Zertifikat lässt sich nicht erneuern

[abrocksi]

Hi EdvonSchleck,
hatte ich bereits in Post 70 erwähnt und wie gesagt, alle Rechte-Varianten bei dem Admin-User durchgespielt. Dabei diese beiden Variablen nach Anleitung gesetzt: Einmal Syno_DID, ein anderes mal Syno_TOTP_Secret.
Daran liegt es meines Erachtens nicht.
Kann aber erst heute Abend wieder testen, da aktuell im Büro.
cheers,
abrocksi

 

[EDvonSchleck]

...long story short: Zertifikat in der DS zurückgesetzt, den Domain-Ordner in der Filestation gelöscht, account-conf drin gelassen und dann über acme-docker-Konsole die Befehle 2 und 3 ausgeführt.

Ohne ECC

Kann ich so nicht bestätigen. Das alte Zertifikat wurde ohne ECC gelabelt und auch der Domain-Ordner in /acme war ohne ECC. Zum Testen habe ich es so ausgeführt, wie du beschrieben hast. Ich habe dadurch ein ECC Zertifikat erhalten, welches auch so in der DS gelabelt ist. Der Ordner in /acme hat die Bezeichnung Domain_ECC. Einen Domain-Ordner gibt es nicht mehr. Ich habe nur die Export-Werte in der account.conf gelassen und den Container zurückgesetzt, um sicherzugehen, dass nichts Altes übrig geblieben ist.

 

[*kw*]

So schaut es bei mir aus:










Auch kein ECC im Verzeichnis.

ich teste das später noch mal

 

[*kw*]

@EDvonSchleck: habe deine Vorgehensweise repliziert und (du wirst es besser wissen) jetzt habe ich auch ein ECC-Zertifikat

 

[Wiesel6]

Wie im Freunde-Thread geschrieben wollte ich mir das Thema acme die Tage genauer anschauen.
Folgendes habe ich bisher gemacht und habe erfolgreich ein Zertifikat in der Synology importiert.


Eine eigene URL extra für diese Spielerei habe ich mir bei Netcup im Angebot besorgt, dass ich zukünftig nicht mehr über meine synology.me Adresse gehen muss.
Ist zwar nur etwas spielerei, aber vaultwarden.example.com sieht besser aus wie vaultwarden.example.synology.me
Vorallem Beitrag 57 hier im Thread war meine Vorlage.

Im ersten Schritt die API für acme.sh nach dieser Anleitung erstellt.
Docker nach der Anleitung in #57 installiert und meine Account.conf erstellt. Der letzte Eintrag musste ich einfügen, da beim übertragen ins DSM gemeckert wurde. Die Einträge für netcup sind hier bei github und die Übertragung ins DSM hier beschrieben

export NC_Apikey="xzy"
export NC_Apipw="xzy"
export NC_CID="xzy"
export SYNO_Username="ein Admin User"
export SYNO_Password="Passwort"
export SYNO_Certificate="freitext"
export SYNO_Create=1

Mit folgenden Befehle klappte es bei mir.

acme.sh --issue --dns dns_netcup -d example.com -d www.example.com

Und (--insecure musste ich ergänzen, obwohl ich normalerweise per http zugreife)

acme.sh --deploy --insecure -d example.com --deploy-hook synology_dsm

Wo ich gedanklich noch hänge, in der verlinkten Anleitung von @EDvonSchleck gibt es noch den Punkt zum automatischen Update des Zertifikats. Ich habe irgendwie im Kopf, dass das nicht mehr notwendig sei, weiß es aber nicht genau. Könnt ihr mir hier weiterhelfen?



Im nächsten Schritt werde ich in Adguard meine vaultwarden.example.com und den Reverse Proxy einrichten und testen, ob ich ohne Fehlermeldung zum Zertifikat die Seite aufrufen kann.

Bis hierhin schon Danke und ich hoffe mit meinen Punkten zu Netcup kann ich jemanden anderen auch weiterhelfen. Diese hatte ich spontan hier im Forum noch nicht gefunden.


Edit: Was mir noch einfällt. habe ich jetzt ein richtiges Wildcard-Zertifikat oder hätte ich bei der URL *.example.com eintragen müssen?
Edit2: Ich bin gerade über diesen Beitrag gestoßen. Dynv6.com habe ich bereits im Einsatz. Wäre es einfacher gewesen, dies anstelle der Netscape API zu nutzen, da ich mich nur im Heimnetz bewege?

 

[plang.pl]

export NC_CID="xzy"

Da muss dann der Username hin, oder?

Was mir noch einfällt. habe ich jetzt ein richtiges Wildcard-Zertifikat

Das würde mich auch interessieren. Schau mal im Zertifikat ob bei alternativer Name *.deinedomain.de gelistet ist. Denke aber nicht, da du nur www angegeben hast.
wenn nicht, müsstest du den Befehl so abändern:
acme.sh --issue --dns dns_netcup -d example.com -d *.example.com

Was hast du bei Netcup selbst für DNS-Einträge gesetzt?

 

[*kw*]

Die netcup Empfehlung (auch für mich) kam seinerzeit von @EDvonSchleck und seine Begründung hierfür war auch ein „echtes“ Wildcard-Zertifikat (Inkl. Preis/Leistung).

 

[EDvonSchleck]

Nein, du hast kein Wildcardzertifikat. Du hast lediglich ein Zertifikat für die Domain und Subdomain "www" erstellt. Somit bekommst du auch eine Fehlermeldung bei Vaultwarden.

Ich wurde bei dir erst einmal die Zertifikate zurücksetzen, um ein bisschen Ordnung zu bekommen und danach den 3. Befehl noch einmal neu ausführen. Warum du noch weitere Einstellungen und Befehle benötigst, kann ich dir nicht sagen. Ich habe es heute aber 2x erfolgreich und ohne Probleme installiert, wie in meinen Anleitungen. Eines davon sogar über den Alias-Mode, wo der Provider nicht von acme.sh unterstützt werden muss!

Ob du Netcup oder dynv6 nutzen willst ist egal, das kannst du machen, was dir lieber ist. Bei beiden Anbietern musst du nicht konfigurieren oder weiterleiten.

Das automatische Update funktioniert. Genau 24h nach Beantragen des Zertifikats wird einer neuen Überprüfung gestartet. Das kann man im Container > Details > Protokoll sehr gut erkennen. Dort steht auch das Datum, ab wann eine Aktualisierung vorgenommen wird. Das sollte 60 Tage nach der Beantragung sein.

Was hast du bei Netcup selbst für DNS-Einträge gesetzt?

Was für DNS Einträge? Für den netzinternen Gebrauch ist keine Einrichtung nötig. Dort funktioniert alles über eine API.

 

[plang.pl]

Das heißt, dass bei Netcup gar keine IP hinterlegt sein muss, die auf mich verweist, damit das Zertifikat von LE ausgestellt wird?

 

[*kw*]

Genau, bei netcup reicht es, die Wunschdomain zu parken. Da hängt also kein Web-Paket, o.ä., hinten dran.

 

[EDvonSchleck]

Das geht bei anderen auch

 

[plang.pl]

Web-Space braucht man nicht, is klar. Aber für die Domain kannst du DNS-Einträge beim Anbieter selbst hinterlegen. Und ich ging davon aus, dass man das machen muss.

 

[EDvonSchleck]

Nö, kannst du, musst du aber nicht!

https://www.synology-forum.de/threads/black-friday-angebot-bei-netcup.123893/post-1054559

 

[Wiesel6]

Nein, du hast kein Wildcardzertifikat. Du hast lediglich ein Zertifikat für die Domain und Subdomain "www" erstellt. Somit bekommst du auch eine Fehlermeldung bei Vaultwarden.

Danke für die Bestätigung. Nach meinen Edit2 hatte ich die Frage ja bereits selbst beantwortet. Den dort hat du den Befehl schon mit *.example.com geschrieben. Ich werde heute Abend es löschen und neu starten.

So ein Wildwuchs habe ich bei meinem Zertifikat nicht. Das alte bis 2036 ist das von DSM6. Besser haben wir brauchen. Und das automatisch angelegte von ABfB habe ich heute erst gesehen, das muss ich noch löschen.
Dann das Synology.me und mein neues.

Bzgl. Netcup oder Dynv6. Danke für die Erklärung.

 

[EDvonSchleck]

Den Synology.me Zertifikat kann man nicht löschen: https://kb.synology.com/de-de/DSM/tutorial/Why_cant_I_delete_my_certificate

 

[plang.pl]

Also ich habe es erneut versucht und erhalte weder ein Wildcard-Zertifikat noch eins ohne Wildcard.
Auch im Debug-Log steht nix Auffälliges. Im Gegenteil: Zuerst taucht auf Code 200 und direkt in der nächsten Zeile Verify error:No TXT record found at _acme-challenge.domain.de.
Während des DNSSleeps sehe ich bei netcup, dass die TXT-Records vorhanden sind. Also kann acme ja auf die API zugreifen.
Und mit DDNSS klappt es problemlos. Also muss ich doch bei netcup irgendwas einstellen oder was läuft hier falsch?

 

[Wiesel6]

Da muss dann der Username hin, oder?

Die Kundennummer, besteht nur aus Zahlen. Kann gerade nicht nachschauen, dürfte 7 oder 8 stellig sein.

Ansonsten habe ich nichts eingestellt und nur abgewartet.

 

[plang.pl]

Ich hab eine 6-stellige Nummer. Die hab ich eingetragen. Und die TXT-Records werden ja angelegt. Dennoch sehe ich im Log, dass diese angeblich nicht vorhanden sind. Bin da nun schon ein paar Tage dran und es schlägt immer wieder fehl.
Habe es genau so gemacht, wie du:
account.conf unter acme Ordner (also der, der in den Container gemappt ist unter /acme.sh

export NC_Apikey="xzy"
export NC_Apipw="xzy"
export NC_CID="xzy"

Dann acme umgestellt auf Lets Encrypt: acme.sh --set-default-ca --server letsencrypt
Dann:
acme.sh --issue --dns dns_netcup -d example.de &
acme.sh --issue --dns dns_netcup -d example.de *.example.de
Beides mit dem Error:
Verify error:No TXT record found at _acme-challenge.domain.de

 

[plang.pl]

Ich teste es nun erneut. Mit --dnssleep 1800
Das hab ich bei github dazu gefunden.

Bei netcup wird der Record wie gesagt angezeigt:


Ich glaube aber nicht, dass das hilft. Denn von extern kann ich den Record bereits nach einigen Sekunden auslesen:

 

[goetz]

Hallo,

Den Synology.me Zertifikat kann man nicht löschen

ein synology.me Zertifikat kann man löschen, das synology.com Zertifikat nicht.

Gruß Götz