Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: ufosyno op 19 november 2020, 16:41:47
-
Ik verving mijn NAS en richtte die via Hyperbackup in, identiek aan de oude NAS. Daarbij was me al opgevallen dat een aantal config-items niet meegenomen waren. Ik zette (via export/import) o.a. de aanwezige certificaten over. Daar hebben we het in een eerder topic al over gehad,
Nu krijg ik een email, dat het mijn certificaat over 20 dagen vervalt. Let wel: ze schrijven niet, dat de verlenging is mislukt (dat heb ik ook al wel eens meegemaakt), het is gewoon een droge herinnering dat het certificaat vervalt.
Vraag 1:
Ik ben gewoon, dat de certificaten automatisch (en op de achtergrond) verlengen, maar dat gebeurt dus nu blijkbaar niet. Het zou kunnen - ik heb geen idee daarvan - dat in het certificaat dus ook een verwijzing naar de NAS staat, bijv. het MAC-adres, en dat dat nu afwijkt waardoor de automatische verlenging onmogelijk wordt. Ik had dus niet via export/import het certificaat mogen overzetten, maar ik had op de nieuwe NAS gewoon nieuwe certificaten moeten aanvragen.
Heeft iemand hier meer kennis en zekerheid en zo ja, is het dan niet een goede zaak om daar in een tutje aandacht aan te schenken?
Nou had ik twee certificaten. Als "proef" heb ik van het eerst vervallende certificaat een nieuwe aangevraagd en gekregen, daarna de oude gewist en de config aangepast. Dat werkt wel, maar geeft me voorlopig nog geen antwoord op de vraag of die nieuwe dan straks wel weer automatisch verlengd.
Vraag 2:
Daarnaast een vreemd probleempje ontdekt: na installatie van het nieuwe- en verwijdering van het oude certificaat blijkt in het configuratiescherm (waar je aangeeft welke webadressen/toepassingen welk certificaat moeten gebruiken), dat wanneer je daar het keuzevak openklikt, het oude verwijderde certificaat ook te blijven staan... Alleen als je dat aanklikt, maakt hij oud én nieuw blauw, maar wat er dan verder gebeurt heb ik geen idee van. In elk geval is het nieuwe certificaat wel van toepassing als ik de website opvraag en het certificaat daar controleer.
Moet ik dit zien als een bug of ligt hier een andere oorzaak onder?
Groet,
Ufosyno
-
Wat ook zou kunnen:
Als je het Let's encrypt-certificaat aanvraagt in de NAS, kan door de NAS een in bestandje bijgehouden worden wanneer moet worden verlengd en zou het de NAS zijn, die de verlenging initieert. Als je in die mogelijke situatie dan de certificaten importeert, wordt dat bestandje niet gemaakt/aangepast en wordt er dus niet door de NAS om verlenging gevraagd.
In die situatie moet het dus duidelijk worden, dat je de "ingebouwde" Let's encrypt ondersteuning niet krijgt als je certificaten overzet.
Nogmaals: ik weet niet hoe het echt zit...
-
Voor Let's Encrypt moet poort 80 of 443 open zijn op de NAS voor inkomend verkeer. Heb je je portforwardings gecheckt dat dat nog steeds kan?
-
Als je het Let's encrypt-certificaat aanvraagt in de NAS, kan door de NAS een in bestandje bijgehouden worden wanneer moet worden verlengd en zou het de NAS zijn, die de verlenging initieert.
Ik verwacht dat dit de oorzaak is. Als je een systeem backup maakt, gaan de certificaten ook niet mee. Maar als je ze handmatig over zet, zet je alleen het certificaat over en geen extra data die 'onder water opgeslagen is. In theorie kan de verlengings routine de gegevens uit het oude certificaat halen, maar het zou inderdaad kunnen dat dit apart opgeslagen werd, en nu mist.
Die info zou kunnen staan op "/usr/syno/etc/letsencrypt". Per certificaat staan daar twee .json files in. (Maar bij mij worden er 6 certificaten beschreven en ik heb er maar 5 van let's encrypt. ::) )
In die data zie ik ook het e-mail adres staan dat aan Let's Encrypt doorgegeven is en een uniek account nummer dat aan het certificaat gekoppeld is. Die info is niet uit het certificaat zelf te halen.
-
@bartmans99: Op zich is deze opmerking terecht, alleen hier niet passend omdat ik dát toch wel heel direct zou hebben gezien. Want dan waren mijn sites niet bereikbaar geweest.
Ter lering: als die poorten niet goed zijn ingericht, krijg je ingeval een verlengingspoging een andere email: "de verlenging van uw certificaten is mislukt, controleer uw instellingen". Die heb ik jaren terug ook wel 's gehad, toen je nog verplicht poort 80 open moest houden om deze verlenging door te laten gaan.
@Briolet: Dus blijkt mijn tweede gedachte juist, maar - ik kan het over het hoofd hebben gezien - dat staat dan nergens. De verlenging van het Let's encrypt-certificaat wordt dus door DSM geïnitieerd en niet (zoals in elk geval mijn indruk was) door Let's encrypt.
Refererend aan het eerdere topic is dan dus de Hyperbackup - configbackup ook op dat punt niet compleet. Dat valt mij dan wel een beetje tegen. Vooral omdat ik in mijn voorbereidingen voor de migratie nergens heb gelezen dat je de certificaten op de nieuwe NAS opnieuw moet aanvragen.
Maar goed: ik zal ook mijn tweede certificaat opnieuw aanvragen en het overgezette exemplaar wissen, erop vertrouwende dat het achtergrondbestandje dan wel weer wordt aangemaakt.
-
Maar goed: ik zal ook mijn tweede certificaat opnieuw aanvragen en het overgezette exemplaar wissen, erop vertrouwende dat het achtergrondbestandje dan wel weer wordt aangemaakt.
Kijk vooraf in de locatie die ik aangaf. Als mijn hypothese klopt, staat er nu één folder met cryptische naam en na het aanmaken van het 2e certificaat 1 meer.
Over het verlengen" De nas runt ongeveer elke 7 dagen een script. Dit script kijkt naar de geldigheid van de Let's Encrypt certificaten en verlengt elk certificaat dat binnen één maand afloopt.