Auteur Topic: Let's encrypt verlengd certificaten niet meer na overzetten  (gelezen 1224 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Let's encrypt verlengd certificaten niet meer na overzetten
« Gepost op: 19 november 2020, 16:41:47 »
Ik verving mijn NAS en richtte die via Hyperbackup in, identiek aan de oude NAS.  Daarbij was me al opgevallen dat een aantal config-items niet meegenomen waren. Ik zette (via export/import) o.a. de aanwezige certificaten over. Daar hebben we het in een eerder topic al over gehad,

Nu krijg ik een email, dat het mijn certificaat over 20 dagen vervalt. Let wel: ze schrijven niet, dat de verlenging is mislukt (dat heb ik ook al wel eens meegemaakt), het is gewoon een droge herinnering dat het certificaat vervalt.

Vraag 1:
Ik ben gewoon, dat de certificaten automatisch (en op de achtergrond) verlengen, maar dat gebeurt dus nu blijkbaar niet. Het zou kunnen - ik heb geen idee daarvan - dat in het certificaat dus ook een verwijzing naar de NAS staat, bijv. het MAC-adres, en dat dat nu afwijkt waardoor de automatische verlenging onmogelijk wordt. Ik had dus niet via export/import het certificaat mogen overzetten, maar ik had op de nieuwe NAS gewoon nieuwe certificaten moeten aanvragen.

Heeft iemand hier meer kennis en zekerheid en zo ja, is het dan niet een goede zaak om daar in een tutje aandacht aan te schenken?

Nou had ik twee certificaten. Als "proef" heb ik van het eerst vervallende certificaat een nieuwe aangevraagd en gekregen, daarna de oude gewist en de config aangepast. Dat werkt wel, maar geeft me voorlopig nog geen antwoord op de vraag of die nieuwe dan straks wel weer automatisch verlengd.

Vraag 2:
Daarnaast een vreemd probleempje ontdekt: na installatie van het nieuwe- en verwijdering van het oude certificaat blijkt in het configuratiescherm (waar je aangeeft welke webadressen/toepassingen welk certificaat moeten gebruiken), dat wanneer je daar het keuzevak openklikt, het oude verwijderde certificaat ook te blijven staan... Alleen als je dat aanklikt, maakt hij oud én nieuw blauw, maar wat er dan verder gebeurt heb ik geen idee van. In elk geval is het nieuwe certificaat wel van toepassing als ik de website opvraag en het certificaat daar controleer.

Moet ik dit zien als een bug of ligt hier een andere oorzaak onder?

Groet,
Ufosyno
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Let's encrypt verlengd certificaten niet meer na overzetten
« Reactie #1 Gepost op: 19 november 2020, 19:59:51 »
Wat ook zou kunnen:

Als je het Let's encrypt-certificaat aanvraagt in de NAS, kan door de NAS een in bestandje bijgehouden worden wanneer moet worden verlengd en zou het de NAS zijn, die de verlenging initieert. Als je in die mogelijke situatie dan de certificaten importeert, wordt dat bestandje niet gemaakt/aangepast en wordt er dus niet door de NAS om verlenging gevraagd.

In die situatie moet het dus duidelijk worden, dat je de "ingebouwde" Let's encrypt ondersteuning niet krijgt als je certificaten overzet.

Nogmaals: ik weet niet hoe het echt zit...
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline bartmans99

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 91
  • Berichten: 737
Re: Let's encrypt verlengd certificaten niet meer na overzetten
« Reactie #2 Gepost op: 21 november 2020, 09:03:00 »
Voor Let's Encrypt moet poort 80 of 443 open zijn op de NAS voor inkomend verkeer. Heb je je portforwardings gecheckt dat dat nog steeds kan?

Gemarkeerd als beste antwoord door ufosyno Gepost op 21 november 2020, 11:44:00

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: Let's encrypt verlengd certificaten niet meer na overzetten
« Reactie #3 Gepost op: 21 november 2020, 11:00:14 »
Als je het Let's encrypt-certificaat aanvraagt in de NAS, kan door de NAS een in bestandje bijgehouden worden wanneer moet worden verlengd en zou het de NAS zijn, die de verlenging initieert.

Ik verwacht dat dit de oorzaak is. Als je een systeem backup maakt, gaan de certificaten ook niet mee. Maar als je ze handmatig over zet, zet je alleen het certificaat over en geen extra data die 'onder water opgeslagen is. In theorie kan de verlengings routine de gegevens uit het oude certificaat halen, maar het zou inderdaad kunnen dat dit apart opgeslagen werd, en nu mist.

Die info zou kunnen staan op "/usr/syno/etc/letsencrypt". Per certificaat staan daar twee .json files in. (Maar bij mij worden er 6 certificaten beschreven en ik heb er maar 5 van let's encrypt.  ::) )
In die data zie ik ook het e-mail adres staan dat aan Let's Encrypt doorgegeven is en een uniek account nummer dat aan het certificaat gekoppeld is. Die info is niet uit het certificaat zelf te halen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Let's encrypt verlengd certificaten niet meer na overzetten
« Reactie #4 Gepost op: 21 november 2020, 11:43:20 »
@bartmans99: Op zich is deze opmerking terecht, alleen hier niet passend omdat ik dát toch wel heel direct zou hebben gezien. Want dan waren mijn sites niet bereikbaar geweest.

Ter lering: als die poorten niet goed zijn ingericht, krijg je ingeval een verlengingspoging een andere email: "de verlenging van uw certificaten is mislukt, controleer uw instellingen". Die heb ik jaren terug ook wel 's gehad, toen je nog verplicht poort 80 open moest houden om deze verlenging door te laten gaan.

@Briolet: Dus blijkt mijn tweede gedachte juist, maar - ik kan het over het hoofd hebben gezien - dat staat dan nergens. De verlenging van het Let's encrypt-certificaat  wordt dus door DSM geïnitieerd en niet (zoals in elk geval mijn indruk was) door Let's encrypt.

Refererend aan het eerdere topic  is dan dus de Hyperbackup - configbackup ook op dat punt niet compleet. Dat valt mij dan wel een beetje tegen. Vooral omdat ik in mijn voorbereidingen voor de migratie nergens heb gelezen dat je de certificaten op de nieuwe NAS opnieuw moet aanvragen.

Maar goed: ik zal ook mijn tweede certificaat opnieuw aanvragen en het overgezette exemplaar wissen, erop vertrouwende dat het achtergrondbestandje dan wel weer wordt aangemaakt.

  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: Let's encrypt verlengd certificaten niet meer na overzetten
« Reactie #5 Gepost op: 21 november 2020, 11:50:21 »
Citaat
Maar goed: ik zal ook mijn tweede certificaat opnieuw aanvragen en het overgezette exemplaar wissen, erop vertrouwende dat het achtergrondbestandje dan wel weer wordt aangemaakt.

Kijk vooraf in de locatie die ik aangaf. Als mijn hypothese klopt, staat er nu één folder met cryptische naam en na het aanmaken van het 2e certificaat 1 meer.

Over het verlengen" De nas runt ongeveer elke 7 dagen een script. Dit script kijkt naar de geldigheid van de Let's Encrypt certificaten en verlengt elk certificaat dat binnen één maand afloopt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

wat kan er niet met php/mysql?

Gestart door AnonymousBoard Web Station

Reacties: 2
Gelezen: 8745
Laatste bericht 10 april 2008, 21:14:21
door Anonymous
Map verwijderen op USB-schijf lukt niet

Gestart door AnonymousBoard Externe harddisks en Printers

Reacties: 1
Gelezen: 8385
Laatste bericht 28 augustus 2006, 10:55:33
door Bob
Fan 106e lawaaierig, slaat niet/nauwelijks af bij standby

Gestart door AnonymousBoard NAS hardware vragen

Reacties: 9
Gelezen: 12381
Laatste bericht 02 januari 2007, 12:21:44
door LeendertB
Norton Ghost and DS106j niet compatible?

Gestart door AnonymousBoard NAS hardware vragen

Reacties: 2
Gelezen: 7180
Laatste bericht 06 oktober 2006, 13:35:38
door Anonymous
Synology 106E komt niet uit standby [SOLVED]

Gestart door MichielBoard NAS hardware vragen

Reacties: 2
Gelezen: 5938
Laatste bericht 11 december 2006, 21:16:06
door Anonymous