Auteur Topic: Let's Encrypt Expiry Bot  (gelezen 6656 keer)

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Let's Encrypt Expiry Bot
« Gepost op: 14 mei 2017, 11:14:16 »
Hoi,

Ik heb al sinds de mogelijkheid er is een certificaat van Let's Encrypt op mijn NAS.
Al die tijd wordt om de 3 maanden het certificaat keurig automatisch verlengd.
Gisteren kreeg ik voor het eerst een email van Let's Encrypt Expiry Bot <expiry@letsencrypt.org> met
de mededeling dat binnenkort mijn SSL certificaat verloopt.
Nu klopt dat inderdaad, maar het is voor het eerst dat ik deze email krijg.
Betekent dit dat het verlengen niet langer automatisch verloopt ? Op zich niet zo erg, maar wel jammer.

Er is niets bijzonder gewijzigd aan mijn instellingen en ook poortje 80 staat keurig open tbv Let's Encrypt en Photostation.
Webstation draait ook, hoewel er verder geen website onder zit.

Heb ik hier alleen te maken met een nieuw (communicatie)gedrag van Let's Encrypt en gaat alles nog steeds automatisch of moet ik voortaan toch handmatig maatregelen nemen ?
Wie kent het antwoord ?

Peter

  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: Let's Encrypt Expiry Bot
« Reactie #1 Gepost op: 14 mei 2017, 12:45:37 »
In het begin hadden ze een bug waardoor ze niet 100% zeker waren dat er geupdate was. Toen stuurden ze voor de zekerheid altijd deze mail. Misschien nu weer, maar dat staat dan op hun website. Of anders op hun forum.

Heb je niet toevallig 10 à 11 week geleden een nieuw certificaat aangemaakt en de oude laten vervallen?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt Expiry Bot
« Reactie #2 Gepost op: 14 mei 2017, 16:42:33 »
Nope,

Het verlengen is altijd automatisch gegaan en ik heb niets veranderd aan het certificaat (geen domein wijziging oid).
Ik wacht anders stiekum gewoon even af wat er gebeurd.
Mijn NAS is toch niet publiekelijk toegankelijk dus de enige die mogelijk last krijgt van een vervallen certificaat ben ik zelf.
Dat komt wel goed...

Peter
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline Gaffel

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 87
  • -Ontvangen: 23
  • Berichten: 362
Re: Let's Encrypt Expiry Bot
« Reactie #3 Gepost op: 19 mei 2017, 16:19:09 »
Beste allemaal,
Ook ik heb zo'n bericht gekregen van lets encrypt.
Maar ik zie bij het certificaat dat de datum automatisch verlengd  is, dus ik denk dat dit in principe bij iedereen gebeurd.

Groeten,
Han

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt Expiry Bot
« Reactie #4 Gepost op: 19 mei 2017, 16:38:42 »
@Gaffel : Mijn certificaat verloopt nog steeds op 2 juni, maar jouw ervaring stelt mij een beetje gerust ;-)

Peter
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: Let's Encrypt Expiry Bot
« Reactie #5 Gepost op: 19 mei 2017, 17:21:49 »
Dan wil ik je alsnog ongerust maken.  ;)

Bij mij zijn op 17 mei de certificaten vernieuwd. De oude liepen op 12 juni af. Dus zijn ze een kleine maand voor afloop vernieuwd door de nas. Het is volgens mij steeds zo dat ze 3 maand geldig zijn, maar al na ruim 2 maand vernieuwd worden. Ruim op tijd vernieuwen is ook het advies van let's encrypt zodat je bij storingen met hun server nog tijd hebt voor een nieuwe request.

Wat dat betreft is het jammer dat die request niet gewoon zichtbaar is in de task manager.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt Expiry Bot
« Reactie #6 Gepost op: 19 mei 2017, 17:22:48 »
Crap.... en bedankt ;)

Peter
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline Gaffel

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 87
  • -Ontvangen: 23
  • Berichten: 362
Re: Let's Encrypt Expiry Bot
« Reactie #7 Gepost op: 20 mei 2017, 11:05:49 »
Hoi Peter,
Het klopt dat het veranderen van de eind data niet op de laatste dag gebeurt.
Dit gebeurt al weken ervoor zoals briolet beschreef.
Ik zou handmatig nog maar eens een nieuw certificaat aanmaken en dan even afwachten.
Kijk ook nog even of poort 80 geactiveerd staat.
Succes,
Groeten,
Han

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt Expiry Bot
« Reactie #8 Gepost op: 20 mei 2017, 22:38:14 »
Hoi allemaal,

Ik heb echt geen idee waarom het certicaat niet automatisch verlengd is.
Alle instellingen zijn prima (firewall, portforwarding etc).

Ik heb als laatste redmiddel de volgende handmatige truuk doorgevoerd en dit werkte !
(bewijs dat de instellingen qua portforwarding en firewall in orde zijn).
Dit ook enigzins getriggerd door de opmerking van @Briolet. (request niet zichtbaar in de Taakplanner)

Voor de liefhebbers:
Ik heb een taak aangemaakt in de 'Taakplanner' van de NAS met Root-rechten.
33384-0

Op het tabblad planning heb ik zomaar wat ingevuld, want ik start aan het einde de taak handmatig.

De taak voert het volgende commando uit (als root): syno-letsencrypt renew-all -vv
33386-1

Vervolgens heb ik deze taak handmatig gestart ("Uitvoeren" button bovenin bij het taakoverzicht) en klap, boem.... certificaat verlengd.
Daarna de taak gedisabled anders wordt deze meegenomen in de sceduling. Ik heb de taak echter niet weggegooid; je weet nooit ;-)

Ik kan weer vooruit tot 18 augustus. Maar waarom dit handmatig dus gewoon werkt en automatisch niet is mij een raadsel.
Jammer dat de Taakplanner van DSM niet per kwartaal kan afvuren. Dan had ik het scriptje elke 3 maanden zelf automatisch laten starten :D

Peter

P.S. Dit truukje kan natuurlijk ook middels SSH, maar dit was even simpeler...;-)
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: Let's Encrypt Expiry Bot
« Reactie #9 Gepost op: 21 mei 2017, 11:39:01 »
Misschien dat er bij jou, op het cruciale moment van verlenging, even geen internet toegang was. De nas zou het moeten blijven proberen na een mislukking, maar misschien gebeurd dat niet.

Op het Engelse forum vond ik iemand die beweerde dat dit alles in "/var/log/messages" gelogd wordt. Ik heb echter in mijn log gekeken, maar vond daar niets over letsencrypt. Ook niet in de oude log bestanden met de datum van juli vorig jaar.

Ik heb verder gezocht en en zie dat alle taken die gestart worden in de file "/var/log/synocrond-execute.log" gelogd worden. Dus niet de taken via de taakplanner maar de cron jobs. Daarin vind ik wel terug wanneer die update uitgevoerd wordt:

05-17 08:42:49 running job: builtin-syno-letsencrypt-syno-letsencrypt: autorenew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root

Dan kun je in elk geval zien wanneer hij het updaten voor het laatst geprobeerd heeft.

Edit:

De taak zelf vond ik terug in /var/logs/synocrond.log

Citaat
Mar 24 10:25:02 GedeeldeData synocrond: crondaemon.cpp:279 generated schedule for builtin-syno-letsencrypt-syno-letsencrypt: autorenew:
  {"cmd_list":["/usr/syno/sbin/syno-letsencrypt","renew-all"],"cmd_str":"/usr/syno/sbin/syno-letsencrypt renew-all","config":
    {"assure_execute":0,"cmd":"/usr/syno/sbin/syno-letsencrypt renew-all","expire":3,"expire_action":"skip","name":"builtin-syno-letsencrypt-syno-letsencrypt: autorenew","period":"weekly","user":"root"},"schedule":{"Minute":[13],"day":[-1],"hour":[16],"month":[-1],"week":[6]
    }
  }

Ik ben niet zo thuis in dit soort cron-code, maar ik heb de indruk dat dit wekelijks herhaald wordt. Als het dus mis gaat met de renewal, probeert hij het pas een week later weer. Dit wordt bevestigd door het "synocrond-execute.log" waarin ik zie dat de code elke week uitgevoerd wordt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt Expiry Bot
« Reactie #10 Gepost op: 22 mei 2017, 12:23:36 »
Mmmm,

Misschien ben ik dan wel net iets te ongeduldig geweest en heeft de retry geen kans meer van mij gehad.
(Ik wist niet dat dit 1x per week gebeurde).

Nou ja, we gaan eens kijken wat er in augustus gaat gebeuren ;-)

Peter

  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt Expiry Bot
« Reactie #11 Gepost op: 30 juli 2017, 16:36:25 »
En toch vandaag (na 3 maanden) weer een emailtje van de 'Let's Encrypt Expiry Bot'.
Certificaat verloopt over 18 dagen en weer lijkt het automatisch updaten niet te lukken terwijl aan (de bij mij bekende) voorwaarden wordt voldaan.
Gelukkig heb ik mijn mini-scriptje nog gereed staan zoals ik hierboven een paar posts terug heb beschreven, dus die verlenging komt wel goed.

Maar het blijft vreemd...

Peter
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline Phoenix77

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 24
  • Berichten: 238
Re: Let's Encrypt Expiry Bot
« Reactie #12 Gepost op: 28 augustus 2017, 14:25:21 »
Ook een mailtje van de expiry bot gekregen.

@pvkan: is het bij jou uiteindelijk toch goed gegaan?
  • Mijn Synology: DS214Play
  • HDD's: 2 WD30EFRX

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt Expiry Bot
« Reactie #13 Gepost op: 28 augustus 2017, 14:27:49 »
Nope...

Op 17 augustus (1 dag voor de verloopdatum) was er nog niets gebeurd.
Omdat ik geen risico wilde nemen heb ik dus wederom het certificaat handmatig verlengd.

Peter
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: Let's Encrypt Expiry Bot
« Reactie #14 Gepost op: 28 augustus 2017, 15:03:54 »
Ik heb sinds de introductie op de nas, diverse certificaten gemaakt. De renewal is hier altijd goed gegaan.

Alleen als ik een certificaat weggooi en een nieuwe maak met toegevoegde subdomeinen, komen die herinneringsmailtjes. Dat is omdat ze natuurlijk niet weten dat ik het certificaat bewust niet verleng.

Misschien toch tijd voor een bugmelding.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

VERPLAATST: Drive- let's encrypt

Gestart door BirdyBoard Synology DSM algemeen

Reacties: 0
Gelezen: 707
Laatste bericht 07 januari 2021, 10:48:44
door Birdy
Let's Encrypt en Radius [tip]

Gestart door BrioletBoard Radius Server

Reacties: 3
Gelezen: 4665
Laatste bericht 24 oktober 2020, 15:04:01
door cyrus1977
Let`s Encrypt

Gestart door PippinBoard The lounge

Reacties: 1
Gelezen: 3175
Laatste bericht 13 juli 2020, 13:55:17
door Briolet
Let's encrypt certificaat renewal zonder gebruik te maken van port 80

Gestart door D4nnyBoard Synology DSM algemeen

Reacties: 18
Gelezen: 2868
Laatste bericht 10 maart 2022, 17:48:30
door Briolet
Certificaat Lets Encrypt, geen antwoord van doelserver

Gestart door ejvlBoard Synology DSM algemeen

Reacties: 6
Gelezen: 1745
Laatste bericht 24 januari 2022, 08:20:49
door ejvl