Let's encrypt renewal - hoe kan ik een verlopen certificate vernieuwen / deleten

[Henk148]

Mijn letsencrypt certificate is verlopen. Ik heb wel poort 80 een tijdje open gezet. poort 443 echter niet (moet dat?). Maar er gebeurde natuurlijk helemaal niets. Ik weet niet wanneer DSM de renewal triggert. Om te voorkomen dat ik nog meer problemen veroorzaak, wil ik graag jullie advies:

1) kan ik in de toekomst handmatig de renewal triggeren? Ik heb het nergens kunnen vinden. Ook niet in het forum.
2) kan ik het verlopen certificaat alsnog handmatig renewen?
3) kan ik het verlopen certificaat deleten? Delete is grayed-out in DSM
4) kan ik gewoon een nieuw certificaat aanvragen bij Let's Encrypt voor dezelfde domeinen en installeren via Control panel | Security | Certificate terwijl het verlopen certificaat er nog staat??
5) moet ik én poort 80 én poort 443 open zetten of is alleen 80 voldoende?

NB: voor wie zich afvraagt waarom ik domeinen heb én poort 80 / 443 niet open heb staan: op mijn router forward ik poort 80 / 443 naar andere poorten op de NAS. Die vang ik daar op met virtual host settings.

Ontzettend veel dank voor jullie hulp alvast!!
Henk

[Briolet]

Via DSM kun je geen renewal starten.

Let's Encrypt heeft regels, maar uit het hoofd mag je 5 per dag (of per week) aanmaken op hetzelfde domein.

Elk wel of niet verlopen certificaat moet je zo in dsm kunnen deleten. Misschien dat dsm liet toestaat dat het laatste certificaat gewist word, maar dan begin je met het aanvragen van een nieuwe. (Pas het commentaar van het oude, vooraf even aan, zodat je beide straks uit elkaar kunt hoeden)

Alleen poort 80 moet open blijven staan voor de vernieuwing, die ca 1 maand voor afloop gebeurd. Het waarschuwing mailtje krijg je ca 2 week voor afloop en krijg je normaal niet, als de renewal steeds lukt.

[Henk148]

OK, ik heb de gok maar genomen:

Control panel | Security | Certificate | Add

Nu krijg ik - had ik niet gezien - de mogelijkheid om een oud certificaat te vervangen. Dat komt mooi uit: ik heb het verlopen certificaat van Let's Encrypt vervangen door een nieuw certificaat van Let's Encrypt. Verliep vlekkeloos. SSL werkt weer als een zonnetje.

Pff - altijd zweten, dit soort akkefietjes. Eind goed, al goed.

Dank, groet,
Henk

[Briolet]

Als je het laatste certificaat wist, kan dsm geen https verbinding meer opbouwen. Daarom zal dat verboden zijn.

Als je normaal een certificaat wist, dat gebruikt wordt, dan neemt het default certificaat de taak over. En als je de default wist, wordt de bovenste de default.

Mooi dat het nu weer werkt.

[ufosyno]

@Briolet: Ik meen dat je het default certificaat (van Synology) niet eens kunt wissen.

[Briolet]

Jawel hoor, die is bij mij al lang weg. Eigenlijk al sinds DSM 4 

[ufosyno]

Dan kon het toen misschien wel en neemt hij dat met de updates over, maar als ik nu dit standaardcertificaat aanklik wordt de knop "Verwijderen" uitgeschakeld... schrijf ik na nu twee keer te hebben gekeken of ik niet echt gek aan het worden was 

[Henk148]

maar als ik nu dit standaardcertificaat aanklik wordt de knop "Verwijderen" uitgeschakeld.

. Daar liep ik ook tegen aan. Deleten wilde niet. Maar ik kon er wel een nieuw certificaat overheen kopiëren.

[ufosyno]

Dat heb ik met "latere kennis" juist niet gedaan. Je geeft immers onder certificaat/configureren aan welk certificaat voor welke site gebruikt wordt, daarbij kan je dus het hele default certificaat "uitschakelen", door 'm nergens van toepassing te laten zijn.

Ergens las ik nl. dat wanneer er problemen zijn met het certificaat (verlopen...) de NAS dan kan terugvallen op het default. Dat leek me wel handig, en dat extra certificaatje eet geen brood, dus heb ik het rustig laten staan.

[Briolet]

Je kunt er voor elke site of subdomein een eigen certificaat in zetten. b.v. een voor (mail.mijndomein.nl, smtp.mijndomein.nl) een ander voor www.mijndomein.nl etc.

En als je Open VPN gebruikt, wil je waarschijnlijk geen Let's Encrypt gebruiken omdat daar elke paar maand een nieuw certificaat gebruikt wordt. Dan blijf je bezig om ook de cliënten te updaten. Dan is dat default certificaat wel handig. Of gewoon een self-signed exemplaar dat een paar jaar geldig blijft.

[Gaffel]

Beste mensen,

Onderstaande heb ik gevonden bij Help (certificaten).
Werkt dit dan niet zoals helemaal onderaan beschreven staat, dus automatische vernieuwing van het certificaat.

Groeten,
Han

[Birdy]

Ja, zo zou het moeten werken.