Vernieuwen Let's Encrypt certificaat

[dirklammers]

Elke 3 maanden is het weer hetzelfde getob als dit certificaat vernieuwd moet worden. Deels mijn eigen schuld, omdat de poorten 80 en 443 alleen vanuit Nederland bereikbaar mogen zijn volgens mijn firewall regel.

Die regels zet ik dus elke 3 maanden telkens even uit waarna het verlengen lukt.

Maar nu niet! Zelfs als ik zowel de firewall van de NAS als die van de router helemaal uit zet krijg ik de melding dat het domein niet gevalideerd kan worden!

Wat kan ik nog over het hoofd zien? Er is eigenlijk niets veranderd in mijn setup hier t.o.v. de vorige keer dat het verlengen nog wél lukte...

Groet, Dirk

[Babylonia]

Gebruik je wel een "Synology" DDNS  of  QuickConnect  domeinnaam?

Alleen bij een Synology gekozen domein hoef je helemaal niet de poorten 80 en 443 door te sturen.
Wordt de validatie automatisch verlengd via de services die je mogelijk wel inzet.

Heb hier zelfs een  Let's Encrypt certificaat  gekoppeld aan een  QuickConnect  domein.
Die NAS is niet eens op "normale wijze" van buitenaf te benaderen, omdat geen poorten voor "normale" services zijn doorgestuurd.

Heb alleen een poort doorgestuurd voor OpenVPN 1194 (nou ja, hier met een aangepast poortnummer 1394)
Bij gebruik van het  QuickConect ID  kan ik van buitenaf en gebruik van OpenVPN inloggen met de NAS en verder het interne netwerk.

https://kb.synology.com/nl-nl/DSM/tutorial/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS

6. Om het certificaat van uw aangepast domein te verkrijgen of te verlengen, moet u controleren of poort 80 naar uw NAS is  doorgestuurd.
   Deze beperking is niet van toepassing op Synology DDNS.


OpenVPN connectie op basis van het  QuickConnect ID  en alleen doorsturen van de poort voor OpenVPN.
Zie  < dit onderwerp >  en vervolg reacties.

[dirklammers]

Certificaat is al enkele jaren gekoppeld aan een "eigen domein" en los van het gehannes rond het verlengen loopt het eigenlijk altijd goed. Nu dus niet.

Groet, Dirk

[Babylonia]

Tja, dat is het nadeel van een eigen domein en gebruik van het Let's Encrypt domein.

Naast het voorbeeld van een  "Synology" domein, heb ik hier ook al jaren een "eigen" domein in gebruik.
Om het gehannes elke 3 maanden iets met poortnummers en een Let's Encrypt domein van doen te hebben.
Neem ikzelf een commercieel  SSL certificaat af (de goedkoopste optie), rechtstreeks bij  https://www.xolphin.com

Vroeger was een SSL-certificaat 2-3 jaar geldig, nu maximaal één jaar.

Maar gezien ook een NAS elders onder beheer met daar een  Synology  domein, waar het prima werkt met Let's Encrypt.
Zit ik erover te denken het eigen NL domein hier te laten varen, en alles via een Synology domein te doen - met Let's Encrypt.

[Briolet]

Wat kan ik nog over het hoofd zien? Er is eigenlijk niets veranderd in mijn setup hier t.o.v. de vorige keer dat het verlengen nog wél lukte...

Misschien dat ergens een storing zit.  Gewoon morgen nog eens proberen. Ik doe het zelden handmatig, maar soms krijg ik ook een foutmelding.

[dirklammers]

Opnieuw geprobeerd vandaag: weer niet....
Bijgaand screenshot van de firewall in de 2600; de firewall van de NAS had ik even uitgezet.
Als ik trouwens de firewall van de 2600 even uitzet lukt het ook niet. Geen firewall probleem dus.
Nog suggesties ?

Groet, Dirk

[Babylonia]

Zie ook geen vreemde dingen in de firewall.

Suggestie.  Let's Encrypt certificaat helemaal verwijderen en een volledig nieuwe aanmaken.

[Birdy]

Test eerst eens met: Let's Debug

Mijn test was overigens ok:

[bartmans99]

Als je t handmatig doet via de command line met:

Code: [Selecteer]

syno-letsencrypt renew-all -vvkrijg je mss ook zinvolle foutmeldingen terug naast die van Let's Debug.

[Birdy]

Dus Let's Debug geeft geen zinvolle foutmeldingen ?

[Babylonia]

Test eerst eens met: Let's Debug

Een heel aardige tool.
Specifiek bedoeld voor die gevallen met  "andere"  domein namen, dan sub-domeinen via Synology DDNS en QuicConnect aangemaakt.
(Voor Synology sub-domeinen is poort 80 niet noodzakelijk).

Zou voor  @dirklammers  juist de aangewezen tool moeten zijn.   

Testte het hier met een  Synology QuicConnect  aangemaakt domein met "geldend" Let's Encrypt certificaat.
Vind zowel mijn IPv6 als IPv4  WAN-adres van het domein, maar wel met foutmeldingen dat poort 80 niet wordt opgemerkt.
(Poort 80 is daarbij niet doorgestuurd).

[dirklammers]

WAT BEN IK TOCH DOM   

Tja, na al jullie aanbevelingen nog eens geprobeerd te hebben zag ik dat in de router de portforwarding van poort 80 uitgevinkt was. Kennelijk sinds de vorige keer uitgezet in een vlaag van een veiligheidsbevlieging. Zucht.

Sorry dat ik jullie voor niets heb lastiggevallen.

Om toch een beetje mijn gezicht te redden dan maar de volgende vraag:

Nu staan dus in beide firewalls (router en NAS) de poorten 80 en 443 open voor "de hele wereld" (ik bedoel dat ik geen regio-beperkingen heb staan).
Hoe risicovol is dat nu eigenlijk?

Poort 443 heb ik nodig voor de Drive-server, 80 dus eenmaal per 3 maanden voor de verlenging van het certificaat.

Wat is jullie advies?

Groet Dirk

[Birdy]

Ik ben ook wel eens "dom"

[Babylonia]

Ja, ook hier - dom - verstrooid,  en soms  "er niet op kunnen komen"
of langs de oplossing heen kijken, door bijv. een alcoholische versnapering.   
Het komt allemaal wel eens voor.   

[dirklammers]

Dank voor jullie begrip en herkenning. Nu durf ik tenminste volgende keer weer iets te vragen......

Groet, Dirk