Zertifikat lässt sich nicht erneuern

[theexciter]

Ich muss jetzt auch mal ein großes Lob und Dankeschön an @EDvonSchleck aussprechen

Mit seiner Hilfe konnte ich jetzt anch einigem hin und her auch mit acme.sh das Wildcardzertifikat auf meiner Syno einspielen - bei mir lag es an der im Hintergrund laufenden Webstation und einem zickigen Kennwort für den User welcher das Cert pusht...

Jetzt läuft zumindest acme im Hintergrund und das Zertifikat erneuert sich automatisch

Wenn ich jetzt HyperBackup noch gefixt bekomme ist alles tutti

 

[Ben18]

Hallo zusammen,

vielen Dank für die detaillierten Ausführungen in diesem Thread, vor allem @EDvonSchleck!

Nachdem ich schon lange nach einer Lösung gesucht habe, die regelmäßige Erneuerung meines LE-Zertifikats zu automatisieren (die Aufgabe bestand zwar nur aus der temporären Portweiterleitung im Router und der Anpassung der DS-Firewall, nervte aber im Laufe der Zeit), hat es Dank der Anleitung nun in kurzer Zeit geklappt. (Statt fünf Minuten waren es am Ende vier Stunden, aber das lag an immer neuen individuellen Herausforderungen, die es zu umschiffen galt (redundante DNS-Einträge intern/extern mit unterschiedlichen Zielen, unvorhergesehene Probleme bzgl. notwendiger Kennwortänderung nach Erstellen des neuen Admin-Users, aktive Richtlinie zur 2FA-Absicherung von Admin-Konten, die ich nicht mehr auf dem Schirm hatte und die sich ohne einmalige Anmeldung im DSM nicht offenbart hatte etc.).

Dass ich nun auch ein Wildcard-Zertifikat mit meiner eigenen Domain laufen lassen kann, macht die Sache noch attraktiver (mein DDNS-Anbieter ist übrigens selfhost.de, dieser wird ebenfalls direkt durch acme.sh unterstützt und bietet mir seit Jahren treue Dienste). Und zu guter Letzt ist auch noch ein separates Zertifikat für die FRITZ!Box abgefallen, deren WireGuard-Port nun als einziger nach außen hin geöffnet ist und unter eigener Subdomain ohne Verwendung des MyFRITZ-Dienstes erreichbar ist.

Insgesamt eine runde Sache (ich hoffe, die Lösung funktioniert nun auch ohne weitere große Änderungen die nächsten Jahre). Allen Unterstützern hier großes Lob für den geduldigen Support!

Viele Grüße

 

[Vuk]

Hallo,
danke für die Anleitung.
Leider erhalte ich einen Fehler, dass der API key fehlt, nachdem ich den folgenden Befehl eingebe: acme.sh --issue --dns dns_netcup -d XXX.de -d *.XXX.de --dnssleep 300
Die Datei Account.conf liegt in dem acme-Ordner, wobei der api key (NC_Apikey) enthalten ist.

Hat jemand einen Tipp, wo der Fehler sein könnte?

Details:
[Sat Dec 9 17:51:19 UTC 2023] {"serverrequestid":"ow0QO=YZd1WZDYUVd","clientrequestid":"","action":"","status":"error","statuscode":4013,"shortmessage":"Validation Error.","longmessage":"Api key missing. JSON decode failed while validating request.","responsedata":""}
[Sat Dec 9 17:51:19 UTC 2023] {"serverrequestid":"dh=UqqMVQ30UUjnZG","clientrequestid":"","action":"","status":"error","statuscode":4013,"shortmessage":"Validation Error.","longmessage":"Api key missing. JSON decode failed while validating request.","responsedata":""}
[Sat Dec 9 17:51:19 UTC 2023] Error add txt for domain:_acme-challenge.XXX.de
[Sat Dec 9 17:51:19 UTC 2023] Please add '--debug' or '--log' to check more details.
[Sat Dec 9 17:51:19 UTC 2023] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

 

[Benares]

Lies mal hier. Beim ersten Mal solltest du besser die 3 Werte als Variablen setzen. acme.sh merkt sich die dann in der account.conf, so dass man das beim nächsten Mal nicht mehr braucht.

 

[Vuk]

Genau, diese Variablen habe ich in der Datei Account.conf, welche sich im Ordner docker/acme befindet, angegeben.
Sobald ich dann das Zertifikat erzeugen lasse, erhalte ich die o.g. Fehlermeldung.
Muss man die Datei noch irgendwie speziell reinladen? Nach den Anleitungen wohl nicht...

 

[Benares]

also in einer account.conf steht drin:

export NC_Apikey=...
export NC_Apipw=...
export NC_CID=...
...
SAVED_NC_Apikey=...
SAVED_NC_Apipw=...
SAVED_NC_CID=...

Ich hatte m.W. da nichts eingetragen, sondern nur die Variablen gesetzt

 

[Vuk]

Jap, die Datei hat folgenden Inhalt:

export NC_Apikey='key'
export NC_Apipw='pw'
export NC_CID='123'
export SYNO_Username='acme.sh-Benutzer'
export SYNO_Password='pw2'
export SYNO_Certificate="ACME"
export SYNO_Hostname="127.0.0.1"
SAVED_NC_Apikey='key'
SAVED_NC_Apipw='pw'
SAVED_NC_CID='123'

 

[Benares]

Sorry, kann ich nichts dazu sagen. Ich sehe keinen Fehler. Und die Werte stimmen definitiv? Auch mit einem Unix-fähigen Editor (LF statt CRLF) editiert?

 

[p4-freak]

Hallo zusammen, ich schreibe jetzt mal hier, bevor ich einen neuen Thread öffne.

Ich habe eine Strato Domain, per Dyndns eingestellt.
Jetzt hab ich auf der DS920 den Webserver aktiviert und die Website am laufen, auch mit der Strato Domain.
Allerdings hab ich jetzt kein gültiges Zertifikat und weiß gerade nicht wie ich das ändern kann, ich hab bereits ein lets encrypt zertifikat in der DS erstellt und auch zugewiesen aber die Verbindung ist trotzdem unsicher.

Was genau mach ich den falsch? Oder muss ich bei Strato was ändern?

 

[plang.pl]

Da brauchen wir schon etwas mehr Infos. Und: Wenn du mit IP-Adresse oder Hostname auf die DS zugreifst, gilt das Zertfikat nicht.

 

[p4-freak]

Ich habe auf der DS die Webstation am laufen und mit Wordpress manuell installiert.
In Wordpress bzw. Webstation hab ich den Namen der Adresse von Strato (Domain) angegeben.
Jetzt kann ich ganz normal darauf zugreifen, das geht alles.

In Strato hab ich einmal alles per DNS abgelegt, damit ich das in die Synology eintragen und mich anmelden konnte.
D.h. ich greife normal mit IP auf die Synology zu, brauch ich das evtl. sogar gar nicht?

Bei Strato hab ich auch ein Zertifikat, aber ich kann es nicht anwählen weil ich das ganze mit DNS gemacht habe, muss ich jetzt bei Strato einfach nur den Typ der Domain ändern, und wenn ja in welchen?

 

[alexhell]

Ich würde mir an deiner Stelle zwei mal überlegen, ob ich Wordpress auf meiner DS betreibe. Wordpress hat immer wieder Sicherheitslücken bzw. eher die Plugins. Vor allem wenn viele Grundkenntnisse fehlen, ist es eigentlich nur eine Frage der Zeit bis irgendwas passiert. Ich würde das bei Strato laufen lassen, wenn du da eh schon Kunde bist.

Du musst das Zertifikat bei deiner DS dir holen und dann zuweisen. Da hat Strato nichts mit zu tun, weil du landest ja nicht bei denen, sondern die verweisen den Besucher zu deiner DS. Da läuft deine Anwendung bzw. zeigt die Domain drauf und daher muss das Zertifikat auch von da kommen.

 

[p4-freak]

Ich hab bereits die Domain manuell ein Zertifikat zugewiesen, aber es geht nicht.
Sobald ich auch www. eintrage bei der DS kommt ein Fehler, und ohne WWW. geht es.

Es muss doch auch über Strato gehen.

 

[alexhell]

Was geht nicht? Das Zertifikat oder die Umleitung auf deine DS? Umleitung muss natürlich bei Strato gemacht werden. www ist nur eine Subdomain von deiner Domain. Also musst du das auch auf deine DS zeigen. Da kannst du auch CNAME und als Wert @ eintragen. @ Zeigt auf deine Hauptdomain.

Edit: Und wegen dem Zertifikat. example.de und www.example.de brauchen entweder jeweils ein eigenes Zertifikat oder man trägt eine davon als alternativer Name ein. Dritte Möglichkeit wäre ein Wildcard Zertifikat für *.example.de

 

[plang.pl]

Das Problem ist, dass du für Strato auf der DS kein Wildcard-Zertifikat bekommst, weder über die Oberfläche noch über acme.sh. Das wird nicht supported. Sprich dein Zertifikat gilt nicht für www, sondern nur für die Domain selbst.

 

[p4-freak]

okay, aber ich kann ja in der Webstation nur das ganze mit WWW. eintragen und nicht ohne WWW.

 

[alexhell]

Du musst example.de am Besten umleiten auf www.example.de oder umgekehrt. Je nachdem was du lieber nutzen willst. Die Umleitung kannst du mit einer .htaccess machen, mit einem Reverse Proxy oder selber NGinx Configs bearbeiten.
Aber diese Fragen bringen mich immer wieder zu der Frage: Wieso willst auf Wordpress ohne Grundkenntnisse auf deiner NAS betreiben? Sind dir deine Daten so unwichtig?

 

[p4-freak]

Ich möchte jetzt in der Zeit wo ich Urlaub habe, damit etwas spielen testen.
Kann ich die Website auch mit der Webstation nur intern im Netzwerk anzeigen lassen?

 

[alexhell]

Du kannst doch Wordpress auch lokal installieren. Also ohne deine Domain zu nutzen. Dann rufst du es halt über http://syno-iport auf.

 

[p4-freak]

Ich hab es ja bereits installiert oder wo meinst du lokal? Wie soll ich es den sonst aufrufen wenn nicht so wie jetzt?