Oude syno-letscencrypt in nieuwe DSM 6.2.2-24922

[Henk148]

Hallo allemaal,

Ik maak al jaren gebruik van Let's Encrypt voor SSL certificaten. Sinds kort werkt het acme-v01 protocol niet meer. Dat zou echter geen probleem moeten zijn op mijn DSM 6.2.2-24922 (1515+). Ik begrijp dat in deze DSM versie acme-v01 omgezet is naar het acme-v02 protocol.

So far so good.

Maar helaas. Ik krijg bij het renewen van het certificaat de foutmelding dat het acme-v01 protocol nog steeds wordt toegepast door DSM. Kennelijk is dit stukje software niet aangepast. Via de web-interface krijg ik weinig info mee over het type fout. Daarom heb ik het oude certificaat helemaal weggegooid en via SSH geprobeerd een nieuw certificaat te krijgen en dan krijg ik dus de melding dat ik het acme-v01 protocol gebruik:

Code: [Selecteer]

sudo /usr/syno/sbin/syno-letsencrypt new-cert -d www.mijndomein.nl -m mijndomein@xs4all.nl -vv

DEBUG: ==== start to new cert ====
DEBUG: Server: https://acme-v01.api.letsencrypt.org/directory
DEBUG: Email: mijndomein@xs4all.nl
DEBUG: Domain: www.mijndomein.nl
DEBUG: ==========================
DEBUG: setup acme url https://acme-v01.api.letsencrypt.org/directory
DEBUG: szUserAgent: [synology_avoton_1515+ DSM6.2-24922 (DDNS)]
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/directory
DEBUG: Curl Reply: [403] Header: [HTTP/1.1 403 Forbidden
Server: nginx
Date: Tue, 29 Jun 2021 14:34:48 GMT
Content-Type: application/problem+json
Content-Length: 333
Connection: keep-alive
ETag: "60b6846b-14d"

] Body: [{
  "type": "urn:acme:error:serverInternal",
  "detail": "ACMEv1 is deprecated and you can no longer get certificates from this endpoint. Please use the ACMEv2 endpoint, you may need to update your ACME client software to do so. Visit https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430/27 for more information."
}
]
{"error":200,"file":"client.cpp","msg":"Directory Member missing."}

Dat is toch merkwaardig? Het lijkt erop dat het sbin/syno-letsencrypt script nog de oude is. Wie kan mij helpen hiermee?

Groet
Henk

[Briolet]

Inderdaad vreemd. Dat script wordt nog steeds gebruikt volgens het synocron-execute.log. Bij mij is het 326027 bytes groot. Het is gecompileerde code, zodat ik er niet even in kan kijken. Het zou kunnen dat het oude protocol er nog als een soort 'backup protocol" in zit.

[Henk148]

Op mijn NAS is de syno-letsencrypt executable 215235 MB groot. Zou dit de verkeerde executable zijn?

[Briolet]

Als hij echt een kwart TB (0,21 TB) groot is, is er zeker iets aan de hand 

Ik neem aan een tikfoutje.  Wel vreemd dat hij bij jou een derde kleiner is dan bij mij. Ik zou verwachten dat dat script op elke nas gelijk is. Echter, als ik op mijn 212J kijk, is het bestand 267519 bytes groot. Beide nassen met dezelfde dsm versie.

Blijkbaar verschilt het script per nas. Zal door het compileren komen dat zo te zien per processor gebeurd.

[Henk148]

Maar hoe komt syno-letsencrypt er bij om acmev1 te gebruiken? De DEBUG output laat immers zien ...

Code: [Selecteer]

DEBUG: setup acme url https://acme-v01.api.letsencrypt.org/directoryStaat dit hard gecodeerd in syno-letsencrypt of is het een setting die ergens op mijn NAS staat opgeslagen? En zo ja, waar?

[Briolet]

Je schrijft nergens welke versie 6.2.2 je gebruikt. Uit de releasenotes van Update3:

What's New

Updated the protocol of Let's Encrypt to ACME V2 to enhance the stability of the registration process.

Misschien zit je nog op 6.2.2 update 2 (of ouder?)

[Henk148]

Opgelost! Ja, ik zat nog op update 2! Man, wat heb ik lopen zoeken afgelopen maand. Maar dat er behalve het nummer 6.2.2-24922 nog een subnummer bestond wist ik niet. Bovendien krijg ik al een jaar of meer mailtjes van Let's Encrypt dat acmev1 er uit gaat dus ik had het idee dat Synology al LANG de software had bijgewerkt.
Excuses voor deze user error maar ik dank jullie allemaal hartelijk voor het meedenken.
Henk