let's encrypt

[bandora]

hallo iedereen,

afgelopen donderdag heb ik dsm 6.0 definitieve versie geinstalleerd.
in de patch staat dat je een let's encrypt certificaat kan installeren.
omdat ik toch een domain heb leek het mij een goed idee om nu toch maar eens via https alle verkeer te laten gaan.
maar elke keer als ik een let's encrypt certificaat wil installeren krijg ik een foutmelding dat let's encrypt geen verbinding met mij nas kan maken.(zie screenshot)
dit heb ik gecontroleerd en zowel op mijn nas als mijn router staat port 80 open.
ik heb zelfs voor de zekerheid de firewall op mijn nas en router uitgezet maar nog steeds krijg ik de zelfde melding.
hebben jullie een idee wat hoe ik dit probleem kan oplossen ?

alvast bedankt voor jullie hulp.

[Briolet]

Misschien is de foutmelding incorrect en moet ook poort 443 beschikbaar zijn. Er staat immers ook dat verdere communicatie met Let's Encrypt via https gaat. (= poort 443 per default)

[bandora]

ik heb dit nagekeken en bij toeval had ik die poort al open gezet op de nas en router.

[sammy]

Ik heb ook veel problemen met let's encrypt. In de beta heb ik het uiteindelijk aan de praat gekregen. Inmiddels met de RTM DSM6 weer diverse problemen, maar het werkt nu uiteindelijk wel weer.

Hoe dan ook, controleer met http://www.intodns.com of alle DNS instellingen goed staan. Alleen het PTR record mag rood zijn. Zo bleken bij mij niet alle DNS servers te reageren (DNSpod; inmiddel gewijzigd naar andere DDNS server).

Controleer ook even port 80 & 443 met http://www.yougetsignal.com/tools/open-ports/, hoewel de meeste gebruikers dat al wel gedaan zullen hebben. Zorg er uiteraard ook voor dat port 80 & 443 géén regional IP limitations hebben ingesteld gekregen in de DS firewall.

Bij mij is het uiteindelijk gelukt door géén vervanging te doen van de default Synology.com certificate, maar door een nieuwe Let's Encrypt cert er aan toe te voegen. Pas daarna default wijzigen, en eventueel het Synology.com certificate verwijderen.

Maar het is me inmiddels wel duidelijk dat de Let's Encrypt functie nog wat brak is, en vooral dat de toelichting tekort schiet.

[synfan]

Ik vermoed dat je regio's hebt uitgesloten in je firewall. Let's Encrypt zit (naar ik vermoed) in de VS. Ik heb ook bijna alle landen standaard geblokt en daardoor kreeg ik dezelfde foutmelding.

5 min. de firewall even uitzetten. Let's Encrypt zijn werk laten doen en klaar is klara :-). Werkt bij mij als een zonnetje!

[Klikoo.]

Bij mij is het gelukt. Wat ik heb gedaan is deze link volgen:

http://www.stefandingemanse.nl/how-to-use-lets-encrypt-ssl-certificate-on-synology-dsm/

Poort 80 in router tijdelijk open, Webserver (tijdelijk) installeren. Via configuratiescherm en beveiliging Lets Encrypt certificaat aanvragen en default maken. Na een tijdje was het slotje in de browser groen. Die tijd heeft misschien met verwerken te maken?

Ik heb toen alles goed was poort 80 weer dichtgezet in de router en Webserver verwijderd, omdat ik hier geen gebruik van maak.

[Briolet]

5 min. de firewall even uitzetten.

Ik heb toen alles goed was poort 80 weer dichtgezet in de router en Webserver verwijderd

Volgens de handleiding moet poort 80 ook open zijn bij het automatisch verlengen van het certificaat.

Echter: De handleiding klopt hier niet. Ik heb Let's Encrypt ruim 2 maand geleden op mijn test-nas geïnstalleerd. Daarvoor heb ik tijdelijk de poort 80 forward van mijn reguliere nas naar deze test-nas omgeleid. Het certificaat is 3 maand geldig en zou na ca 2 maand automatisch ge-update worden. De beta handleiding schreef niets over poort 80 bij het updaten en op het engelstalige forum waren er tegenstrijdige speculaties.

Wie schetst mijn verbazing: Er staat nu een nieuw certificaat op die nas welke gisteren geïnstalleerd is en weer 3 maand geldig is. Poort 80 is dus echt alleen bij de eerste aanvraag nodig.

[Briolet]

Nu ik Let's encrypt wat fanatieker wil gebruiken, loop ik ook tegen een paar bugs op.

Ik wil b.v. een aantal subdomeinen opnemen in het certificaat. Let's Encrypt heeft een maximum dat vrij hoog is. (100 alternatieve namen) Bij mijn eerste versie was ik nog een paar subdomeinen vergeten, dus wilde ik een nieuwe maken met een paar extra.  (video.mijndomein.nl, audio.mijndomein.nl etc.)

Hierbij loop ik tegen een bug op dat het invulveld van DSM maar 256 karakters accepteert. Na 11 subdomeinen stopt de tekstinvoer.

Dan dacht ik: Ik maak een 2e certificaat met juist deze domeinnamen. DSM laat nu toe per virtuele host een certificaat te kiezen, dus link ik die aan het 2e certificaat, waar van toepassing.

Hierbij krijg is steeds de melding dat er geen verbinding gemaakt kan worden en ik moet controleren of poort 80 open staat. Volgens mij is dat gewoon een standaard melding als Let's Encrypt dit weigert, ongeacht de reden. Ik ben al aan het zoeken geweest naar een logfile met de echte error, maar vind hem niet. Wie?

Vervolgens heb ik poort 80 in de router naar mijn 2e nas geforward. Daar kon ik probleemloos een certificaat aanmaken. (De eerste was van de week al gewist). Dan de forward van poort 80 terug naar nas 1. Maar daar krijg ik de poort 80 error weer, wat volgens mij een geheel andere error moet zijn.

Edit: Ik heb net een certificaat aangevraagd op mijn xxx.synology.me naam. Dat gaat gewoon goed, wat weer aangeeft dat die foutmelding over poort 80, nergens op slaat. Ik zal hier toch maar een bugmelding voor insturen.

Edit2: Ik lees net dat je zelfs een e-mail krijgt als je certificaat bijna vervalt. Dit wordt verstuurd nadat Synology het automatisch had moeten updaten en dat mis gegaan is.

[Bobdroid]

Ook ingesteld, werkt eenvoudig en vooralsnog goed. Enig punt (cq vraag) is dat de app DSfile op mijn Android device geen https meer accepteert....
Andere apps gaan wel gewoon goed als vanouds.

[Briolet]

Dan dacht ik: Ik maak een 2e certificaat met juist deze domeinnamen…
…Hierbij krijg is steeds de melding dat er geen verbinding gemaakt kan worden en ik moet controleren of poort 80 open staat.

Het probleem met het 2e certificaat is na veel strubbelingen opgelost. Het betrof een tikfout in één van de domeinnamen. Let's Encrypt controleert alle domeinnamen die je opgeeft. In één ervan was ik het .nl deel vergeten.

Ik heb nu het Let's Encrypt certificaat gewist en een nieuwe gemaakt met het grootste deel van de subdomeinen. Daarna kon ik gewoon een 2e aanvragen met de resterende domeinnamen.
b.v.: audio.mijndomein.nl zit nu in het 2e certificaat. Na toewijzen in configuratie, gebruikt de inlog met "audio.mijndomein.nl" nu het 2e certificaat.


Het is alleen de foutmelding over poort 80 die irriteert omdat die er ook komt als dit goed geconfigureerd is en er een foute domeinnaam tussen zit. Ik had het al meermaals gecontroleerd, maar de verplichting van DSM om dit alles aan elkaar te plakken zonder een spatie ertussen, maakt controle ook niet gemakkelijker.

Let's Encrypt laat toe om 20 certificaten per week aan te maken voor een bepaald domein, dus je kunt nog een beetje experimenteren voordat je hier tegenaan loopt.

[bandora]

bedankt voor alle reactie's zo ver,

ik zal later op de dag het nog eens proberen met de informatie hier, kijken of het nu wel werkt.

[Briolet]

Edit2: Ik lees net dat je zelfs een e-mail krijgt als je certificaat bijna vervalt. Dit wordt verstuurd nadat Synology het automatisch had moeten updaten en dat mis gegaan is.

En wie schetst mijn verbazing. Ik krijg net de volgende mail:

Hello,

Your certificate (or certificates) for the names listed below will expire in 19 days (on 22 Apr 16 13:27 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
…

Uit de rest van de mail blijkt dat dit het certificaat is die op 29 maart automatisch verlengd is. Sterker, ik heb hem al weer verwijderd omdat dat een test certificaat voor de beta-2 was. Zelf geven ze ook aan dat ze de mails soms onterecht versturen, maar dat ze aan de veilige kant willen zitten. Liever 10x te vaak dan 1x gemist.