Zertifikat lässt sich nicht erneuern

abrocksi

Benutzer
Mitglied seit
27. Dez 2013
Beiträge
251
Punkte für Reaktionen
82
Punkte
28
Hi EdvonSchleck,
hatte ich bereits in Post 70 erwähnt und wie gesagt, alle Rechte-Varianten bei dem Admin-User durchgespielt. Dabei diese beiden Variablen nach Anleitung gesetzt: Einmal Syno_DID, ein anderes mal Syno_TOTP_Secret.
Daran liegt es meines Erachtens nicht.
Kann aber erst heute Abend wieder testen, da aktuell im Büro.
cheers,
abrocksi
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
...long story short: Zertifikat in der DS zurückgesetzt, den Domain-Ordner in der Filestation gelöscht, account-conf drin gelassen und dann über acme-docker-Konsole die Befehle 2 und 3 ausgeführt.

Kann ich so nicht bestätigen. Das alte Zertifikat wurde ohne ECC gelabelt und auch der Domain-Ordner in /acme war ohne ECC. Zum Testen habe ich es so ausgeführt, wie du beschrieben hast. Ich habe dadurch ein ECC Zertifikat erhalten, welches auch so in der DS gelabelt ist. Der Ordner in /acme hat die Bezeichnung Domain_ECC. Einen Domain-Ordner gibt es nicht mehr. Ich habe nur die Export-Werte in der account.conf gelassen und den Container zurückgesetzt, um sicherzugehen, dass nichts Altes übrig geblieben ist.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
So schaut es bei mir aus:

C6CDBF54-AD76-4463-9D70-610D3002B48F.jpeg








Auch kein ECC im Verzeichnis.

ich teste das später noch mal
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
@EDvonSchleck: habe deine Vorgehensweise repliziert und (du wirst es besser wissen) jetzt habe ich auch ein ECC-Zertifikat
 
  • Haha
Reaktionen: ctrlaltdelete

Wiesel6

Benutzer
Mitglied seit
22. Aug 2016
Beiträge
323
Punkte für Reaktionen
102
Punkte
43
Wie im Freunde-Thread geschrieben wollte ich mir das Thema acme die Tage genauer anschauen.
Folgendes habe ich bisher gemacht und habe erfolgreich ein Zertifikat in der Synology importiert.


Eine eigene URL extra für diese Spielerei habe ich mir bei Netcup im Angebot besorgt, dass ich zukünftig nicht mehr über meine synology.me Adresse gehen muss.
Ist zwar nur etwas spielerei, aber vaultwarden.example.com sieht besser aus wie vaultwarden.example.synology.me
Vorallem Beitrag 57 hier im Thread war meine Vorlage.

Im ersten Schritt die API für acme.sh nach dieser Anleitung erstellt.
Docker nach der Anleitung in #57 installiert und meine Account.conf erstellt. Der letzte Eintrag musste ich einfügen, da beim übertragen ins DSM gemeckert wurde. Die Einträge für netcup sind hier bei github und die Übertragung ins DSM hier beschrieben

Code:
export NC_Apikey="xzy"
export NC_Apipw="xzy"
export NC_CID="xzy"
export SYNO_Username="ein Admin User"
export SYNO_Password="Passwort"
export SYNO_Certificate="freitext"
export SYNO_Create=1

Mit folgenden Befehle klappte es bei mir.
Code:
acme.sh --issue --dns dns_netcup -d example.com -d www.example.com

Und (--insecure musste ich ergänzen, obwohl ich normalerweise per http zugreife)

Code:
acme.sh --deploy --insecure -d example.com --deploy-hook synology_dsm

zertifikate.png

Wo ich gedanklich noch hänge, in der verlinkten Anleitung von @EDvonSchleck gibt es noch den Punkt zum automatischen Update des Zertifikats. Ich habe irgendwie im Kopf, dass das nicht mehr notwendig sei, weiß es aber nicht genau. Könnt ihr mir hier weiterhelfen?



Im nächsten Schritt werde ich in Adguard meine vaultwarden.example.com und den Reverse Proxy einrichten und testen, ob ich ohne Fehlermeldung zum Zertifikat die Seite aufrufen kann.

Bis hierhin schon Danke und ich hoffe mit meinen Punkten zu Netcup kann ich jemanden anderen auch weiterhelfen. Diese hatte ich spontan hier im Forum noch nicht gefunden.


Edit: Was mir noch einfällt. habe ich jetzt ein richtiges Wildcard-Zertifikat oder hätte ich bei der URL *.example.com eintragen müssen?
Edit2: Ich bin gerade über diesen Beitrag gestoßen. Dynv6.com habe ich bereits im Einsatz. Wäre es einfacher gewesen, dies anstelle der Netscape API zu nutzen, da ich mich nur im Heimnetz bewege?
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
export NC_CID="xzy"
Da muss dann der Username hin, oder?
Was mir noch einfällt. habe ich jetzt ein richtiges Wildcard-Zertifikat
Das würde mich auch interessieren. Schau mal im Zertifikat ob bei alternativer Name *.deinedomain.de gelistet ist. Denke aber nicht, da du nur www angegeben hast.
wenn nicht, müsstest du den Befehl so abändern:
acme.sh --issue --dns dns_netcup -d example.com -d *.example.com

Was hast du bei Netcup selbst für DNS-Einträge gesetzt?
 
  • Like
Reaktionen: Wiesel6

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
Die netcup Empfehlung (auch für mich) kam seinerzeit von @EDvonSchleck und seine Begründung hierfür war auch ein „echtes“ Wildcard-Zertifikat (Inkl. Preis/Leistung).
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Nein, du hast kein Wildcardzertifikat. Du hast lediglich ein Zertifikat für die Domain und Subdomain "www" erstellt. Somit bekommst du auch eine Fehlermeldung bei Vaultwarden.

Ich wurde bei dir erst einmal die Zertifikate zurücksetzen, um ein bisschen Ordnung zu bekommen und danach den 3. Befehl noch einmal neu ausführen. Warum du noch weitere Einstellungen und Befehle benötigst, kann ich dir nicht sagen. Ich habe es heute aber 2x erfolgreich und ohne Probleme installiert, wie in meinen Anleitungen. Eines davon sogar über den Alias-Mode, wo der Provider nicht von acme.sh unterstützt werden muss!

Ob du Netcup oder dynv6 nutzen willst ist egal, das kannst du machen, was dir lieber ist. Bei beiden Anbietern musst du nicht konfigurieren oder weiterleiten.

Das automatische Update funktioniert. Genau 24h nach Beantragen des Zertifikats wird einer neuen Überprüfung gestartet. Das kann man im Container > Details > Protokoll sehr gut erkennen. Dort steht auch das Datum, ab wann eine Aktualisierung vorgenommen wird. Das sollte 60 Tage nach der Beantragung sein.

Was hast du bei Netcup selbst für DNS-Einträge gesetzt?
Was für DNS Einträge? Für den netzinternen Gebrauch ist keine Einrichtung nötig. Dort funktioniert alles über eine API.
 
  • Like
Reaktionen: Thonav und Wiesel6

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das heißt, dass bei Netcup gar keine IP hinterlegt sein muss, die auf mich verweist, damit das Zertifikat von LE ausgestellt wird?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
Genau, bei netcup reicht es, die Wunschdomain zu parken. Da hängt also kein Web-Paket, o.ä., hinten dran.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Web-Space braucht man nicht, is klar. Aber für die Domain kannst du DNS-Einträge beim Anbieter selbst hinterlegen. Und ich ging davon aus, dass man das machen muss.
 

Wiesel6

Benutzer
Mitglied seit
22. Aug 2016
Beiträge
323
Punkte für Reaktionen
102
Punkte
43
Nein, du hast kein Wildcardzertifikat. Du hast lediglich ein Zertifikat für die Domain und Subdomain "www" erstellt. Somit bekommst du auch eine Fehlermeldung bei Vaultwarden.
Danke für die Bestätigung. Nach meinen Edit2 hatte ich die Frage ja bereits selbst beantwortet. Den dort hat du den Befehl schon mit *.example.com geschrieben. Ich werde heute Abend es löschen und neu starten.

So ein Wildwuchs habe ich bei meinem Zertifikat nicht. :D Das alte bis 2036 ist das von DSM6. Besser haben wir brauchen. Und das automatisch angelegte von ABfB habe ich heute erst gesehen, das muss ich noch löschen.
Dann das Synology.me und mein neues.

Bzgl. Netcup oder Dynv6. Danke für die Erklärung.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Also ich habe es erneut versucht und erhalte weder ein Wildcard-Zertifikat noch eins ohne Wildcard.
Auch im Debug-Log steht nix Auffälliges. Im Gegenteil: Zuerst taucht auf Code 200 und direkt in der nächsten Zeile Verify error:No TXT record found at _acme-challenge.domain.de.
Während des DNSSleeps sehe ich bei netcup, dass die TXT-Records vorhanden sind. Also kann acme ja auf die API zugreifen.
Und mit DDNSS klappt es problemlos. Also muss ich doch bei netcup irgendwas einstellen oder was läuft hier falsch?
 

Wiesel6

Benutzer
Mitglied seit
22. Aug 2016
Beiträge
323
Punkte für Reaktionen
102
Punkte
43
Da muss dann der Username hin, oder?
Die Kundennummer, besteht nur aus Zahlen. Kann gerade nicht nachschauen, dürfte 7 oder 8 stellig sein.

Ansonsten habe ich nichts eingestellt und nur abgewartet.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich hab eine 6-stellige Nummer. Die hab ich eingetragen. Und die TXT-Records werden ja angelegt. Dennoch sehe ich im Log, dass diese angeblich nicht vorhanden sind. Bin da nun schon ein paar Tage dran und es schlägt immer wieder fehl.
Habe es genau so gemacht, wie du:
account.conf unter acme Ordner (also der, der in den Container gemappt ist unter /acme.sh
Code:
export NC_Apikey="xzy"
export NC_Apipw="xzy"
export NC_CID="xzy"

Dann acme umgestellt auf Lets Encrypt: acme.sh --set-default-ca --server letsencrypt
Dann:
acme.sh --issue --dns dns_netcup -d example.de &
acme.sh --issue --dns dns_netcup -d example.de *.example.de
Beides mit dem Error:
Verify error:No TXT record found at _acme-challenge.domain.de
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich teste es nun erneut. Mit --dnssleep 1800
Das hab ich bei github dazu gefunden.

Bei netcup wird der Record wie gesagt angezeigt:
2.png

Ich glaube aber nicht, dass das hilft. Denn von extern kann ich den Record bereits nach einigen Sekunden auslesen:
1.png
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat