Zertifikat lässt sich nicht erneuern

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Ich habe vorgestern auch erfolgreich mein Zertifikat installieren können, keine Probleme*.

*wg. Dabbischkeit, technisch alles okay 😆
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wie sieht es bei euch mit der Firewall aus? Habt Ihr diese deaktiviert oder das Dockernetzwerk freigegeben? Bei @*kw* weiß ich ja das es passt. ;)
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Ist alles offen. Ich versuche es nächste Woche nochmal, nicht das ich bei letsencrypt geblocked werde.
 

abrocksi

Benutzer
Mitglied seit
27. Dez 2013
Beiträge
250
Punkte für Reaktionen
81
Punkte
28
@abrocks, ich sehe gerade, du hast die Weiterleitung auf HTTPS aktiviert. Benutze bitte einmal diesem Befehl:
Code:
acme.sh --insecure --deploy -d abrocksi.de --deploy-hook synology_dsm
und berichten.
Gute Idee, das mache ich heute abend
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@EDvonSchleck : die habe ich auch drin, dennoch ist sie mit dem bisherigen Befehl durchgelaufen

Code:
acme.sh --deploy -d xxxxx.de --deploy-hook synology_dsm
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ist alles offen. Ich versuche es nächste Woche nochmal, nicht das ich bei letsencrypt geblocked werde.
Da brauchst du keine Angst haben, kannst es ruhig immer wieder probieren
eventuell wäre es besser die Files zu löschen und noch einmal das Zertifikat erstellen.

Bist du jetzt auch bei Netcup?

@EDvonSchleck : die habe ich auch drin, dennoch ist sie mit dem bisherigen Befehl durchgelaufen

Code:
acme.sh --deploy -d xxxxx.de --deploy-hook synology_dsm
Ich habe noch einmal nachgeschaut, habe zum Testen noch einen anderen Provider benutzt. Bei diesem ist nur eine Domain_ecc dazu gekommen. Beim Netcup habe ich nur einen Ordner mit meiner Domain. Das ist aber eine alte Installation und die Aktualisierung steht in ein paar Tagen an. Es ist ja möglich das etwas geändert wurde in dieser Richtung. Hast du dein Zertifikat von Hand neu erstellt oder das automatische Update genutzt? Wenn manuell hast du die Files bis auf die acconut.conf gelöscht?
 
  • Like
Reaktionen: ctrlaltdelete

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
...long story short: Zertifikat in der DS zurückgesetzt, den Domain-Ordner in der Filestation gelöscht, account-conf drin gelassen und dann über acme-docker-Konsole die Befehle 2 und 3 ausgeführt.

PS: ...und die 300 Sek. abgewartet 🤣
 
  • Like
Reaktionen: ctrlaltdelete

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Also neu erstelle, kein Update.

Ich bekomme einfach nicht den Fehler reproduziert. 2 unterschiedliche Domain, neu erstelle Zertifikat, mit und ohne Umleitung, mit Synology-Standartzertifikat und anderem, mit und ohne --insecure -Befehl. Alle funktioniert ohne Probleme.

@ctrlaltdelete, nutzt du einen anderen User und hat dieser Admin-Rechte? Und das einfachste_ Hast du die DS einmal neu gestartet?
 
  • Like
Reaktionen: ctrlaltdelete

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Fast vergessen: nachdem du noch die beiden optionalen Befehle aufgezeigt hast (- - force), habe ich den direkt mal getestet. Ging auch.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Was steht bei dir bei Netcup neben Standardzertifikat? Mit oder ohne ECC? Mein altes, was demnächst verlängert wird, ist ohne ECC, genauso wie das von Synology. Ein weiteres beim anderen Anbieter ist mit ECC geladen worden.

1675252554381.png
 
  • Like
Reaktionen: ctrlaltdelete

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Ich mache es per acme.sh auf der Syno selbst.

Wenn Zertifikate noch nicht vorhanden sind muss bei der Aufstellung SYNO_create = 1 gesetzt sein. Bei der Erneuerung findet er dann die im deploy hook verwendete Domain und ersetzt das vorhandene.

Insecure war nicht nötig weil ich auch lokal Domains benutze, ist es aber, wenn z.b. Die IP benutzt wird.

Rsa/ecc Kombi stellt Syno über die GUI aus. Hab mir jetzt noch nicht angeschaut wie sie das konkret machen.
Meine eigenen sind entweder rsa oder ecc, je nach Parameterangabe bei der ersten Erstellung eines neuen Zertifikats.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Ohne ECC
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wenn Zertifikate noch nicht vorhanden sind muss bei der Aufstellung SYNO_create = 1 gesetzt sein. Bei der Erneuerung findet er dann die im deploy hook verwendete Domain und ersetzt das vorhandene.
Die Synology hat aber immer ein Standardzertifikat und das kann man nicht über die GUI löschen. Die Variable kann man aber trotzdem nutzen, wenn man das will. Ich habe alles durchgetestet und in den letzte Wochen mehrere User geholfen das erfolgreich umzusetzen. Oft waren die Fehler Schreibfehler, keine Unix-konforme Datei oder Weglassen von Zeichen die Ursache.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Also, mein Fehler kam von den fehlenden "
export SYNO_Username="adminuser"
export SYNO_Password="adminpassword"
Dank erneutem Hinweis von @EDvonSchleck läuft es jetzt.
Der Deploybefehl hat auch das Standard-Synology Zertifikat ersetzt, tip top.
 
  • Like
Reaktionen: abrocksi und *kw*

abrocksi

Benutzer
Mitglied seit
27. Dez 2013
Beiträge
250
Punkte für Reaktionen
81
Punkte
28
Wie sieht es bei euch mit der Firewall aus? Habt Ihr diese deaktiviert oder das Dockernetzwerk freigegeben?
Firewall auf IP aus DE beschränkt, keine Einschränkung bei Applikationen.
Dockernetzwerk für acme Container wie in Anleitung auf Host und nicht Bridge.
 

abrocksi

Benutzer
Mitglied seit
27. Dez 2013
Beiträge
250
Punkte für Reaktionen
81
Punkte
28
Guten Abend,
ich kann zumindest noch etwas ausschließen: Habe mich sowohl mit Syno_DID als auch mit dem Parameter Syno_TOTP_Secret anmelden können.
Ich schließe derzeit ein Login-Problem des extra eingerichteten Admin Users aus.
cheers,
abrocksi
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Meinst du nicht, das hättest du vorher sahen können? Wie soll ein Login von acme funktionieren ohne die 2FA Angabe? Um ein Fehler von 2 FA auszuschließen, erstelle einen User mit Admin-Rechten (ohne 2fa) welcher weiterhin keine Rechte (Anwendungen & Ordnerfreigaben) hat und gib diesem in acme an. Wenn das funktioniert, können wir mit 2FA weiter machen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat