Hallo, vielen Dank für die guten Videos. Bei dem SSL Zertifikat habe ich allerdings ein kleines Problem mit der Aktualiserung die funktioniert bei mir leider nicht. Gabs da vielleicht eine Änderung?
naja... so ganz ist das nicht richtig. Man KANN über die gezeigte Funktion bei 2:33 auch eigene Domains schützen. Man bekommt aber kein wildcard Zertifikat. Aber ich kann ganz normal meinen Domain namen und unter "Subject Alternative Domains" auch die Subdomains schützen. Nachteil ist, dass man alle subdomains per Hand eingeben muss und subdomains, die dort nicht aufgeführt sind, auch nicht geschützt werden.
Hallo, heute ist mein Sicherungsserver ausgestiegen bezüglich eines Zertifikates .... habe mal alles gelöscht und neu aufgesetzt, aber leider blieb diese Aktion auch ohne Erfolg. Schade ... hat jemand einen Tipp oder andere Lösung
Hallo Jürgen und die anderen in der Community. Erstmal ganz herzlichen an Jürgen für dieses und die vielen anderen klasse Videos, ohne die ich vieles nicht zum Laufen bekommen hätte und die so tolle Anregungen liefern. Vielleicht kann ich nun zur Unterstützung auch etwas beitragen: Bei mir gab es Probleme mit der automatischen Zertifikatserneuerung. Als ich dann die Schritte manuell wiederholt habe, hat sich die kürzlich von mir aktivierte 2-Faktor-Authentifizierung als Problem herausgestellt. Ich habe jetzt einen weiteren admin-account ohne 2FA angelegt und diesen für die Zertifikatserzeugung genutzt. Das hat problemlos geklappt. Jetzt hoffe ich, dass die automatische Erneuerung damit auch wieder funktioniert. Werde berichten.
Hola, falls noch keine Lösung gefunden: Was auf jeden Fall funktioniert ist bei Strato als Nameserver Cloudflare einzutragen und dann DNS in Cloudflare zu konfigurieren. Ist kostenlos und du bekommst direkt noch nen Proxy, dass deine private IP nicht direkt über die Domain rausgefunden wird.
Hallo Jürgen werde ich machen komme aber erst am Wochenende leider dazu ... muss wie viele Brötchen verdienen ... aber Danke für die tolle Hilfe bis jetzt ...
Hallo Jürgen, wieder ein sehr gutes und informatives Video!!! Liebe es die Dinge, die Du vorstellst, nachzubauen! 😀 Hab dadurch schon viel umsetzen können! Weiter so! Leider bist Du auf die DNS-Provider nicht so eingegangen wodurch sich einige Fragezeichen ergeben haben. Habe jetzt einen Free-Account bei Cloudflare angelegt, um eine API für das Zertifikat zu erhalten. Leider dauert die Verifizierung noch an, sodass ich derzeit noch an dieser Stelle festhänge.
Die DNS Provider funktionieren unterschiedlich. Daher bin ich nicht genauer darauf eingegangen. Die dnsapi Seiten auf dem acme.sh Wiki geben aber ganz gut Auskunft wie es funktioniert. Cloudflare ist ein super Provider!
Kurze Frage: Migration von bestehender DS716+2 auf DS923+ Kann ich die HD's von DS716+2 einfach umhängen und kann ohne Datenverlust auf DS923+ fortfahren?
Herzlichen Dank für das super HowTo, funktioniert wunderbar. Bei mir tritt jedoch das Problem auf, dass das Synology HyperBackup von einem Bekannten auf meiner Diskstation ein RSA-Zertifikat benötigt. Als Workaround nutze ich dort nun parallel zur Wildcard ein über das GUI erstelltes Let’s Encrypt Zertifikat. Ist eine Möglichkeit bekannt quasi ein RSA/ECC Zertifikat (RSA als Fallback) auf diesem Weg für das NAS zu generieren?
Hi Jürgen, sehr interessantes Video aber wie schaut das mit einer Synology aus, die hinter einem Reverse Proxy (NXPM) im Unifi System steht? Hast Du diesbezüglich Erfahrungen vor allem in Sachen automatischem Update?
Hallo Jürgen, kannst Du bitte mal schauen ob Kommentare bei dir automatisch gesperrt werden oder erst freigegeben werden müssen? mein grade längerer Kommentar ist nicht sichtbar
man kann ja "relativ entspannt" x Zertifikate von Let's Encrypt über die normale Oberfläche holen. Nachteil, gerade wenn man DANE mit DNSSEC nutzt oder wenn die Installation eines Zertifikates etwas aufwändiger ist (wie z.B. bei einer UDM / Unifi-Controiller) lohnt es sich dann doch, ein richtiges Zertifikat zu holen. Als Tipp: recht günstig gibts die bei ssls.com . Dann spart man sich die 3-Monatsaktualisierung.
Das stimmt. Man kann entweder für jeden Host ein eigenes Zertifikat lösen oder alle in einem Kombi-Zertifikat zusammenfassen. Ist halt ungeschickt wenn später weitere Hosts dazu kommen. Ein "richtiges" Wildcard Zertifikat ist sicherlich optimal... bei Deinem Anbieter für $38,53
@@Navigio1 Dann leidet doch die Sicherheit? Wenn man DANE einrichtet, wird der Fingerprint des Zertifikates ins DNSSEC geschrieben, um den Server korrekt zu identifizieren. Das müsste man ja dann kontrollieren, sobald das Zertifikat erneuert wird.
Guten Morgen, habe alles, was Sie mir gesagt haben durchgeführt aber leider wieder ohne Erfolg, habe auch versucht das Zertifikat auf der Kommandozeile zu aktualisieren auch dies ohne Erfolg leider .... Gibt es schon eine Lösung ??? wäre super
Hallo alle miteinander. 3 Monate sind rum, und das Zertifikat hätte sich selbst erneuern sollen. Hat nicht funktioniert. Einmal wegen 2FA und dann war die DNS Abfragezeit zu kurz. Ist das noch jemand passiert?
Bei mir hat alles geklappt, manchmal hat die Synology das Zertifikat aktualisiert aber nicht aktiv. Dann hilft es, die Zertifikate herunter- und neu hochzuladen.
Hallo Herr Barth, ich benutze den DNS-Server von Synology, wie muss ich hier vorgehen bezüglich der DNS-Server API, habe hier Informationen gefunden auf der Webseite, die Sie angegeben haben unter der Nummer 122, aber leider funktioniert es bei mir nicht .... haben Sie hier einen Vorschlag oder eine Lösung für mich / uns oder verstehe ich hier was falsch?
Es muss ein öffentlicher DNS Provider sein. Ihr Synology DNS läuft sehr wahrscheinlich im LAN (und so sollte es sein) und ist daher für LetsEncrypt oder ZeroSSL nicht erreichbar.
Hallo Jürgen, komme leider erst jetzt dazu Dir zu danken für die Unterstützung bzw. Hilfe für mein Problem was das Zertifikat betrifft. Habe es jetzt erneuert und vorher alles zurückgesetzt, dann hat es wieder funktioniert.
Hallo Jürgen, habe alles so ausgeführt wie Du es damals erklärt hast und auch jetzt über die Kommandozeile alles eingegeben mit sudo - Rechte leider ohne Erfolg, habe auch die Aufgabe verglichen leider auch ohne Ergebnis ....
Hallo Gerd, kannst Du die Befehlszeile bitte folgendermaßen aufrufen (das ändert nichts am Problem, macht aber die Ausgabe "geschwätziger"): /usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/ --debug 2 Die Ausgabe bitte in eine E-Mail an mich kopieren, vorher alles Vertrauliche da drin (z.B. Passwörter!!!) aus x-en.
Hallo Jürgen, ich habe es mal probiert, leider ohne Erfolg, vielleicht gebe ich einen falschen Befehl ein, wo kann ich diesen mal kontrollieren, ob ich den richtigen habe .... zudem habe ich alles neu installiert und neu gestartet, leider auch ohne Erfolg. Danke für die schnelle und unkomplizierte antwort ...
Hier ist das Kommando: /usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/ Dieses sollte im Aufgabenplaner unter dem root user täglich laufen. Du kannst das in die Kommandozeile der Synology eingeben (erst per ssh anmelden und dann mittels Befehl sudo -i root-Rechte bekommen). Ich habe es gerade bei mir getestet und es hat alles funktioniert.
Guten Morgen, bräuchte vielleicht einen Tipp bzw. kleine Hilfe, habe die Befürchtung das ich hier zu viel probiert habe .... Frage wie kann ich dies alles wieder löschen in der Kommandozeile und neu beginnen ohne Altdaten, könne Sie mir einen Tipp geben .....
Kein Problem. Kommandozeile aufrufen, dann mit dem Befehl "sudo -i" (ohne Anführungszeichen eingeben) root werden. Dann den Befehl "acme.sh --uninstall" ausführen Anschließend Befehl "rm -rf ~/.acme.sh" ausführen.
Guten Morgen Herr Barth, danke Ihnen für die schnelle Antwort, aber leider haben die letzten beiden Befehle / Angaben nicht funktioniert bei mir, der Parameter / Befehl wird nicht gefunden. Schade aber trotzdem danke und ich hoffe das Sie weitermachen mit solchen Beiträgen, die finde ich immer interessant und sinnvoll, habe auch schon einiges umsetzten können. Viel Spaß in Italien ist ein sehr schönes Land
Hallo, habe die Befehle wie Sie geschrieben haben über die Kommandozeile ausgeführt, bezüglich des Zertifikates hat ja alles geklappt, bis auf das es nicht in die Synology übertragen wird, warum auch immer. Daher wollte ich es noch mal ohne Altlasten probieren. Mein Provider ist IONOS. Vielleicht liegt es ja daran, dass ich das Zertifikat nicht überschreiben kann. Vielleicht habe ich auch noch mit zu wenig Grundwissen und übersehe hier einiges .... aber Danke das Sie sich der kleinen Problemen immer wieder kurz annehmen.
Hallo, auch ich habe das Problem, daß der Deploy nicht funktioniert. Der Issue läuft sauber durch und das Zertifikat und der Schlüssel liegt hinterher sauber im Unterverzeichnis. Success. Wenn ich aber das Deploy aufrufe, erscheint ein Deploy Error Code 5598. Mehr Angaben gibt leider auch das log nicht her. Ich habe auch mit SYNO_Port zuvor den richtigen Port gesetzt. Irgendwie will es das vorhandene Zertifikat nicht ersetzen. Ich habe nun schon 2 Tage vergeblich nach diesem Problem gegoogled. Anscheinend bin ich der Einzige mit diesem Problem. Hat noch jemand einen Lösungsansatz oder einen Tip, wo ich suchen könnte ...
@@joachimfulbrecht4958 Leider kann ich nicht weiter helfen, habe dieses Thema erstmal verschoben bis auf Weiteres, vielleicht setze ich mal die Syno neu auf. Dann werde ich es nochmal ausprobieren, dies ist aber bestimmt nicht die beste Lösung,
Hi, kann mir jemand sagen ob das ganze auch ohne API-Token möglich ist bzw. man es irgendwie anders lösen kann? Strato bietet wohl leider kein API an. :(
@@Navigio1 Dankeschön, nur leider verstehe ich nicht wie und wo das alles eintragen werden muss. Hatte gehofft das deine Anleitung auch mit Strato funktioniert.
Hallo Jürgen, klasse Video, danke dafür. Lässt sich alles 1zu1 nachbauen! Leider bleibt bei mir das "Nicht sicher" stehen. Alle Server sind mit dem neue Zertifikat ausgewählt..... schade.... trotzdem weiter so 🙂
@@marcobrick1988 Dann stimmt der Hostname nicht mit der Domain überein, die Du beim Erzeugen des Zertifikats verwendet hast. Du musst "example.com" und "*.example.com" (Beispiel) angeben, sonst geht es nicht. Am besten den Prozess nochmal Schritt für Schritt durchgehen, so wie im Video beschrieben.
Hallo Jürgen, jetzt mal die Frage. Wofür brauche ich einen DNS Provider? Ich greife auf mein Heimnetzwerk ausschließlich über VPN zu. Das einzige wofür ich mit den Zertifikaten experimentiert habe, damit Chrome mir nicht ständig sagt, die Verbindung wäre nicht sicher. Selbst mit registrierter Domain war es mir nicht möglich eine verschlüsselte Verbindung mit Chrome hinzubekommen. Bei Cloudflare hab ich jetzt einen Account erstellt, jetzt soll ich meine Website angeben. Hab ich nicht. Ich hab auch keinen Server im Internet für den ich eine App angeben kann. Ich steh grad fürchterlich auf dem Schlauch.🤯
Hallo Christian, ja für das Issuen des Zertifikats brauchst eine gültige Domain, welche von einer Zertifikatsstelle verifiziert werden kann. Ich persönlich habe mir dafür einfach eine "normale" de-domain bei Strato gekauft und in der Strato-Konfig der Domain als DNS-Server Cloudflare angegeben. Somit verwaltet nun Cloudflare die Domain und sie kann von ZeroSSL verifiziert werden mittels Api-Token und Account-Id. Schlussendlich kommst du ohne eine dir gehörende Domain nicht aus!
@@DMDTT2011 ich habe eine Domain von ionos, aber da gibts keine Api-token, zumindest hab ich keine gefunden . Bei cloudflare wird man ja bekloppt. Da komm ich nur über Umwege aufs Profil, indem ich bei dem Wiki auf den link klicke. Das ist zum Haare raufen.
Richtig, wie @DMDTT2011 schon geschrieben hat, braucht man seinen DNS-Provider für die Erstellung des Zertifikats. Hier übrigens der Link wie man Ionos nutzt: github.com/acmesh-official/acme.sh/wiki/dnsapi2#129-using-the-ionos-domain-api
@@Navigio1 das hatte ich gefunden, das Problem ist nur, bei meinem Vertrag war nirgendwo eine Api zu finden. und jetzt upgraden für zig €, nur um ein Zertifikat erstellen zu können, seh ich jetzt irgendwie nicht ein.
Hallo, habe das Zertifikat erstellt wie Sie es hier gemacht haben mit dem Aufgabenplaner unter DSM 7.1 Jetzt habe ich das DSM auf 7.2 erneuert und das Zertifikat ist abgelaufen und lässt sich auch derzeit bei mir nicht erneuern. Frage hat es mit der Aktualisierung vom DSM zu tun, haben Sie auch das Problem gehabt ..... kurze Tipp wäre schön
@@Navigio1 Grüß Dich. Also weiter oben im Log steht die Meldung: Meine.domäne:Verify error:"error":{ Und zum Schluss des Logs mit „-debug 2“ die Meldung, dass dns_ionos keinen Eintrag „dns“ hat und das Paket „socat“ fehlt: … Sun Jun 25 03:00:35 PM CEST 2023] 'dns_ionos' does not contain 'dns' [Sun Jun 25 03:00:36 PM CEST 2023] socat doesn't exist. [Sun Jun 25 03:00:36 PM CEST 2023] Diagnosis versions: openssl:openssl OpenSSL 1.1.1t 7 Feb 2023 apache: apache doesn't exist. nginx: nginx version: nginx/1.23.1 TLS SNI support enabled socat: [Sun Jun 25 03:00:36 PM CEST 2023] Return code: 1 [Sun Jun 25 03:00:36 PM CEST 2023] Error renew meine.domäne_ecc. [Sun Jun 25 03:00:36 PM CEST 2023] _error_level='1' [Sun Jun 25 03:00:36 PM CEST 2023] _set_level='2' [Sun Jun 25 03:00:36 PM CEST 2023] The NOTIFY_HOOK is empty, just return. [Sun Jun 25 03:00:36 PM CEST 2023] ===End cron===
@@Navigio1 Nach dem Deploy Befehl kommt diese Fehlermeldung Thu Nov 30 12:50:26 PM CET 2023] The domain 'mydomain.eu' seems to have a ECC cert already, lets use ecc cert. [Thu Nov 30 12:50:26 PM CET 2023] SYNO_Device_Name set, but SYNO_Device_ID is empty [Thu Nov 30 12:50:26 PM CET 2023] Error deploy for domain:mydomain.eu' [Thu Nov 30 12:50:26 PM CET 2023] Deploy error.
es geht um die OTP habe es ein und aus geschaltet. Durch diese OTP Authentifizierung wird ein Fehler produziert, damit ich es umgehen kann muss ich SYNO Device ID eingeben. Nur halt es wir nirgend wo erklärt wo man dieses ID her kriegt.
@@AleksandrKlimenko-c5z Im Browser das DSM aufrufen, die Entwickler-Konsole aktivieren, dann Storage --> Cookies --> nach "did" suchen. Das ist die Synology Geräte ID.
@@Navigio1 Danke für deine Hilfe, es hat aber nichts gebrach so wie ich dachte, muss überlegen wie ich einen ausgeschalteten OTP umgehe oder ausschalte. Danke für deine Arbeit die du für uns machst! Weiter so und Viel Erfolg!!!!
Das ist eben KEIN Quatsch und Du hast das falsch verstanden! Es geht hier um Wildcard Zertifikate und das geht eben NICHT mit der GUI. Erst genau hinschauen und dann meckern!
@@DMDTT2011 Und wieder NEIN, das wird sogar im Hilfetext der GUI angezeigt (über das kleine "i" an der Stelle wo der "Subject Alternative Name" eingegeben werden kann unter Punkt 2): "Please use asterisks to apply for a wildcard certificate (available for Synology DDNS only)." Ende der Diskussion. 🤬
Sehr gute und verständliche Anleitung ! Bei mir musste ich aber folgendes beachten: a) anderer DSM Port --> export SYNO_Port="XXXX" und b) export SYNO_Create=1 --> musste bei mir gesetzt werden, sonst gab es folgende Fehlermeldung: "Unable to find certificate: and $SYNO_Create is not set. " VG
Hallo, vielen Dank für die guten Videos. Bei dem SSL Zertifikat habe ich allerdings ein kleines Problem mit der Aktualiserung die funktioniert bei mir leider nicht. Gabs da vielleicht eine Änderung?
naja... so ganz ist das nicht richtig. Man KANN über die gezeigte Funktion bei 2:33 auch eigene Domains schützen. Man bekommt aber kein wildcard Zertifikat. Aber ich kann ganz normal meinen Domain namen und unter "Subject Alternative Domains" auch die Subdomains schützen. Nachteil ist, dass man alle subdomains per Hand eingeben muss und subdomains, die dort nicht aufgeführt sind, auch nicht geschützt werden.
Für jede Domain, die dazu kommt musst Du dann halt ein neues Zertifikat erzeugen.
Hallo, heute ist mein Sicherungsserver ausgestiegen bezüglich eines Zertifikates .... habe mal alles gelöscht und neu aufgesetzt, aber leider blieb diese Aktion auch ohne Erfolg. Schade ... hat jemand einen Tipp oder andere Lösung
Hallo Gerd, was passiert, wenn Du den Befehl von der Kommandozeile aus aufrufst?
Hallo Jürgen und die anderen in der Community. Erstmal ganz herzlichen an Jürgen für dieses und die vielen anderen klasse Videos, ohne die ich vieles nicht zum Laufen bekommen hätte und die so tolle Anregungen liefern. Vielleicht kann ich nun zur Unterstützung auch etwas beitragen: Bei mir gab es Probleme mit der automatischen Zertifikatserneuerung. Als ich dann die Schritte manuell wiederholt habe, hat sich die kürzlich von mir aktivierte 2-Faktor-Authentifizierung als Problem herausgestellt. Ich habe jetzt einen weiteren admin-account ohne 2FA angelegt und diesen für die Zertifikatserzeugung genutzt. Das hat problemlos geklappt. Jetzt hoffe ich, dass die automatische Erneuerung damit auch wieder funktioniert. Werde berichten.
Es ist einfach traurig, dass Synology noch kein acme dns challenge machen kann. Aber danke für das video!
Hallo, gibt es hier auch eine Lösung für Strato?
Hola, falls noch keine Lösung gefunden: Was auf jeden Fall funktioniert ist bei Strato als Nameserver Cloudflare einzutragen und dann DNS in Cloudflare zu konfigurieren. Ist kostenlos und du bekommst direkt noch nen Proxy, dass deine private IP nicht direkt über die Domain rausgefunden wird.
Hallo Jürgen werde ich machen komme aber erst am Wochenende leider dazu ... muss wie viele Brötchen verdienen ... aber Danke für die tolle Hilfe bis jetzt ...
Hallo Jürgen,
wieder ein sehr gutes und informatives Video!!! Liebe es die Dinge, die Du vorstellst, nachzubauen! 😀 Hab dadurch schon viel umsetzen können! Weiter so!
Leider bist Du auf die DNS-Provider nicht so eingegangen wodurch sich einige Fragezeichen ergeben haben. Habe jetzt einen Free-Account bei Cloudflare angelegt, um eine API für das Zertifikat zu erhalten. Leider dauert die Verifizierung noch an, sodass ich derzeit noch an dieser Stelle festhänge.
Die DNS Provider funktionieren unterschiedlich. Daher bin ich nicht genauer darauf eingegangen. Die dnsapi Seiten auf dem acme.sh Wiki geben aber ganz gut Auskunft wie es funktioniert. Cloudflare ist ein super Provider!
Gute Video Danke für die Arbeit👍. Ich schau mir solche Videos immer mehrmals an
Freut mich!!!
Bei mir funktioniert leider das automatische Erneuern nicht.
Hast Du den Task im Aufgabenplaner drin?
Kurze Frage: Migration von bestehender DS716+2 auf DS923+ Kann ich die HD's von DS716+2 einfach umhängen und kann ohne Datenverlust auf DS923+ fortfahren?
Herzlichen Dank für das super HowTo, funktioniert wunderbar.
Bei mir tritt jedoch das Problem auf, dass das Synology HyperBackup von einem Bekannten auf meiner Diskstation ein RSA-Zertifikat benötigt. Als Workaround nutze ich dort nun parallel zur Wildcard ein über das GUI erstelltes Let’s Encrypt Zertifikat.
Ist eine Möglichkeit bekannt quasi ein RSA/ECC Zertifikat (RSA als Fallback) auf diesem Weg für das NAS zu generieren?
Hi Jürgen, sehr interessantes Video aber wie schaut das mit einer Synology aus, die hinter einem Reverse Proxy (NXPM) im Unifi System steht? Hast Du diesbezüglich Erfahrungen vor allem in Sachen automatischem Update?
Hallo Jürgen,
wenn Du in /root und /usr/local installiest, überlebt das ein Synology-Update? Warum nicht in das /volume1/homes/admin Verzeichnis?
Hallo Jürgen, kannst Du bitte mal schauen ob Kommentare bei dir automatisch gesperrt werden oder erst freigegeben werden müssen? mein grade längerer Kommentar ist nicht sichtbar
Komisch, ich wollte gerade drauf antworten, dann war er weg. Ich bin's nicht!!!
@@Navigio1 eventuell weil ich https davor eingefügt habe?
Kann ich mir nicht vorstellen...
man kann ja "relativ entspannt" x Zertifikate von Let's Encrypt über die normale Oberfläche holen. Nachteil, gerade wenn man DANE mit DNSSEC nutzt oder wenn die Installation eines Zertifikates etwas aufwändiger ist (wie z.B. bei einer UDM / Unifi-Controiller) lohnt es sich dann doch, ein richtiges Zertifikat zu holen.
Als Tipp: recht günstig gibts die bei ssls.com . Dann spart man sich die 3-Monatsaktualisierung.
Das stimmt. Man kann entweder für jeden Host ein eigenes Zertifikat lösen oder alle in einem Kombi-Zertifikat zusammenfassen. Ist halt ungeschickt wenn später weitere Hosts dazu kommen. Ein "richtiges" Wildcard Zertifikat ist sicherlich optimal... bei Deinem Anbieter für $38,53
@@Navigio1 nutzt du für deinen MailServer (für die Server zu Server Kommunikation) ein LE Zertifikat oder ein gekauftes?
@@alexm.3806 Ich Verwender LE. Solange die automatische Erneuerung funktioniert ist das auch OK.
@@Navigio1 Dann leidet doch die Sicherheit? Wenn man DANE einrichtet, wird der Fingerprint des Zertifikates ins DNSSEC geschrieben, um den Server korrekt zu identifizieren. Das müsste man ja dann kontrollieren, sobald das Zertifikat erneuert wird.
@@alexm.3806 Das stimmt, aber DANE ist bei mir mangels Unterstützung des DNS Providers vorerst noch nicht möglich 😵💫
TOP!🍻
🍻
Vielen herzlichen Dank für die sehr interssanten, nützlichen und verständlichen Videos!
Guten Morgen, habe alles, was Sie mir gesagt haben durchgeführt aber leider wieder ohne Erfolg, habe auch versucht das Zertifikat auf der Kommandozeile zu aktualisieren auch dies ohne Erfolg leider .... Gibt es schon eine Lösung ??? wäre super
Wie gesagt, bei mir hat alles funktioniert. Welche Fehlermeldungen gab es?
Hallo alle miteinander.
3 Monate sind rum, und das Zertifikat hätte sich selbst erneuern sollen.
Hat nicht funktioniert. Einmal wegen 2FA und dann war die DNS Abfragezeit zu kurz.
Ist das noch jemand passiert?
Bei mir hat alles geklappt, manchmal hat die Synology das Zertifikat aktualisiert aber nicht aktiv. Dann hilft es, die Zertifikate herunter- und neu hochzuladen.
Hallo Herr Barth, ich benutze den DNS-Server von Synology, wie muss ich hier vorgehen bezüglich der DNS-Server API, habe hier Informationen gefunden auf der Webseite, die Sie angegeben haben unter der Nummer 122, aber leider funktioniert es bei mir nicht .... haben Sie hier einen Vorschlag oder eine Lösung für mich / uns oder verstehe ich hier was falsch?
Es muss ein öffentlicher DNS Provider sein. Ihr Synology DNS läuft sehr wahrscheinlich im LAN (und so sollte es sein) und ist daher für LetsEncrypt oder ZeroSSL nicht erreichbar.
Hallo Jürgen, komme leider erst jetzt dazu Dir zu danken für die Unterstützung bzw. Hilfe für mein Problem was das Zertifikat betrifft. Habe es jetzt erneuert und vorher alles zurückgesetzt, dann hat es wieder funktioniert.
Prima, dass es jetzt funktioniert, Gerd!
Hallo Jürgen, habe alles so ausgeführt wie Du es damals erklärt hast und auch jetzt über die Kommandozeile alles eingegeben mit sudo - Rechte leider ohne Erfolg, habe auch die Aufgabe verglichen leider auch ohne Ergebnis ....
Hallo Gerd,
kannst Du die Befehlszeile bitte folgendermaßen aufrufen (das ändert nichts am Problem, macht aber die Ausgabe "geschwätziger"):
/usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/ --debug 2
Die Ausgabe bitte in eine E-Mail an mich kopieren, vorher alles Vertrauliche da drin (z.B. Passwörter!!!) aus x-en.
Hallo Jürgen, ich habe es mal probiert, leider ohne Erfolg, vielleicht gebe ich einen falschen Befehl ein, wo kann ich diesen mal kontrollieren, ob ich den richtigen habe .... zudem habe ich alles neu installiert und neu gestartet, leider auch ohne Erfolg. Danke für die schnelle und unkomplizierte antwort ...
Hier ist das Kommando:
/usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/
Dieses sollte im Aufgabenplaner unter dem root user täglich laufen. Du kannst das in die Kommandozeile der Synology eingeben (erst per ssh anmelden und dann mittels Befehl sudo -i root-Rechte bekommen).
Ich habe es gerade bei mir getestet und es hat alles funktioniert.
Guten Morgen, bräuchte vielleicht einen Tipp bzw. kleine Hilfe, habe die Befürchtung das ich hier zu viel probiert habe .... Frage wie kann ich dies alles wieder löschen in der Kommandozeile und neu beginnen ohne Altdaten, könne Sie mir einen Tipp geben .....
Kein Problem. Kommandozeile aufrufen, dann mit dem Befehl "sudo -i" (ohne Anführungszeichen eingeben) root werden. Dann den Befehl "acme.sh --uninstall" ausführen Anschließend Befehl "rm -rf ~/.acme.sh" ausführen.
Guten Morgen Herr Barth, danke Ihnen für die schnelle Antwort, aber leider haben die letzten beiden Befehle / Angaben nicht funktioniert bei mir, der Parameter / Befehl wird nicht gefunden. Schade aber trotzdem danke und ich hoffe das Sie weitermachen mit solchen Beiträgen, die finde ich immer interessant und sinnvoll, habe auch schon einiges umsetzten können. Viel Spaß in Italien ist ein sehr schönes Land
Komisch dass das nicht funktioniert hat. Haben Sie sich vor Ausführen der Befehle per ssh an der Synology angemeldet?
Hallo, habe die Befehle wie Sie geschrieben haben über die Kommandozeile ausgeführt, bezüglich des Zertifikates hat ja alles geklappt, bis auf das es nicht in die Synology übertragen wird, warum auch immer. Daher wollte ich es noch mal ohne Altlasten probieren. Mein Provider ist IONOS. Vielleicht liegt es ja daran, dass ich das Zertifikat nicht überschreiben kann. Vielleicht habe ich auch noch mit zu wenig Grundwissen und übersehe hier einiges .... aber Danke das Sie sich der kleinen Problemen immer wieder kurz annehmen.
Hallo, auch ich habe das Problem, daß der Deploy nicht funktioniert. Der Issue läuft sauber durch und das Zertifikat und der Schlüssel liegt hinterher sauber im Unterverzeichnis. Success. Wenn ich aber das Deploy aufrufe, erscheint ein Deploy Error Code 5598. Mehr Angaben gibt leider auch das log nicht her. Ich habe auch mit SYNO_Port zuvor den richtigen Port gesetzt. Irgendwie will es das vorhandene Zertifikat nicht ersetzen. Ich habe nun schon 2 Tage vergeblich nach diesem Problem gegoogled. Anscheinend bin ich der Einzige mit diesem Problem. Hat noch jemand einen Lösungsansatz oder einen Tip, wo ich suchen könnte ...
@@joachimfulbrecht4958 Leider kann ich nicht weiter helfen, habe dieses Thema erstmal verschoben bis auf Weiteres, vielleicht setze ich mal die Syno neu auf. Dann werde ich es nochmal ausprobieren, dies ist aber bestimmt nicht die beste Lösung,
Hi, kann mir jemand sagen ob das ganze auch ohne API-Token möglich ist bzw. man es irgendwie anders lösen kann? Strato bietet wohl leider kein API an. :(
Du kannst die TXT Records auch manuell setzen, hier ist ein Link: community.letsencrypt.org/t/howto-acme-v2-dns-challenge-with-strato/57777
@@Navigio1 Dankeschön, nur leider verstehe ich nicht wie und wo das alles eintragen werden muss. Hatte gehofft das deine Anleitung auch mit Strato funktioniert.
@@Jack_27Einfach über NS Record auf Cloudflare leiten und da konfigurieren.
Hallo Jürgen,
klasse Video, danke dafür. Lässt sich alles 1zu1 nachbauen!
Leider bleibt bei mir das "Nicht sicher" stehen.
Alle Server sind mit dem neue Zertifikat ausgewählt..... schade....
trotzdem weiter so 🙂
Welches Zertifikat wird denn verwendet? Im Browser nachschauen, bitte.
@@Navigio1Das Zertifikat, welches ich mit Deiner Anleitung erstellt habe.
@@marcobrick1988 Dann stimmt der Hostname nicht mit der Domain überein, die Du beim Erzeugen des Zertifikats verwendet hast. Du musst "example.com" und "*.example.com" (Beispiel) angeben, sonst geht es nicht. Am besten den Prozess nochmal Schritt für Schritt durchgehen, so wie im Video beschrieben.
@@Navigio1 ...ok..danke für Deine Tipps.
Am Wochenende werde ich das noch mal durchlaufen lassen.
Dann gibbet neue Infos.
Danke Dir...
Hallo Jürgen,
jetzt mal die Frage. Wofür brauche ich einen DNS Provider?
Ich greife auf mein Heimnetzwerk ausschließlich über VPN zu. Das einzige wofür ich mit den Zertifikaten experimentiert habe, damit Chrome mir nicht ständig sagt, die Verbindung wäre nicht sicher. Selbst mit registrierter Domain war es mir nicht möglich eine verschlüsselte Verbindung mit Chrome hinzubekommen.
Bei Cloudflare hab ich jetzt einen Account erstellt, jetzt soll ich meine Website angeben. Hab ich nicht. Ich hab auch keinen Server im Internet für den ich eine App angeben kann.
Ich steh grad fürchterlich auf dem Schlauch.🤯
Hallo Christian,
ja für das Issuen des Zertifikats brauchst eine gültige Domain, welche von einer Zertifikatsstelle verifiziert werden kann.
Ich persönlich habe mir dafür einfach eine "normale" de-domain bei Strato gekauft und in der Strato-Konfig der Domain als DNS-Server Cloudflare angegeben.
Somit verwaltet nun Cloudflare die Domain und sie kann von ZeroSSL verifiziert werden mittels Api-Token und Account-Id.
Schlussendlich kommst du ohne eine dir gehörende Domain nicht aus!
@@DMDTT2011 ich habe eine Domain von ionos, aber da gibts keine Api-token, zumindest hab ich keine gefunden . Bei cloudflare wird man ja bekloppt. Da komm ich nur über Umwege aufs Profil, indem ich bei dem Wiki auf den link klicke. Das ist zum Haare raufen.
Richtig, wie @DMDTT2011 schon geschrieben hat, braucht man seinen DNS-Provider für die Erstellung des Zertifikats. Hier übrigens der Link wie man Ionos nutzt: github.com/acmesh-official/acme.sh/wiki/dnsapi2#129-using-the-ionos-domain-api
@@Navigio1 das hatte ich gefunden, das Problem ist nur, bei meinem Vertrag war nirgendwo eine Api zu finden. und jetzt upgraden für zig €, nur um ein Zertifikat erstellen zu können, seh ich jetzt irgendwie nicht ein.
@@christianpreiss8246 Das würde ich auch nicht tun. Wollen die echt 💶 für die Nutzung ihres API?
Hallo, habe das Zertifikat erstellt wie Sie es hier gemacht haben mit dem Aufgabenplaner unter DSM 7.1 Jetzt habe ich das DSM auf 7.2 erneuert und das Zertifikat ist abgelaufen und lässt sich auch derzeit bei mir nicht erneuern. Frage hat es mit der Aktualisierung vom DSM zu tun, haben Sie auch das Problem gehabt ..... kurze Tipp wäre schön
Bei mir steht die Erneuerung in ein paar Tagen erst an. Bin gespannt und gebe bescheid!
Auch bei mir klappt seit dem DSM Update auf 7.2 die Aktualisierung nicht mehr.
@@t92conv Siehst Du im Log irgendwelche Fehlermeldungen?
@@Navigio1 Grüß Dich. Also weiter oben im Log steht die Meldung:
Meine.domäne:Verify error:"error":{
Und zum Schluss des Logs mit „-debug 2“ die Meldung, dass dns_ionos keinen Eintrag „dns“ hat und das Paket „socat“ fehlt:
…
Sun Jun 25 03:00:35 PM CEST 2023] 'dns_ionos' does not contain 'dns'
[Sun Jun 25 03:00:36 PM CEST 2023] socat doesn't exist.
[Sun Jun 25 03:00:36 PM CEST 2023] Diagnosis versions:
openssl:openssl
OpenSSL 1.1.1t 7 Feb 2023
apache:
apache doesn't exist.
nginx:
nginx version: nginx/1.23.1
TLS SNI support enabled
socat:
[Sun Jun 25 03:00:36 PM CEST 2023] Return code: 1
[Sun Jun 25 03:00:36 PM CEST 2023] Error renew meine.domäne_ecc.
[Sun Jun 25 03:00:36 PM CEST 2023] _error_level='1'
[Sun Jun 25 03:00:36 PM CEST 2023] _set_level='2'
[Sun Jun 25 03:00:36 PM CEST 2023] The NOTIFY_HOOK is empty, just return.
[Sun Jun 25 03:00:36 PM CEST 2023] ===End cron===
@@t92conv Wild! Schaut so aus als ob irgendwelche Teile fehlen, die wir ursprünglich als gegeben betrachtet haben. Ich bleib dran!
Guten Tag Herr Barth,
wie und wo kann man Synology Geräte ID finden?
Danke
Was genau meinen Sie mit Synology Geräte ID? MAC Adresse? IP-Adresse? Seriennummer?
@@Navigio1 Nach dem Deploy Befehl kommt diese Fehlermeldung
Thu Nov 30 12:50:26 PM CET 2023] The domain 'mydomain.eu' seems to have a ECC cert already, lets use ecc cert.
[Thu Nov 30 12:50:26 PM CET 2023] SYNO_Device_Name set, but SYNO_Device_ID is empty
[Thu Nov 30 12:50:26 PM CET 2023] Error deploy for domain:mydomain.eu'
[Thu Nov 30 12:50:26 PM CET 2023] Deploy error.
es geht um die OTP habe es ein und aus geschaltet. Durch diese OTP Authentifizierung wird ein Fehler produziert, damit ich es umgehen kann muss ich SYNO Device ID eingeben. Nur halt es wir nirgend wo erklärt wo man dieses ID her kriegt.
@@AleksandrKlimenko-c5z Im Browser das DSM aufrufen, die Entwickler-Konsole aktivieren, dann Storage --> Cookies --> nach "did" suchen. Das ist die Synology Geräte ID.
@@Navigio1 Danke für deine Hilfe, es hat aber nichts gebrach so wie ich dachte, muss überlegen wie ich einen ausgeschalteten OTP umgehe oder ausschalte. Danke für deine Arbeit die du für uns machst! Weiter so und Viel Erfolg!!!!
Das ist Quatsch, das die GUI nicht für eigene Domains geht, nutze ich schon lange... weiß nicht warum das bei dir nicht gehen soll.
Das ist eben KEIN Quatsch und Du hast das falsch verstanden! Es geht hier um Wildcard Zertifikate und das geht eben NICHT mit der GUI. Erst genau hinschauen und dann meckern!
Klar funktioniert die Domain, aber halt nur, insofern du deine DS für eine Zertifikatsstelle verfügbar, d.h. aus dem Internet erreichbar machst.
@@DMDTT2011 Und wieder NEIN, das wird sogar im Hilfetext der GUI angezeigt (über das kleine "i" an der Stelle wo der "Subject Alternative Name" eingegeben werden kann unter Punkt 2): "Please use asterisks to apply for a wildcard certificate (available for Synology DDNS only)."
Ende der Diskussion. 🤬
Wildcard Zertifikate funktionieren nicht über die GUI, Zertifikate für subdomainen für die eigene Domaine allerdings durchaus ...
Sehr gute und verständliche Anleitung !
Bei mir musste ich aber folgendes beachten:
a) anderer DSM Port --> export SYNO_Port="XXXX" und
b) export SYNO_Create=1 --> musste bei mir gesetzt werden, sonst gab es folgende Fehlermeldung: "Unable to find certificate: and $SYNO_Create is not set. "
VG
Danke für den Tipp! Hast Du andere Ports als 80/443 offen?
@@Navigio1 Ja, neben 80/443 auch für spez. Services.