Let's encrypt met wildcard instellen

[Birdy]

Dat kan je toch zelf zien? 

[aliazzz]

LUI!

[Birdy]

 

[aliazzz]

In de RT is die optie nog niet aanwezig via de wizard....

[Birdy]

Dat wist ik al blind  , het kon ook niet, omdat SRM al lang geen update meer heeft gehad.
Maar, ik verwacht dat die optie nog komt.

[Briolet]

In de RT is die optie nog niet aanwezig via de wizard....

En ook niet in DSM. Althans niet als zichtbare instelling en ook niet genoemd in de help.  De enige clou is dat je een wildcard kunt intikken in de invulvelden. (en natuurlijk de releasenotes)

[Birdy]

En ook niet als DDNS vraagt om een Certificaat voor je maken in DSM, dan gaat het volledig automatisch.

[aliazzz]

Okay, maar stel dat je dan een wildcard wilt aanvragen, kunnen jullie dan een voorbeeldje posten? 
Iets met een * in de domeinnaam?

[Briolet]

Dat is toch gewoon een * invullen i.p.v. een expliciet subdomein. Waar is dan een voorbeeld voor nodig?

[Birdy]

Voorbeeld? Zie mijn Reactie 55. 

[aliazzz]

Wat ik al zei: LUI

[Birdy]

Dat wist ik al blind  , het kon ook niet, omdat SRM al lang geen update meer heeft gehad.
Maar, ik verwacht dat die optie nog komt.

IK zat er helemaal naast dus, excuses van mijn kant.

In SRM (voor alle Routers) wordt Wildcard al support sinds Version: 1.2.3-8017 (2019-07-24):
Added support for the Let's Encrypt wildcard certificates for the Synology DDNS domains.

Mijn RT2600ac:

In de RT is die optie nog niet aanwezig via de wizard....

Die optie is dus WEL aanwezig @aliazzz 

Eigenlijk was ik dus ook te lui om te fact-checken, had dit n.l. helemaal niet verwacht, omdat Let's Encrypt op zich pas later in SRM was toegevoegd.
Dus, Wildcard in SRM was er eerder dan in DSM.

[Briolet]

Wel een vreemd voorbeeld. Als dat echt klopt, zou je een wildcard certificaat kunnen krijgen voor alle synology ddns gebruikers.

Bij DSM staar er op dat punt geen voorbeeld over wildcards. SRM is wat dat betreft duidelijker en geeft ook goed de beperkingen aan.

[aliazzz]

*update* => die wildcard ( *. ervoor) helpt mooi wel!

Kijk, ik ben niet bekend met dit soort materie, daarom vraag ik ernaar...
Weet ik veel dat het derde veld ervoor dient? Hoe moet ik zoiets nou weten?

Goed, iedereen kan en mag fouten maken, dus geen probleem hoor! Eigenlijk wel grappig dat we er allemaal naast zaten.

[Briolet]

@dvandonkelaar ,  Ik heb vandaag voor het eerst eens goed naar je automatische update procedure gekeken. Mooi script, mijn complimenten voor het werk.

Nog een paar tips voor op je ToDo list.

1)
Je geeft aan om het script elke 3 maand te herhalen. Als dat een keer mis gaat, zit je met een verlopen certificaat. De nas zelf roept het vernieuwing script elke week op en kijkt dan naar de datum van elk certificaat om te kijken of het binnen een maand verloopt. Zo ja, dan start hij al met de vernieuwing. Dat is 4 week te vroeg, maar dan mag het nog 3x mis gaan. 
Misschien een idee om zelf het script ook wekelijks te laten uitvoeren en dan naar de datum van het certificaat te kijken. (of zelf een tellertje met datum op te slaan met de laatste succesvolle vervanging)

2)

De verkregen certificaten worden gekopieerd naar het standaard certificaat van DSM en naar de verschillende packages, behalve het Acitve Directory package (deze heeft een eigen certificaat).

Dit zou ik aanpassen. Waarom maak je alleen een uitzondering voor "Acitve Directory". Er zijn veel meer certificaten waar je af moet blijven. Voor OpenVPN wil je b.v. geen Let's Encrypt gebruiken omdat je dan elke 3 maand je configuratie moet exporteren. Ook bij webserver gebruikt niet elke virtuele host hetzelfde certificaat.
Misschien moet je het script aanpassen door eerst te onderzoeken welk pakket het default certificaat gebruikt en dan alleen die certificaten vervangen.

De pakketten die het default certificaat gebruiken vind je in "/usr/syno/etc/certificate/_archive/INFO". Zoek het record met het default certificaat en kijk bij de entries

Code: [Selecteer]

            "service" : "xxx",
            "subscriber" : "yyy"

Subscriber is de naam van het pakket en subscriber de foldernaam waar de certificaten staan. Dus:

Code: [Selecteer]

/usr/local/etc/certificate/subscriber/service
Dan heb je precies de goede certificaten en zijn er geen uitzonderingen nodig in het script, zoals voor "Acitve Directory".
(Veel extra werk, dat begrijp ik)