Zertifikat von let's encrypt kann nicht erneuert/erstellt werden

Status
Für weitere Antworten geschlossen.

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich weiß, das Thema gab es schon, bis jetzt habe ich dabei aber keine Lösung gefunden.

Meine Konstellation:
- Fritzbox als DSL-Router
- DS216Play, DSM 6.1.4-15217 Update 5
- Port 80 und 443 sind freigegeben
- Ich habe eine Domain bei dynv6.net, über die ich das NAS über Port 80 und 443 ansprechen kann.
- Ich hatte ein Zertifikat von let's encrypt, das ich auch schon über die Oberfläche des NAS aktualiesiert habe.
- Wenn ich das Zertifikat jetzt aktualisieren möchte, bekomme ich die Meldung, dass das nicht geklappt hat und ich mich neu anmelden soll. Was mir nicht hilft.
- Ich habe das Zertifikat gelöscht und wollte ein neues holen. Das hilft aber auch nicht. Nach "Verarbeitung läuft" kommt "Vorgang fehlgeschlagen. Bitte neu im DSM anmelden und nochmal probieren." Das hilft natürlich nichts.
- In /var/log/messages finde ich folgende Einträge:
2018-01-09T20:29:30+01:00 DS216 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[23336]: certificate.cpp:957 syno-letsencrypt failed. 200 [new-cert: Unexpect httpcode. (new-cert)]
2018-01-09T20:29:30+01:00 DS216 synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[23336]: certificate.cpp:1359 Failed to create Let'sEncrypt certificate. [200][new-cert: Unexpect httpcode. (new-cert)]

Kann jemand zu dem unexpected httpcode was sagen? Ist das ein Symptom oder deutet es auf die Ursache hin? Es ändert nichts, wenn ich IPv6 in der Fritzbox ausschalte.

Edit: Im DSM habe ich folgende Dinge zum Abrufen eingetragen. Domainname: [meineSubDomain].dynv6.net und meine Mail-Adresse, die vorher auch dafür verwendet wurde. Die Alternativen bleiben leer. Die Subdomain hier einzutragen hat nichts verbessert, egal, ob ich beim Domainnamen den Eintrag mit oder Subdomain vorgenommen habe.

Ich würde mich freuen, wenn mir jemand hier helfen könnte.

Danke und Gruß

Chris
 

nyoman

Benutzer
Mitglied seit
26. Apr 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Habe den Fehler auch regelmäßig. In gefühlt einem von drei Fällen funktioniert es bei mir, wenn ich in der Fritz!Box IPv6 sowie die Diskstation-Firewall deaktiviere.
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Das hilft leider nichts. Der Fehler bleibt, auch wenn IPv6 abgeschaltet wird. Die Firewall habe ich im NAS nicht aktiviert.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Guck mal, ob der Port 80 bei der FritzBox freigeschaltet ist..
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Ja, der ist frei. Ich werde von außen auch zum NAS durchgeleitet, bzw. nicht durchgeleitet, wenn ich ihn sperre.
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hat keiner eine Idee, wie dem Problem auf die Schliche zu kommen ist? Ich bekomme leider immer noch kein Zertifikat von letsencrypt. Das ist besonders ärgerlich, da es ja schonmal geklappt hat.
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Danke für den Tipp, aber das sollte kein Problem darstellen. Die Überprüfung erfolgt über den Vergleich der Datei per HTTP. Deshalb muss Port 80 auch offen sein.

Ich habe Synology mal angetriggert. Vielleicht kommt von da Hilfe.
 

meras

Benutzer
Mitglied seit
21. Apr 2017
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Hatte das gleiche Problem.. habs lösen können, indem ich eine andere E-Mail-Adresse für ein Neuerstellen des Zertifkats genutzt habe... sicherlich nicht Sinn der Sache, aber es hat geholfen..
Konnte bei meinem Domain-Anbieter problemlos die eine Mailadresse löschen und mir eine andere dafür anlegen^^
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
N'Abend,
es wird Zeit für ein Update. Der Support von Synology hat recht fix geantwortet. Ich habe mal einen DDNS-Eintrag gemacht (subdomain.synology.me) und ein Zertifikat darüber abgerufen. Das geht.
Aktuell gibt es die Vermutung, dass der Abruf nicht klappt, wenn der DDNS-Dienst nicht im NAS eingetragen ist. Ich habe jetzt versucht für dynv6.net einen DDNS-Eintrag im NAS vorzunehmen, aber da gibt es auch noch einen Fehler. Ich hoffe, dass der Support mir dabei helfen kann und dass das Abrufen des Zertifikats dann funktionieren wird. Ich berichte weiter, wenn es Neuigkeiten gibt.
 

takkin

Benutzer
Mitglied seit
07. Feb 2018
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Ich stehe vor genau dem gleichen Problem mit denselben Fehlermeldungen.

Domain: *.synology.me
IP: Dual Stack IPv6 + IPv4
Router: Fritzbox 7490
Port 80 frei.
DDNS ist im DSM eingetragen. Genau in dieser Konfiguration habe ich schon mehrmals das Zertifikat erneuert und jetzt geht es plötzlich nicht mehr. Vielleicht liegt es nicht an IPv6 oder der Eintragung im DSM, sondern an der Verlängerung an sich, denn Neubeantragungen gehen ja wieder.

Hat dazu jemand neue Erkenntnisse?
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.518
Punkte für Reaktionen
1.354
Punkte
234
… Ich habe mal einen DDNS-Eintrag gemacht (subdomain.synology.me) und ein Zertifikat darüber abgerufen. Das geht.…

Ich habe auch das Problem, dass das Zertifikat für meine [domain].dynv6.net nicht erneuert oder neu erstellt werden kann (Meldung: "… achten Sie darauf, dass Port 80 und 443 im Router weitergeleitet werden").

[domain].synology.me und [domain].myfritz.net funktionieren. Ich vermute, dass es an einem Limit für die Domain dynv6.net liegt …

… Aktuell gibt es die Vermutung, dass der Abruf nicht klappt, wenn der DDNS-Dienst nicht im NAS eingetragen ist. Ich habe jetzt versucht für dynv6.net einen DDNS-Eintrag im NAS vorzunehmen, aber da gibt es auch noch einen Fehler. …
Da man im DSM ja keine benutzerdefinierte Update-URL bei DDNS eintragen kann, scheitere ich schon beim einrichten von dynv6.net im DSM. Wie hast du das gemacht?
 
Zuletzt bearbeitet:

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Da man im DSM ja keine benutzerdefinierte Update-URL bei DDNS eintragen kann

??????????????

DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register "DDNS" > Schaltfläche "Anpassen" anklicken > neues Fenster > Felder befüllen :) > Speichern
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.518
Punkte für Reaktionen
1.354
Punkte
234
:D … auf der Schaltfläche war ich noch nie.

Habt ihr die gleiche Update-URL eingetragen, wie in der FritzBox?
Bei mir schlägt die Authentifizierung immer fehl … (in der FritzBox gehts)
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register "DDNS" > Schaltfläche "Anpassen" anklicken > neues Fenster > Felder befüllen :) > Speichern
Das habe ich mit den Parametern von dynv6.com auch nicht hinbekommen. Da ist die Beschreibung auf beiden Seiten nicht kompatibel. Oder ich bin zu blöd. ;-) Egal, muss ich ja nicht im NAS eintragen, die FritzBox kann es ja auch.

Bis jetzt ist das ursprüngliche Problem noch nicht gelöst. Der Support hat angeboten direkt auf meinem NAS zu schauen, um dem Problem auf die Schliche zu kommen. Ich muss schon sagen, die sind durchaus geduldig und geben nicht so schnell auf. Da hätten andere Firmen schon lange gesagt "Pecht gehabt.". Ich lasse aber ungerne Fremde auf mein NAS. Wenn ich jetzt noch zwei Platten über hätte, um das frisch aufzusetzen, wäre das was anderes. Im Moment läuft es bei mir über synology.me. Vielleicht wird es was, wenn LE in die nächste Runde geht und das neue Protokoll aktiviert.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Einfach eine Teamviewer Sitzung verabreden (da hab ich zu lange ge-idled @geimist ;) ), dann kannst ja mit schauen, was sie machen und den Stecker ziehen, wenn es dir nicht mehr passt.

Gibt auch den DDNS Updater 2 von QTip der jede Menge Dienste unterstützt, dynv6 auch.

Die dynv6 update URL in der custom Version für Syno DDNS wäre theoretisch
Rich (BBCode):
http://dynv6.com/api/update?hostname=__HOSTNAME__&ipv4=auto&ipv6=auto&token=__USERNAME__&password=__PASSWORD__
bringt aber auch nur Auth Failed
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Biete doch eine Teamviewer-Session an. So kannst du dem Supporter über die Schulter sehen. Wie sollen sie sonst dein Problem lösen?
Einfach eine Teamviewer Sitzung verabreden (da hab ich zu lange ge-idled @geimist ;) ), dann kannst ja mit schauen, was sie machen und den Stecker ziehen, wenn es dir nicht mehr passt.
Stimmt, da könnte ich mal fragen, ob sie das auch machen. Da hätte ich dann wenigstens Kontrolle.

Gibt auch den DDNS Updater 2 von QTip der jede Menge Dienste unterstützt, dynv6 auch.

Die dynv6 update URL in der custom Version für Syno DDNS wäre theoretisch
Rich (BBCode):
http://dynv6.com/api/update?hostname=__HOSTNAME__&ipv4=auto&ipv6=auto&token=__USERNAME__&password=__PASSWORD__
bringt aber auch nur Auth Failed
Das sieht sehr aus, wie das, was ich probiert habe. Dann habe ich es doch richtig verstanden und es lag nicht an mir. :cool:
Ich muss das aber auch nicht über das NAS einrichten, weil es über die Fritzbox gut läuft.

Ich werde weiter berichten, was der Support so sagt.
 

syncl

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Ich möchte Euch den letzten Stand nicht vorenthalten. Bevor ich mit dem Support eine Teamviewer-Sitzung verabreden konnte, habe ich das Update des Zertifikats nochmal probiert. Und siehe da, es ging. Das Problem scheint sich durch irgendein Update auf dem NAS, bei LE oder sonstwie erledigt zu haben. Für mich hat sich das Problem jetzt erledigt.
 

racemase

Benutzer
Mitglied seit
14. Dez 2018
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hatte das gleiche Problem.. habs lösen können, indem ich eine andere E-Mail-Adresse für ein Neuerstellen des Zertifkats genutzt habe... sicherlich nicht Sinn der Sache, aber es hat geholfen..
Konnte bei meinem Domain-Anbieter problemlos die eine Mailadresse löschen und mir eine andere dafür anlegen^^

Ich habe auch alles Mögliche probiert, und letztlich hat das Andern der E-Mail-Adresse geholfen. Muss man nicht verstehen ...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat