Let's Encrypt certificate expiration

[pacecal]

Ik loop geregeld te *** om mijn certificaat te vernieuwen.

Wanneer ik kies voor certificaat vernieuwen krijg ik het bericht.

“Het systeem zal dit certificaat automatisch beginnen te vernieuwen. Zorg dat de netwerkomgeving correct is ingesteld.

- DSM is toegankelijk via WAN via poort 80 of 443;
- DNS is correct ingesteld”

Hiertoe wijzig ik netjes (tijdelijk) de poorten (externe toegang | geavanceerd) in respectievelijk 80 (standaard 5000) en 443 (standaard 5001). Voorts (wederom tijdelijk) zorg ik dat de port forwardings in mijn router ook goed staan (80 > 80 en 443 > 443).

Toch krijg ik de melding: “Let’s Encrypt kan deze domeinnaam niet valideren. Vergewis u ervan dat poort 80 van uw Diskstation en router open staat voor “Let’s Encrypt-domeinvalidatie via het internet. Alle andere communicatie met Let’s Encrypt gaat over HTTPS om uw DiskStation te beschermen.

Wat zie ik over het hoofd?

[Babylonia]

Aanwijzingen < Synology "knowledge base" >
Aanvullend    < YouTube filmpje >  (Start in het filmpje vanaf de uitleg van instellingen).

        "- DSM is toegankelijk via WAN via poort 80 of 443;"

Bedoel je   "of"   of   "en" ??
Voor vernieuwen van Let's Encrypt wordt alleen poort 80 gebruikt.
Dus die poort 80 moet je in ieder geval vanuit de router ook doorsturen naar de NAS.  (Dat is ook in het YouTube filmpje te zien).
(Mocht je tevens bijv. ook een web-server actief op je NAS hebben, zou je ook poort 443 moeten openstellen + port forwarding.
Zie voorbeeld verderop naar beneden).

        "- DNS is correct ingesteld”"

Ik neem aan dat je  "DDNS"   bedoeld, om een Synology DDNS domein in te zetten.  DNS is iets anders.

Hiertoe wijzig ik netjes (tijdelijk) de poorten (externe toegang | geavanceerd) in respectievelijk 80 (standaard 5000) en 443 (standaard 5001).

Waarom wijzig je die poorten?   Voor Let's Encrypt  certificaten hoef je helemaal geen poorten te wijzigen.
Dat wordt in de uitleg en YouTube filmpje ook helemaal niet aangegeven, dat je dat zou moeten doen.
Vernieuwingen zouden helemaal automatisch moeten gaan.  Je zou er helemaal geen omkijken naar hoeven te hebben.


Bij een NAS die ik in beheer heb, is ook een web-server op de NAS ingesteld.  Niet dat er echt een volledige website is opgezet.
Een enkele web-pagina, eigenlijk alleen bedoeld als web introductie pagina voor gebruikers,
om een keuze te maken of ze in de DSM web interface willen zijn, of direct naar het foto-archief.
(WebDAV is ook actief.  Doorgaans benaderen ze met een PC mapjes van de NAS direct via WebDAV).

(Persoonlijke data afgeschermd).

[pacecal]

Dank voor je reactie. Ik bedoel helemaal niets Dit zijn de standaard boodschappen van Synology 

Poort 80 moet sowieso open....ik ga nog even puzzelen

[bartmans99]

In sommige gevallen moet DNS wel goed ingesteld zijn. Bv. als je certificaten aanvraagt voor subdomeinen.

toepassing1.mijndomein.nl
toepassing2.mijndomein.nl
beide met LE certificaat.

Dan moet in de DNS van mijndomein.nl een CNAME record per subdomein zijn.

In dit geval ga ik ervanuit dat er maar 1 certificaat is.

De OP hoeft niet de poorten van DSM te veranderen, gewoon vanaf blijven.
Forward poort 80 naar je NAS
Denk aan de firewall op de NAS

Dan kun je de certificaten verversen.

Eventueel zet je poort 80 weer dicht daarna.

[pacecal]

Dank je,

*.mijndomein.nl | CNAME | xx.synology.me

gaat dus niet werken?

sub.mijn.domein.nl | A | ip adres NAS

waarschijnlijk wel?

Ik ga in het weekend het opnieuw proberen, dank voor de tip!

[Babylonia]

Ik denk dat het per ongeluk nu als "verkeerd" (??) aangemerkte antwoord, van  @bartmans99  alleen maar voor meer verwarring zorgt.
(Want je bent niet tot een oplossing gekomen).

Je hebt helemaal niets met aanpassingen van  "CNAME" records  van een  "DNS" beheer systeem te maken.
Dat is iets anders als de  "DDNS"  (Dynamic Domain Name System) service, die je van Synology gebruikt.
En waar je een  Let's Encrypt  certificaat voor wilt inzetten (verlengen), via de wizard / menu's van de NAS.

Zelfs al zou je meerdere subdomeinen willen gebruiken.
(Wat nu helemaal niet aan de orde is  --->  dat geldt meer als uitleg voor @bartmans99 ),
Zouden die subdomeinen direct kunnen worden meegenomen  bij de instellingen  voor het vernieuwen van één Let's Encrypt certificaat.
Men zou ook een "wilcard"  *.  certificaat kunnen inzetten. Ofwel gewoon één certificaat die meerdere subdomeinen afdekt.

Dus vergeet die tussenvoegingen die je in je vorige reactie nu probeert af te stemmen.

Welke versie DSM gebruik je?
Welke services gebruik je van de Synology NAS, die je extern wilt benaderen.
(Naar ik vermoed alleen een NAS  DSM  inlogmogelijkheid via een webbrowser?).
Zijn er nog andere services die je gebruikt?   (Photos  /  Photo Station ?)

[Briolet]

*.mijndomein.nl | CNAME | xx.synology.me

gaat dus niet werken?

Waarom zou dat niet werken?  Elke manier van domeinnaam definiëren die uiteindelijk bij de nas uitkomt, gaat werken.  Ik doe niet anders dan wat jij hier aangeeft.