Zertifikatsprobleme für selbst gehostete Websites

[mboh]

Hallo,
vor Jahren hatte ich das schon mal geschafft, mit den alten ewig gültigen Zertifikaten, aber seit einem Crash und Neuinstallation des Systems ist der Wurm drin.
Ich habe zwar versucht irgendwie dahinter zu kommen wie ich das damals gemacht habe jedoch ohne Erfolg - Je mehr ich mich in diversen alten Themen einlese desto verwirrter werde ich und daher mal kurz mein Problem beschrieben.

Auf meiner Syno werden im WEB Ordner zwei Webseiten gehostet die auch entsprechend von meiner Domain weitergeleitet werden.
Meine Domain "famxxx.com" verweist auf über meine IP Auf mein NAS in dem der DDNS Updater die Einträge entsprechend aktuell hält.

meine Syno mit dem Mail/Exchange Server erreiche ich über die "www.domain.com" die beiden Webseiten über "web1.Domain.com" und "web2.Domain.com"

ich habe ein LetsEncrypt Zertifikat angelegt und für die www.domail.com Ausgestellt. (die originale mit nur "domain.com" klappt nicht daher mit der www.
in den alternativen Namen sind die web1.domain.com und web2.domain.com sowie weitere Aliasis wie der mailserver mit exchange.domain.com etc. hinterlegt.
Das Zertifikat wurde als Standard angelegt und in der Systemsteuerung unter Sicherheit-Zertifikate-Konfiguration auch allen aufgelisteten Diensten entsprechend zugewiesen.


Wenn ich jedoch die Webseite aufrufe kommt die Fehlermeldung
Was hab ich da vergessen,
muss ich bei OVH noch irgendwas bei meiner Domain Konfiguration machen oder das Zertifikat händisch irgendwo in der Syno abspeichern?

Vielen Dank für die Unterstützung.

 

[Tommi2day]

Wenn das Zertifikat nur auf www.<domain>.com ausgestellt ist, darf man die URL auch nicht mit imxxx.<domain.com> aufrufen

 

[mboh]

Das Problem ist das ich kein LetEncrypt Zertifikat für nur domain.com anlegen kann.
mit dem www. oder web1. davor klappte es.

ein selbst unterschriebenes kann ich zwar anlegen - da geht das nur domain.com aber dann habe ich dennoch die Meldung

 

[Ronny1978]

Ich denke du brauchst hier ein Wildcard-Zertifikat. Das geht - glaube ich - mit der Synology Domain xxxx.xxxx.me oder mit einer eigenen Adresse nur über die Konsole. Youtube Video gibt es hier.

 

[patrickn]

Zertifikat für "domain.com" ohne subDomain muss eigentlich auch gehen, hat die Domain vielleicht kein A/AAAA record und vereist auf... nichts?

 

[mboh]

Das mit dem Wildcard Zertifikat werde ich umsetzen. Die Videoanleitung ist super,
allerdings stoße ich gegen Ende wenn es darum geht das Zertifikat auf die Syno zu bringen an meine Grenzen des Nachmachens.
ich habe alle bestehenden eigenen Zertifikate im DSM gelöscht und nur noch das Original Synology Zertifikat als Standard drin.
allerdings egal ob ich den Zertifikatsexport dann Leer lasse oder das acme nehme - Beim Übertragen bekomme ich keines aus dem Ordner in die Syno Struktur...
Wo könnte ich da was suchen um das Zertifikat in die Syno zu bekommen...

 

[Ronny1978]

Kann es sein, dass du nach deinem Domainnamen dass "--deploy-hook synology_dsm" vergessen hast, oder sehe ich das nur nicht? Bzw. ist das verdreht. Im Video sehe ich:

acme.sh --deploy -d f.........com --deploy-hook synology_dsm

 

[mboh]

Das ist der Screenshot nach dem Pfad im acme Wiki - dort ist das deploy-hook davor gewesen.

jedoch egal ob davor oder wie im Video das Ergebnis ist leider das selbe :-(

müsste ich auf der Konsole noch irgendwo die Zertifikate die ich im GUI gelöscht habe entfernen?

 

[Benares]

Meines Wissens adressiert SYNO_Certificate die Beschreibung des Zertifikats, das ersetzt werden soll. Sollte es neu sein, muss zusätzlich SYNO_CREATE=1 sitzen.

Ich deploye meine Zertifikate folgendermaßen:

root@DS1522:~/scripts# cat acme_deploy.sh
DOMAIN=example.com
export SYNO_Username="nasadmin"
export SYNO_Password="nasadmin_password"
export SYNO_Certificate="*.$DOMAIN"
export SYNO_Hostname="DS1522"
echo "Deploying $SYNO_Certificate to $SYNO_Hostname ..."
~/.acme.sh/acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm
export SYNO_Hostname="DS415"
echo "Deploying $SYNO_Certificate to $SYNO_Hostname ..."
~/.acme.sh/acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm

wobei Username/Password bei beiden gleich ist und die Beschreibung bei beiden auf "*.example.com" sitzt

 

[mboh]

Hmm das SYNO_Create=1 lässt sich auch nicht richtig abschließen...

root@NetDisk:~# cd /usr/local/share/acme.sh
root@NetDisk:/usr/local/share/acme.sh# export SYNO_Username="user"
root@NetDisk:/usr/local/share/acme.sh# export SYNO_Password="pW"
root@NetDisk:/usr/local/share/acme.sh# export SYNO_CREATE=1
root@NetDisk:/usr/local/share/acme.sh# export SYNO_Certificate="f.......n.com"
root@NetDisk:/usr/local/share/acme.sh# acme.sh --deploy -d f.......n.com --deploy-hook synology_dsm
[Sat Nov 30 16:57:58 CET 2024] The domain 'f.......n.com' seems to already have an ECC cert, let's use it.
[Sat Nov 30 16:57:59 CET 2024] Logging into localhost:5000...
[Sat Nov 30 16:58:00 CET 2024] Getting certificates in Synology DSM...
[Sat Nov 30 16:58:00 CET 2024] Generating form POST request...
[Sat Nov 30 16:58:00 CET 2024] Upload certificate to the Synology DSM.
[Sat Nov 30 16:58:01 CET 2024] Unable to update certificate, got error response: {"error":{"code":5598},"success":false}.
[Sat Nov 30 16:58:01 CET 2024] Error deploying for domain: f.......n.com
[Sat Nov 30 16:58:01 CET 2024] Error encountered while deploying.

Sorry wenn jetzt Dumme Fragen kommen aber das ist dann eher viel Vorsicht, denn irgendwie hoffe ich das alles mit dem Wildcart Zertifikat lösen zu können.

Kann ich die erzeugten Zertifikatsinhalte irgendwie anders exportieren (so aus einem Ordner Kopieren und irgendwo anderweitig einfügen?) oder vorher gründlich bereinigen?

@Benares Wenn ich jetzt deinen Code nutzen möchte dann geht's auch im entsprechenden Verzeichnis los "cd /usr/local/share/acme.sh" oder?
ich müsste dann in dem Verzeichnis das so eingeben?

DOMAIN=f....n.com
export SYNO_Username="nasadmin"
export SYNO_Password="nasadmin_password"
export SYNO_Certificate="f....n.com"
export SYNO_Hostname="NetDisk..."
??~/.acme.sh/??acme.sh --deploy -d f....n.com -d *.f....n.com --deploy-hook synology_dsm

=> Brauche ich die zwichen den Fragezeichen wenn ich ja im acme.sh Ordner beginne?!

Was könnte ich noch machen?!

 

[Benares]

Kommt halt drauf an, wo dein acme.sh-Script liegt. Kannst auch absolute Pfade verwenden.

 

[patrickn]

Welche DSM Version nutzt du, dem Screenshot nach eine ältere? DSM6.2?

Ältere können ECC Zertifikate nicht, erstelle mal ein neues Zertifikat mit dem RSA Parameter --keylength 2048 beim --issue befehl, damit wird RSA statt ECC verwendet, deinem Screenshot nach wurde ECC verwendet, vielleicht ist das das Problem

 

[mboh]

JA DSM 6.2 da ich Docker und Kopano drauf betreibe und Das unter 7 ja leider nicht klappt.

Könnte man da trotzdem was lösen?! Kann mit

erstelle mal ein neues Zertifikat mit dem RSA Parameter --keylength 2048 beim --issue befehl,

nichts anfangen was ich tun soll - Sorry Konsolen Step By Step Dummy

 

[mboh]

Das alte hatte ich eben so erstellt...

./acme.sh --issue --dns dns_ovh -d f.....n.com -d *.f.....n.com

- Wo müsste da dieser RSA Parameter dazu?
- muss ich vorher die nachmittags erstellten Zertifikatsdateien löschen, denn ich habe zum Testen den obigen Code schon ein zweites mal ausführen lassen dann kam "Domains not Changed" Skipping - Next Erneuerung nach Ablauf des Zertifikats...

drwx------ 8 root root   4096 Nov 30 12:59 .
drwxr-xr-x 9 root root   4096 Nov 30 11:50 ..
-rw-r--r-- 1 root root    436 Nov 30 14:00 account.conf
-rwxr-xr-x 1 root root 226251 Nov 30 11:50 acme.sh
-rw-r--r-- 1 root root     98 Nov 30 11:50 acme.sh.env
drwxr-xr-x 4 root root   4096 Nov 30 13:35 ca
drwxr-xr-x 2 root root   4096 Nov 30 11:50 deploy
drwxr-xr-x 2 root root   4096 Nov 30 11:50 dnsapi
drwxr-xr-x 2 root root   4096 Nov 30 14:00 f...n.com_ecc
-rw-r--r-- 1 root root    355 Nov 30 17:40 http.header
drwxr-xr-x 2 root root   4096 Nov 30 12:58 mydomain.com_ecc
drwxr-xr-x 2 root root   4096 Nov 30 11:50 notify

das wäre der Inhalt des acme.sh Ordners

 

[patrickn]

Einfach hinten dran packen, was du laut Video machen solltest, nur noch mit dem keylength-Parameter:

./acme.sh --issue -d domain.com -d *.domain.com --dns dns_ovh --keylength 2048

Kann aber sein, dass er da auch wieder meckert, dann noch ein --force hinten dran
./acme.sh --issue -d domain.com -d *.domain.com --dns dns_ovh --keylength 2048 --force

...kann aber auch sein, dass das Zertifikat vorher gelöscht werden muss , bevor es neu mit RSA erstellt werden kann, da bin ich mir jetzt nicht sicher (vermutlich wird es aber so sein):

./acme.sh --revoke -d domain.com
./acme.sh --remove -d domain.com

und dann wieder neu erstellen:
./acme.sh --issue -d domain.com -d *.domain.com --dns dns_ovh --keylength 2048

Und dann mit dem normalen Synology Deploy-Hook aus dem Video weiter machen

 

[mboh]

Das hat doch schon mal geklappt...

[Sat Nov 30 18:35:49 CET 2024] Your cert is in: /usr/local/share/acme.sh/f.....n.com/f.....n.com.cer
[Sat Nov 30 18:35:49 CET 2024] Your cert key is in: /usr/local/share/acme.sh/f.....n.com/f.....n.com.key
[Sat Nov 30 18:35:49 CET 2024] The intermediate CA cert is in: /usr/local/share/acme.sh/f.....n.com/ca.cer
[Sat Nov 30 18:35:49 CET 2024] And the full-chain cert is in: /usr/local/share/acme.sh/f.....n.com/fullchain.cer
root@NetDisk:/usr/local/share/acme.sh# export SYNO_Username="user"
root@NetDisk:/usr/local/share/acme.sh# export SYNO_Password="pw"
root@NetDisk:/usr/local/share/acme.sh# export SYNO_Certificate=""
root@NetDisk:/usr/local/share/acme.sh# export SYNO_CREATE=1
root@NetDisk:/usr/local/share/acme.sh# ./acme.sh --deploy -d f.....n.com --deploy-hook synology_dsm
[Sat Nov 30 18:38:40 CET 2024] Logging into localhost:5000...
[Sat Nov 30 18:38:40 CET 2024] Getting certificates in Synology DSM...
[Sat Nov 30 18:38:41 CET 2024] Generating form POST request...
[Sat Nov 30 18:38:41 CET 2024] Upload certificate to the Synology DSM.
[Sat Nov 30 18:38:41 CET 2024] Restart HTTP services failed.
[Sat Nov 30 18:38:41 CET 2024] Success

Jetzt mal starten und Cache leeren ob die Websites diesen Fehler nicht mehr anzeigen

 

[Benares]

Wieso, passt doch. Jetzt musst du nur das "neue" Zertifikat den betroffenen Diensten zuweisen. Beim nächsten Mal lässt du das SYNO_CREATE=1 einfach weg und setzt SYNO_Certificate auf die Beschreibung des zu aktualisierenden.

 

[mboh]

beim Nächsten mal ?!

Muss ich jetzt dann trotz dieser laufenden Aufgabe noch was machen?
diese sollte doch automatisch aktualisieren!?

Das original Syno Zertifikat könnte ich ja auch löschen oder soll ich es behalten?

 

[Benares]

beim Nächsten mal ?!

Klar, ein LE-Zertifikat hält nur 3 Monate und muss zyklisch erneuert werden.
Ich hab acme.sh als Docker-Container am laufen, da sorgt ein cronjob dafür, dass es täglich versucht wird, es zu verlängern.

 

[patrickn]

Ah, also lag es wohl tatsächlich am ECC Zertifikat


Ich würde das Synology Zertifikat drin lassen, stört ja nicht