Zertifikatsprobleme für selbst gehostete Websites

[mboh]

Klar, ein LE-Zertifikat hält nur 3 Monate und muss zyklisch erneuert werden.
Ich hab acme.sh als Docker-Container am laufen, da sorgt ein cronjob dafür, dass es täglich versucht wird, es zu verlängern.

JA aber das dachte ich macht der letzte Teil vom Video...

/usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/

 

[mboh]

Also beide Webseiten, Webmail vom Kopano, Photostation. etc. laufen ohne Warnung.

nur das https://www.f....n.com:5001 mit dem ich den DSM aufrufe meinen noch es ist "Nicht sicher" - aber das stört mich ned weiter, da ich den ja nur selber aufrufe.

müsste ich zum regelmäßigen erneuern noch mehr machen als oben beschrieben?

 

[Benares]

Wenn dein Zertifikat für f....n.com gilt es noch lange nicht für *.f....n.com. Du brauchst ein Zertifikat für beides.

 

[patrickn]

Na.. deshalb hat er doch den Zirkus mit dem Wildcard gemacht?


Was genau ist die Fehlermeldung weswegen das Zertifikat ungültig sein soll?


Und ja, der Cron im Aufgabenplaner sollte genügen zum Aktualisieren

 

[mboh]

OK dann noch mal das

root@NetDisk:/usr/local/share/acme.sh# ./acme.sh --deploy -d *.f.....n.com --deploy-hook synology_dsm

???

Denn gerade die web1. und web2.domain.com laufen jetzt ja,
hatte den im Video so verstanden dass wenn beim Zertifikat erzeugen die domain.com UND die *.domain.com aufgeführt sind beide Teile abgedeckt sein müssten,

und mit der Aufgabe das auch täglich dann auf Aktualisierung geprüft werden sollte.

 

[mboh]

Na.. deshalb hat er doch den Zirkus mit dem Wildcard gemacht?


Was genau ist die Fehlermeldung weswegen das Zertifikat ungültig sein soll?


Und ja, der Cron im Aufgabenplaner sollte genügen zum Aktualisieren

Vielen Dank.

eigentlich nur die kleine Info in der Adresszeile.


Die Seite wird sofort aufgerufen, und in den Webseiten kommt das aber nicht....

mit dem anderen Zertifikat kam ja die schwarze Explorerseite in dem ich erst "Risiko bewusst" klicken musste.

 

[Benares]

Ich denke, du hast halt kein Wildcard-Zertifikat, sondern nur eines für f....n.com.

 

[mboh]

sollte aber ja beides erzeugt haben

./acme.sh --issue -d familiebohmann.com -d *.familiebohmann.com --dns dns_ovh --keylength 2048

und in der mitlaufenden Log hat er auch 2x abgerufen und was geschrieben.

und dann ist doch eigentlich das www. gleich wie web1. web2. und andere was vor der domain.com steht oder sehe ich das falsch?
web1. und web2. gehen ja ohne Probleme.

 

[mboh]

Sollte sich erledigt, haben,
ggf war noch was im Cache, obwohl ich alles auf unbegrenzete Zeit löschen ließ
ein Strg F5 hat jetzt noch mal geholfen und es ist überall Weg.

Danke euch und schönen Abend!

 

[Benares]

Ich denke, du hast halt kein Wildcard-Zertifikat, sondern nur eines für f....n.com.

-d familiebohmann.com -d *.familiebohmann.com

Das solltest du auch beim --deploy durchziehen (s.o.)

 

[patrickn]

Wenn keine Sicherheitswarnung kam, dann war es Cache und eine falsche Anzeige vom Browser.
Generell braucht man das doppelte angeben der Domain mit -d domain.xx -d *.domain.xx nur bei --issue, alles andere wie z.B. revoke, renew, remove genügt das "einfache" -d domain.xx, bei deploy wird es vermutlich genau so sein. Das dürfte ausschließlich beim Erstellen des Zertifikats wichtig sein.

 

[mboh]

Vielen Dank euch. jetzt sollte wieder alles klappen.
Projekt completed.

 

[Benares]

Das geht mir jetzt etwas zu schnell. Was war nun denn die Lösung?

 

[patrickn]

Sollte sich erledigt, haben,
ggf war noch was im Cache, obwohl ich alles auf unbegrenzete Zeit löschen ließ
ein Strg F5 hat jetzt noch mal geholfen und es ist überall Weg.

-> Cache, oder irgendwas anderes im Browser, am Zertifikat lags jedenfalls nicht