und das kann man nicht über die GUI löschen. Die Variable kann man aber trotzdem nutzen, wenn man das will. Ich habe alles durchgetestet und in den letzte Wochen mehrere User geholfen das erfolgreich umzusetzen. Oft waren die Fehler Schreibfehler, keine Unix-konforme Datei oder Weglassen von Zeichen die Ursache.

 

[ctrlaltdelete]

Also, mein Fehler kam von den fehlenden "
export SYNO_Username="adminuser"
export SYNO_Password="adminpassword"
Dank erneutem Hinweis von @EDvonSchleck läuft es jetzt.
Der Deploybefehl hat auch das Standard-Synology Zertifikat ersetzt, tip top.

 

[abrocksi]

Wie sieht es bei euch mit der Firewall aus? Habt Ihr diese deaktiviert oder das Dockernetzwerk freigegeben?

Firewall auf IP aus DE beschränkt, keine Einschränkung bei Applikationen.
Dockernetzwerk für acme Container wie in Anleitung auf Host und nicht Bridge.

 

[abrocksi]

Guten Abend,
ich kann zumindest noch etwas ausschließen: Habe mich sowohl mit Syno_DID als auch mit dem Parameter Syno_TOTP_Secret anmelden können.
Ich schließe derzeit ein Login-Problem des extra eingerichteten Admin Users aus.
cheers,
abrocksi

 

[EDvonSchleck]

Nutzt du 2FA?

 

[abrocksi]

Nutzt du 2FA?

Ja

 

[EDvonSchleck]

Meinst du nicht, das hättest du vorher sahen können? Wie soll ein Login von acme funktionieren ohne die 2FA Angabe? Um ein Fehler von 2 FA auszuschließen, erstelle einen User mit Admin-Rechten (ohne 2fa) welcher weiterhin keine Rechte (Anwendungen & Ordnerfreigaben) hat und gib diesem in acme an. Wenn das funktioniert, können wir mit 2FA weiter machen.