Zertifikat bei Let’s Encrypt für Synology verlängern
In diesem Beitrag hatte ich geschrieben wie man seine Synology Diskstation für einen externen Zugriff absichert. Eine Aktivität war es nur verschlüsselte Verbindungen per HTTPS zuzulassen.
Bei der Ersteinrichtung ist das kein Problem. Ein Let’s Encrypt Zertifikat hat aber ein Ablaufdatum. Vor diesem Datum muss die Synology per Port 80 (HTTP) aber eine unverschlüsselte Kommunikation zu den Servern aufbauen. Ich wollte aber keinen Port 80 bei mir im Netzwerk freigeben, sondern nur verschlüsselte Verbindungen nach außen. Also habe ich am Router den Port nach der Zertifikatserstellung wieder gesperrt.
Ergebnis war (welche Überraschung), dass das Zertifikat nicht verlängert werden konnte und kein Zugriff mehr möglich war 🙂
Ich habe nun einen manuellen Weg gesucht um das abgelaufene Zertifikat wieder zu verlängern:
- Port 80 am Router freigeben
- Per SSH folgendes auf der Synology ausführen – /usr/syno/sbin/syno-letsencrypt renew-all
- Port 80 am Router wieder sperren
Damit wir der „renew“ auf das Zertifikat durchgeführt.
Wie geht Ihr mit euren Zertifikatsverlängerungen um? Würdet Ihr den automatischen Weg über HTTP bevorzugen oder doch lieber manuell und etwas sicherer?
Hallo, hatte auch meinen Port 80 gesperrt gehabt, nun ist das Zertifikat aber abgelaufen. Die Erneuerung mit ssh … wie beschrieben scheint nicht zu klappen. Aber der Versuch, mit /usr/syno/sbin/syno-letsencrypt new-cert … ein neues zu bekommen klappt auch nicht. Fehlermeldung: Failed to read from /usr/syno/etc.defaults/letsencrypt/letsencrypt.default [13]. (no permission im Unterverzeichnis, obwohl als admin_xy angemeldet). Der Weg über die DSM-Oberfläche klappt auch nicht.
Und nun??
Hallo hgh,
ich habe es gerade bei mir versucht. Ich habe ein ähnliches Verhalten wie bei dir d.h. ich kann das Zertifikat per SSH nicht aktualisieren.
Ein ähnliches Problem hatte ich schon einmal nach einem Synology-Update: https://mariushosting.com/dsm-6-2-2-24922-update-3-sec_error_revoked_certificate/
Ich konnte das Problem aber gerade wie folgt für mich lösen:
– Anmeldung in der Synology-Weboberfläche
– Systemsteuerung – Sicherheit – Zertifikat
– Dann das Zertifikat auswählen – „Hinzufügen“ und „Zertifikat erneuern“ auswählen
Dann wurde bei mir das aktuelle Zertifikat aktualisiert. Hilft das ggf. auch bei dir?
Danke für die schnelle Reaktion. Diesen Weg über die Benutzeroberfläche hatte ich ja als ersten probiert, aber der hat nicht geklappt.
Ich habe eine Seite gefunden, die mir geholfen hat: https://community.letsencrypt.org/t/unable-to-create-certificate-from-synology/110488/3
Demnach lag der Fehler wohl nur in meinen Domain-Angaben bei diesem Versuch. Die müssen sich (natürlich!) alle auf eine IP-Adresse beziehen.
Hans-Georg
Danke für die Lösung!