Let's encrypt met wildcard instellen

[MAdD]

nee deze container werkt voor alle providers die Lexicon gebruiken (waaronder TRANS-IP).
zie voor meer info hier

[dvandonkelaar]

Begrijp met niet verkeerd, ik vraag me alleen af wat het voordeel van deze container is.
Wat deze container doet is het aanmaken van DNS-records (alleen bij providers die Lexicon gebruiken) en een let's encrpyt certificaat aanvragen.
Ten opzichte van het handmatig uitvoeren van het acme.sh-script wordt alleen het aanmaken van de DNS-records niet uitgevoerd.
Maar goed. Als het goed werkt, dan is er geen reden om dit anders te doen.


De repo van AnalogJ/lexicon is daarbij veel interessanter. Deze kun je gebruiken om DNS-records aan te passen, mits je procider Lexicon gebruikt natuurlijk.

[MAdD]

Met deze container maak ik een wildcard certiifcaat.
Aangezien je een wildcard certificaat alleen kan aanmaken, als er een bepaalde DNS entry in je domain staat, gebruik ik deze container om alles geautomatiseerd te doen.

Oftewel ik geen aan welke domainen ik in het certificaat wil, en dan zal de docker dit gaan uitvoeren (DNS record aanmaken, ACME controleert daarna of de key overeenkomt, aanmaken van cert en opruimen van de DNS record).
Ik heb hier geen omkijken meer naar......

[OuRW9M]

Ondertussen heb ik het zelf werken gekregen door middel van een bash script. Zie mijn update in de TS.
Via mijn GitHub is deze te downloaden.

Hoe doe je dit i.c.m. je DNS provider? Zet je elke keer handmatig de record goed of vernieuw je hem elke keer op tijd zodat je challenge in de cache blijftI?

[Briolet]

Nee, niets handmatig:

Ik heb hier geen omkijken meer naar......

De DNS provider moet het wel ondersteunen (Lexicon), vandaar de restrictie in het script voor specifieke providers

[OuRW9M]

Heb heel even mn reactie aangepast en er een quote bijgezet.
In het script van dvandonkelaar, wordt er gebruik gemaakt van het argument --yes-I-know-dns-manual-mode-enough-go-ahead-please
Daarmee neem ik dus aan dat hij deze modus gebruikt en dus niet automatisch vernieuwt. https://github.com/Neilpang/acme.sh/wiki/dns-manual-mode

Ik ben voornamelijk benieuwd wat hij dan wel doet.

[dvandonkelaar]

Volgens mij worden de bestaande waardes in de sms behouden. Ik heb hier een poosje verschillende situaties mee zitten testen waardoor ik niet meer exact weet hoe dit nu zat.
Een deze dagen zal ik het nog wel eens proberen. Ik zag vandaag dat niet alleenalle virtual host certificates geüpdatet waren, dus dat wil ik ook nog even uitzoeken.
Zodra ik hier meer over weet zal ik het hier vermelden.

EDIT: typfout aangepast

[dvandonkelaar]

Hoe doe je dit i.c.m. je DNS provider? Zet je elke keer handmatig de record goed of vernieuw je hem elke keer op tijd zodat je challenge in de cache blijftI?

Het acme.sh-script doet met een eerste renew in principe hetzelfde als met elke renew daarna. Dit gaat op basis van de gegevens die 'verwacht' worden.
Dit heb ik vanmorgen even getest en mijn certificaat van 08-12 is netjes geüpdatet, met de oude DNS-instellingen.
De Topic Start heb ik bijgewerkt met de laatste informatie.

[Briolet]

In feite doet het standaard script hetzelfde bij een certificaat voor een Synology ddns naam. Dit gaat ook via de dns instellingen, waardoor er geen poort hoeft open te staan. Maar dat is dus alleen voor de eigen dns server van synology.

[Birdy]

Sinds DSM Version: 6.2.3: Added support for Let's Encrypt wildcard certificates.

[zandhaas]

Heb net even getest met mij V-DSM test machine.
Het lijkt erop dat wilcard certificaten alleen werken met "synology" domein namen.
Als ik het voor mijn eigen domein probeer krijg ik de melding dat ik een "geldige domein naam" moet gebruiken.

[Briolet]

Ik had al zo'n idee dat er een addertje onder het gras zat. Ik heb 6.2.2 op mijn testnas gezet en wilde het ook eens testen.

Poort 80 gaat niet naar mijn testnas, maar deze wildcard methode gebruikt een protocol dat poort 80 niet nodig heeft. Dat protocol gebruikt Synology al voor certificaat op zijn eigen domeinnamen.
Met een eigen domeinnaam moet je echter van alles in je dns systeem aanpassen voor deze nieuwe methode. Of de nas doet dat voor je, maar dan heeft hij inlog gegevens nodig voor je dns instellingen.

Tot mijn verbazing was er geen enkel menu om dit alles in te kunnen stellen. Ik zeg zelfs geen aanpassingen aan de certificaat menu's. Ook in de help wordt er niets geschreven over deze wildcards.

Bij de dns van synology ligt dat echter iets simpeler. Daar is de inlog voor het dns systeem gelijk aan de inlog van de ddns dienst. Dus daar kan Synology het realiseren zonder dat de gebruiker extra instellingen moet doen.

Dus eigenlijk een wassen neus dat wildcards mogelijk zijn.

[Birdy]

Nou, bij mij ging het e.e.a. niet goed op m'n Test DS maar, dat komt waarschijnlijk omdat ik te veel geklooid heb met Synology DDNS en meerdere Certificaten, te veel om uit te leggen.
Ik ga terug naar fabrieksinstellingen en weer testen, morgen.

[Briolet]

Ik heb poort 80 even naar mijn testnas gezet.

Een certificaat voor *.xxx.synology.me werkt niet. Een certificaat voor dsm.xxx.synology.me werkt wel. Het is wel nieuw dat je een asterix mag gebruiken in een domeinnaam. In de vorige dsm versies kon je geen asterix gebruiken.

Dit was wel met een nas die niet voor de ddns zorgt. Dus waarschijnlijk gebruikt hij het standaard protocol dat ook voor eigen domeinen gebruikt wordt.

Een test op mijn hoofdnas kan ik nog niet doen omdat ik daar zeker nog wacht met een update. Dat zal ik pas na 21 april doen als synology de 6.2.3-1 patch gaat releasen. OpenSSL heeft voor die dag nml een kritische bugfix aangekondigd.  En dan kun je een update niet meer uitstellen.

[Birdy]

Getest op m'n Test-DS die ik volledig opnieuw heb geïnstalleerd.

Als test, eerst in Toepassingsportaal > File Station "Aangepast domein" ingeschakeld, domein: fs.xxx.synology.me en poort 7001 forwarded.

Na het verwijderen van de oude DDNS in m'n account, een nieuwe gemaakt, xxx.synology.me en heb het Let's Encrypt automatisch laten maken.
Echter, ik had nu eigenlijk wel verwacht dat ik een keuze zou krijgen of ik ook de Wildcard wilde instellen.
Niet dus, kreeg dus een standaard Certificaat voor xxx.synology.me.

Heb een tweede Certificaat gemaakt met Wildcard voor xxx.synology.me.
Het eerste Certificaat werd hierdoor aangepast.



In Chrome: https://fs.xxx.synology.me:7001 krijg ik "Je verbinding is niet privé"
Ik klik op geavanceerd, krijg ik te zien:
"De server kan niet bewijzen dat dit fs.xxx.synology.me is. Het beveiligingscertificaat van de server is afkomstig van xxx.synology.me."
Ga ik toch door, dan kom ik onveilig in het inlogscherm voor File Station.




Het werkt dus idd niet of, ik snap het idee niet.