Kostenloses gültiges SSL-Zertifikat von Let’s Encrypt auf Synology DiskStation installieren
Warum kommt bei selbst erstellten Zertifikaten eine Sicherheitswarnung und wie kann ich das vermeiden?
Synology DSM 6.0 (ab Beta 2) unterstützt Let’s Encrypt und die Installation eines kostenlosen, gültigen SSL-Zertifikats ist typisch Synology denkbar einfach.
Voraussetzung für die Nutzung des Assistenten im DSM System der DiskStation ist, dass der Port 80 und der Port 443 in deinem Router auf die DiskStation weitergeleitet wird.
Meinen Beitrag zu Portweiterleitungen findest du hier.
Der Zertifikats-Assistent wurde ab DSM 6.0 Beta 2 stark verbessert und überarbeitet. Hier wird der Let’s Encrypt Client gestartet und der Schlüssel erzeugt, sich gegenüber Let’s Encrypt authentifiziert (deshalb sind die TCP-Ports 80 für http und 443 für https wichtig!) und die Zertifikate ins DSM-System eingespielt.
Nach erfolgreichem Vorgang meldet dein Browser anhand eines (grünen) Schloss-Symbols in der Adressleiste, dass dieses Zertifikat gültig und die Verschlüsselung in Ordnung ist.
Du findest dieses Video hilfreich?
Abonniere mich auf YouTube und verpasse kein neues Video mehr!
Folge mir auf Facebook, Twitter und Google+! Rechts oben in der Seitenleiste findest du die Links.
Mit den sicheren Teilen-Schaltflächen kannst du diesen Artikel auch überall einfach einbinden.
Das Video wird von Youtube eingebettet. Es gelten die Datenschutzerklärungen von Google. Mit dem abspielen des Videos nimmst Du dies zur Kenntnis.
Meine Empfehlung von DiskStations im Videobeitrag
Einsteiger (siehe Videolink oben):
DS216se (preiswerte DS) bei Amazon: http://amzn.to/1LkctUc
DS215J bei Amazon: http://amzn.to/1VBk8Dt
DS416J bei Amazon: http://amzn.to/1VBkhXE
Hobby & Privat ohne Live-Transkodierung von Videos (siehe Videolink oben):
DS715 bei Amazon: http://amzn.to/1VBl5M6
DS416 bei Amazon: http://amzn.to/1NGEdZk
DS1515 bei Amazon: http://amzn.to/1SSO93V
Privat mit Live-Transkodierung von Videos (siehe Videolink oben):
DS216play bei Amazon: http://amzn.to/1LkcszO
DS415play bei Amazon: http://amzn.to/1VBlX3c
Unternehmen und anspruchsvolle Privatnutzer:
DS216+ bei Amazon: http://amzn.to/1VBmtOT
DS716+ bei Amazon: http://amzn.to/1jaIZAt
DS415+ bei Amazon: http://amzn.to/11yhCs6
DS1515+ bei Amazon: http://amzn.to/1VBmLoU
DS1815+ bei Amazon: http://amzn.to/1VBmPVD
DS2415+ bei Amazon: http://amzn.to/1SSOJyv
Festplatten für alle DiskStations:
Western Digital RED 1 TB NAS bei Amazon: http://amzn.to/1jTw69H
Western Digital RED 2 TB NAS bei Amazon: http://amzn.to/1focbN6
Western Digital RED 3 TB NAS bei Amazon: http://amzn.to/1aYkM6t
Western Digital RED 4 TB NAS bei Amazon: http://amzn.to/1g6c6jh
Western Digital RED 6 TB NAS bei Amazon: http://amzn.to/1vbrNcL
Wichtige Links:
Synology FAQ: http://idomix.de/synofaq
Netzwerk-Ports für Dienste: http://idomix.de/synoports
Kompatibilität zur DiskStation: http://idomix.de/synohdd
Synology Download Center: http://idomix.de/synodwn
Synology Produkte:http://idomix.de/synoproducts
Hallo Dominik,
ich habe noch ein kleines Verständnisproblem mit den Dateifreigaben der DS.
Ich habe das seit gestern kostenlos angebotene No-IP-SSL-Zertifikat (seit neuestem eins kostenlos) erzeugt, heruntergeladen und installiert.
Der Zugriff von Extern über die auch im Zertifikat benannte DynDND-Adresse (xxx.ddns.net) klappt jetzt ohne Sicherheitswarnung, so weit, so gut.
Aber wenn ich jetzt jemandem einen Dateifreigabelink vom DSFile schicke, wird ja ein gofile.me/xxx Link erzeugt, kein xxx.ddns.net.
Und ruft man diesen dann von extern auf, kommt wieder die Sicherheitsmeldung, weil ja die Adresse vom Zertifikat abweicht.
Das warum ist mir klar, aber die Lösung bekomme ich nicht hin…
Aus den obigen Kommentaren habe ich mitgenommen, dass ich vmtl ein Wildcard-Zertifikat brauche, bei dem ich nicht nur die xxx.ddns.net eintragen kann, sondern auch weitere (hier noch gofile.me und evtl weitere Dienste, der Kalender im Thunderbird hat zB auch gemeckert nach Zertifikatsumstellung).
Aber wie erfahre ich, ob das jetzt neu kostenlos verfügbare No-IP-SSL-Zertifikat ein solches Wildcard-Zertifikat ist?
Bei der Erstellung wurde ich mW nur nach einer einzigen Domain gefragt…? Kann es sein, dass das benannte No-IP-Zertifikat diese Wildcard-Möglichkeit nicht bietet?
Oder gibt es noch eine andere Lösung? Kann die Diskstation evtl auch xxx.ddns.net-Links zur Dateifreigabe erzeugen? Wenn ja, wie?
Vielen lieben Dank vorab für deine Zeit und Mühe und viele Grüße,
Marc
Hallo Marc,
die Beiträge sind ja schon etwas älter, genau wie die Videos. Daher habe ich die Kurse gemacht und es hier https://idomix.de/lessons/externer-zugriff-1035-min ab Minute 9 erklärt.
Viele Grüße
Dominik
also die Videos sind schon eine große hilfe aber den Haken bei “HTTP nach HTTPS umleiten ” zu setzen ist eine blöde Idee.
Ich habe das Let’s Encrypt – Zertifikat bei meine Fritbox abgeschaltet. In der DS beantragt und eingerichtet – soweit alles gut.
Mein Sohn konnte jetzt aber nchti mehr auf seine Daten auf der Festplatte an der Fritzbox zugreifen und hat das Zertifikat wieder eingeschaltet. Als ich das nächste mal auf die DS zugreifen wollte, kam im Browser die Meldung: “Das Zertifikat wurde zurückgezogen” und damit ist die DS nicht mehr erreichbar. Da hilft nur noch die Büroklammer und ein kompletter Neuanfang, das 2 Nächte Arbeit. Einfacher ist es, die Oberfläche auf der “guten Seite” der Fritzbox auf Port 5000 ohne Zetifikat erreichbar zu lassen.
Sehe ich nicht so und Kursteilnehmer des A-Z Kurses haben solche Probleme nicht. Sorry, aber Dein hausgemachtes Problem als blöde Idee für eine sicherheitsrelevante Einstellung zu tituliere ist naiv und gefährlich. Somit ist der Datenverkehr zwischen Client und DiskStation unverschlüsselt und Benutzername und Kennwort werden im Klartext übermittelt. Einfacher kannst Du es jemanden nicht machen, an Deine Daten zu kommen oder Deine DiskStation zu verschlüsseln und Dich um Geld zwecks Entschlüsselung zu erpressen. Google es mal, kommt oft vor. Und da hilft Dein reset dann nicht mehr. Tut mir leid, kein Verständnis von meiner Seite, so ein Leichtsinn ist hochgefährlich und fahrlässig.
Wenn das Zertifikat zurückgezogen wird, warum auch immer, komme ich selbst innerhalb meines Subnetzes nicht mehr auf das Dashboard der DS. Eigendlich sollte man meinen, das diese schwarze Kiste merkt wenn sie mit einem ungültigen Zertifikat Daten verschlüsselt. Spätestens nach einem Neustart sollte vom System eine Prüfung auf gültigkeit des verwendeten Zertifikats erfolgen und dann kann ja die Kommunikation über SSL auf den dafür vorgesehenden Ports eingestellt werden Wer für HTTP vorgesehende Ports am Router freigibt, hat selber Schuld. Die Fritzbox hat für solche Zwecke eine Notfall-IP – die DS nur ein Loch neben dem Netzwerkanschluß. Nach dem 1. Reset (4sek) läuft die Kommunikation immer noch über HTTPS – mit einem Schlüssel den nur noch die DS kennt. Nach dem 2. Reset (8sek) meldet sich die DS wieder über HTTP auf Port 5000 – mit der Info ich sollte mal ein paar Festplatten einbauen. Irgendwie ist das bei 8TB Daten nicht befriedigend. So sind meine Daten wirklich sicher, weil für niemanden mehr zu erreichen, Irgendwie muß das Dashboard von DSM 6.2 über HTTP ereichbar bleiben. Eine Absicherung der Oberfläche lässt sich ja auch für HTTP mit einer Auth-App realisieren.
Hatte Probleme mit der Fehlermeldung “Verbindung zu let’s encrypt konnte nicht hergestellt werden”. Der Tipp mit den Portfreigaben (8o und 443) hat geholfen. Super! Danke für den Tipp!
Guten Tag,
bei meiner DISKSTATION funktioniert es nicht ein Zertifikat von Let´s Encrypt abzurufen.
Bis jetzt benutze ich die DS über http und port 80.
Ich habe schon Zig-mal Probiert für meine Domain ein Zertifikat abzurufen damit ich die DS verschlüsslt über https erreichen kann.
Ich komme nämlich bis zum Punkt meinen Domainnamen und email adresse einzugeben, wenn ich dann auf Übernehmen klicke lädt es kurz und eine Fehlermeldung “Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM an und versuchen Sie es erneut”.
Das habe ich gefühlt schon 1000 mal gemacht und es ändert sich nichts.
Woran kann es liegen?
Meine dynDNS habe ich von no-ip.com, kann es daran liegen?
Schade, dass Du aufhörst. Ich habe Dein Blog sogar in meiner Liste der Blogs die ich nahezu täglich einmal aufgerufen habe. Dann werde ich schweren Herzens Dein Blog dort rausnehmen 🙁 … würde mich aber freuen, wenn Du doch wieder etwas zu Synology oder Unify veröffentlichst (vielleicht nur als Text-Bilder-Blog statt Videos).
Ich werde nur YouTube aufhören, da es hierfür nicht reicht. Jedoch werde ich weiter Kurse anbieten, welche wesentlich umfangreicher sein können, als ein YouTube Video.
Servus Dominik,
da kann ich mich nur Uwe anschließen und mich für Deine ausgezeichneten Empfehlungen, Kommentare und Videos bedanken.
Da ich vor einigen Jahren ein für meine Anforderungen passendes NAS gesucht habe, bin ich auf Deiner Webseite „gelandet“. Dank Deiner Empfehlungen habe ich schnell was passendes bei SYNOLOGy gefunden. Dank der Videos konnte ich es optimal für mein kleines Netzwerk aus Apple und Windows PCs einrichten.
Zur Sicherheit werde ich für zukünftige Erweiterungen der Hardware oder neue Aufgaben die passenden Videos bei Dir erwerben.
Ich wünsche Dir eine erfolgreiche Zukunft und bleib gesund!
Gruß Hartmut
Moin Dominik,
es ist mehr als Schade, dass Du aufhörst.
Deine Videos haben mir nicht nur geholfen, die Synology-NAS für meine Bedürfnisse zu konfigurieren, sondern haben mir überhaupt erst die Welt der NAS eröffnet. Ohne Deine Anleitungen hätte ich mir wahrscheinlich nie ein NAS zugelegt und wäre schon gar nicht auf neuere Geräte umgestiegen.
Deine “AUS” trifft Deine Fan-Gemeinde sicher hart. Doch auch Synology und andere werden das, zumindest etwas, verspüren.
Nicht zuletzt waren Deine Videos nicht nur lehrreich, sondern auch auf eine Art gemacht, das man sich “An die Hand genommen” fühlte.
Kein von “oben herab” , oder selbstgefälliges auftreten Deinerseits. Auch dafür Danke!
Verstehen kann ich Deine Entscheidung, denn keiner kann vom “Drauflegen” leben.
Ich wünsche Dir eine Gute Zeit.
Gruß Uwe
Hallo Dominik,
kurze Frage: könntest du evtl. ein Video machen, wie ich WebDAV hinter einem Dual Stack Lite Anschluss verwenden kann?
Viele Grüße
Sebastiano
Hey,
sorry, ich mache keine Videos mehr.
Viele Grüße
Dominik
Schade Dominik, fand Deine Videos immer sehr gut und hilfreich. Was ist denn der Grund? Ziehst Du Dich zurück?
Grüße Richard
Ja, ich beende nach 10 Jahren iDomiX aus dem einfachen Grund: Ich habe in den letzten 1,5-2 Jahren mehr investiert und iDomiX kostet mich schlichtweg Geld. Die Produkte zum testen sind schön und gut, müssen aber zurück und stellen keinen Gegenwert zum Aufwand dar. Viele unterschätzen, dass ein Vorstellungsvideo von neuen Produkten auch den dazugehörigen Test an Arbeitszeit kostet. Dies kann unter Umständen auch zu Schwierigkeiten und längeren Zeiten führen. All das steht jedoch dann nicht mehr zum Geld verdienen zur Verfügung. Ich habe Anfang 2018 ein Video gemacht und die Situation erklärt, geändert hat sich nichts. Letztendlich bleiben mir nur die Kurse, die den Kanal genau wie der Support mitgetragen haben. Das jedoch kann nicht Sinn der Sache sein, doch die mangelnde Interaktion bei den Videos sagt mir, es ist nicht mehr notwendig kostenlose Inhalte anzubieten, da niemand bereit ist, den Regeln von kostenlosen YouTube Videos als Zuschauer zu folgen. Zumindest nicht, wenn es Tutorials oder Tests angeht.
Gruß,
Dominik
Hi Domix,
ich habe portfreigaben in meiner Firtzbox 7590 vergeben. Auch auf dieser ist mein DynDNS eingestellt. Mit einem Browser kommen ich von aussen über myDomain.de:5001 auf mein DSM. Also scheint Portfreigabe zu funktionieren. Jedoch funktioniert LE überhaupt nicht. Ich bekomme beim Versuch die Fehlermeldung, dass Port 80 nicht freigeschaltet ist. Was nicht stimmt.
Freigaben auf FritzBox.: 80,443, 5001
Synology: nichts eingestellt, Firewall für 80,443, 5001 aufgemacht.
Meine Frage, was mache ich falsch ? Kann er den Domain Namen nicht auflösen da DynDNS auf der Firtzbox eingestellt wurde ? Aber eigentlich egal, denn ich habe auch schon den Versuch gestartet, dieses in DSM zu setzen und bei der Fritzbox deaktiviert. Gleiches Ergebnis…ich weiss nicht weiter.
Hallo Dominik
Merci für das Video. Ich habe noch eine Frage.
Ich habe letze Jahr alles wie von Dir beschrieben gemacht. Bis heute funktioniert alles ok, Jetzt muss ich mein Zertifikat erneuern und bekomme folgende Fehler:
Die maximale Anzahl von Zertifikatsanforderungen wurde für diesen Domänennamen erreicht“
Ich habe in mein Synology DSM 6.0 mein DDNS ist xxxx.myds.me versucht zu erneuern und bekommen immer die gleichen Meldungen ( siehe oben) von Let`s Encript.
Wie kann ich das Zertifikat erneuern??
Ich habe kein Webseite.
Merci
Hallo zusammen
Ich habe das gleiche Problem. Ich habe auf den Dienst von selfhost.de gewechselt und den DDNS-Dienst von Synology abgeschaltet. Beim Versuch ein neues Zertifikat für meine selfhost.eu Adresse auszustellen, kam die gleich Meldung “Die maximale Anzahl von Zertifikatsanforderungen wurde für diesen Domänennamen erreicht“.
Kann man da noch was machen?
Vielen Dank
Tobias
Ich habe leider nicht mitbekommen, wieso du DSM 6 auf den Port 3001 umgestellt hast. In welchem Video war das?
Hallo Dominik sehr gute Videos danke dafür. Leider habe ich bei meiner Diskstation 418play ein hartnäckiges Problem mit der Installation des Zertifikates. Und zwar scheitert es schon am Abruf des Zertifikates bei Lets Encrypt mit der Meldung dass die Verbindung nicht hergestellt werden konnte. Portweiterleitungen habe ich bei meiner Fritzbox 7560 manuell eingerichtet für Port 80, 5000-5001, 443 und 32400. Verbindungstest der 3 Port 80, 5000 und 32400 in der NAS funktioniert auch allerdings bekomme ich bei der Funktion “Einrichten des Routers” das rote Warndreieck beim Punkt Netzwerkumgebung wird überprüft. Ich weiß nicht ob dies verhindert, dass mit Lets Encrypt eine Verbindung aufgebaut werden kann aber ich habe jetzt schon alles versucht und finde den Fehler nicht. Domäne habe ich bei Strato bekommen insofern sind alle Rahmenbedingungen vorhanden.
Viele Grüße
Ralph
Hallo Ralph.
Habe aktuell identisches Problem:
Portweiterleitungen sind eingerichtet. “Einrichten des Routers” = Warndreieck bei Netzwerkumgebung
Hast Du es lösen können?
Viele Grüße
Max
Hallo Dominik
Ist es möglich mit einem “Haripin” zu arbeiten (In network computing, hairpinning (or NAT loopback) describes a communication between two hosts behind the same NAT device using their mapped endpoint. Because not all NAT devices support this communication configuration, applications must be aware of it. )? Ziel wäre, dass ich meinen (einen von mir gewählten) Domainnamen im browser eingeben kann, der zum Zertifikat passt und so keine Fehler mehr vom Browser erhalte und dabei muss der Verkehr nicht extern gehen, sondern bliebe im LAN.
Ich habe Unifi – Komponeten, namentlich einen security gateway.
Ich glaube an einer solchen Lösung hätten viele Leute Freude hier.
Danke & Gruss aus der Schweiz
Beat
Hallo Dominik,
ist dir bekannt, ob/wann Synology die Unterstützung von wildcard Zertifikaten von letsencrypt über das DSM-Interface unterstützt? Habe gehört, dass man mittlerweile wildcard Zertifikate (ACME v2 Protokoll) über letsencrypt beziehen kann.
Danke und Grüße
Stefan
Ist mir leider nicht bekannt.
Hallo Dominik,
Du sprichst in dem Video das der Port nicht mehr 5001 sondern 3001 ist.
In welchem Video hast Du dies gezeigt?
Mit freundlichen Grüßen
Ingolf S.
Hallo Dominik,
ein Punkt der mir aufgefallen ist (eventuell für ein Tutorial oder eine Ergänzung zu weitreichend ist). Ich habe bisher es so gehabt, dass ich eine Subdomain vom Typ “CNAME” welcher die URL von meiner Fritz!Box hinterlegt war. Nun hat aber das Erstellen eines Let’s Encrypt Zertifikats überhaupt nicht funktioniert. Immer wieder kam die Meldung, dass es nicht funktioniert obwohl ich über extern zuhause auf mein Netzwerk zugreifen kann. Also habe ich mich mal auf Fehlersuche begeben und konnte relativ schnell feststellen, dass die DynDNS der Fritz!Box aus IPv4 und IPv6 besteht. Nun ist es so, wenn man ein Zertifikat erstellen möchte von der Diskstation aus, dass Let’s Encrypt beide IP Varianten überprüft und natürlich bei der Variante IPv6 auf der Fritz!Box gelandet ist. Da man das auch nicht forwarden kann – entsteht dieser Fehler.
Lösung:
1. Sicherstellen, dass die Domain nur IPv4 fähig ist
oder
2. die Global IPv6 der Diskstation hinterlegt ist (wie es z.b. bei dem Synology DynDNS der Fall ist) und das IPv6 Portforwarding auf der Fritz!Box aktiviert (Für das IPv6-Forwarding benutzt man dann die interne IPv6 Adresse!)
Wochenlang habe ich mich letztes Jahr damit rumgeschlagen und heute kam mir der Lichtblitz und den möchte ich gerne Teilen!
Grüße
Psycho0verload
Hallo Dominik,
zunächst einmal vielen Dank für die vielen tollen Videos, die mir sehr bei der Installation meiner ersten NAS, einer DS916+ geholfen haben. Schritt für Schritt konnte ich so problemlos DSM 6 und die wichtigsten Anwendungen installieren, habe etwas über Portweiterleitungen, Sicherheitseinstellungen, Nutzer- und Ordnerverwaltung und vieles mehr gelernt.
Manchmal sieht man aber den Wald vor lauter Bäumen nicht mehr. So bin ich an der Zertifikateverwaltung fast verzweifelt. Die Einrichtung von ***.diskstation.me und das Zuweisen eines Let’s Encrypt Zertifikats lief problemlos – nur es funktionierte nicht. 3-4 Mal habe ich über Wochen verteilt einen neuen Anlauf genommen, ohne den Fehler zu finden. Erst nach wiederholtem Ansehen deines Videos begriff ich, dass die Konfiguration keine schöne Ergänzung für zusätzliche Optionen ist, sondern grundsätzlich gemacht werden muss, da auch bei Einrichtung als default certificate Synology unter Konfiguration die bisherigen Werte des eigenen Zertifikats belässt.
Endlich klappt alles prima!
Nun meine Frage: Ich habe noch eine de-Domain bei Strato. Jetzt würde mir eigentlich eine einfache Weiterleitung reichen. Diese geht aber nur über http. Aber da meine Diskstation nun für den kompletten Zugriff auf https eingerichtet ist, funktioniert das nicht. Hat jemand eine Idee?
Die Frage ist wie du es meinst mit “Einfache Weiterleitung”.
Bei mir zuhause habe ich eine Subdomain des Typs “CNAME” angelegt. Vielleicht unterstützt Strato das auch bei einer normalen Domain, soll es ja geben. Andernfalls leg dir eine Subdomain des Typs “CNAME” an mit deiner DynDNS und erweitere das Zertifikat um die Domain.
Das Einrichten des Zertifikates funktioniert bestens. Es braucht nur den Port 80. Ich möchte das Zertifikat noch auf einer zweiten Synology NAS einsetzten. Bisher musste ich das Zertifikat manuell exportieren und dann manuell auf dem zweiten NAS importieren. Leider konnte ich bisher keine Anleitung bzw. Skript für den automatischen Import im zweiten NAS finden so dass ich diese mit dem Aufgabenplaner ausführen könnte.
Hat jemand eine Idee?
Vielen Dank!
Hallo Dominik,
Ich habe hierzu eine grundsätzliche Frage, ich nutze eine FritzBox 3370 als Router über Glasfaser also LAN1 und eine
Synology DS1515+, jetzt wird mir von der AVM Hotline mitgeteilt, dass ich den Port 80 und 443 nicht für Lets Encrypt, also für ein eignes
Gültiges Zertifikat nutzen kann, da diese Ports von der FritzBox intern belegt sind und nicht, nicht freigegeben werden dürfen.
Eine Lösung für dieses Problem konnte mir AVM telefonisch dazu nicht geben.
Wie kann ich dieses Problem am einfachsten lösen ?
Tschüss Günter aus Lünen
Hi Dominik, Habe dasselbe Problem seit 29.07.2017. Das Backup mit der Cloud funktioniert seither nicht mehr und ich habe dieselben Prozeduren durchgeführt wie Stephan und dieselben Ports geprüft. Alle notwendigen Ports dafür sind offen. Die cloud drive hingegen funktioniert immer noch. In der Systemsteuerung/Zertifikat Anzeige sind meine Sites als abgelaufen gekennzeichnet. Nicht einmal löschen kann ich sie. Die Updates von DSM sind automatisch erfolgt. Ende Juni erhielt ich eine Mail von Let’s Encrypt, dass mein Zertifikat abgelaufen sei. Die früheren Mails wie auch dieses habe ich leider ignoriert. Ich stehe nun vor der Frage, ob ich eine neue Seite für das Backup mit einem neuen Zertifikat erstellen soll, oder ob es eine bessere andere Lösung gibt. Wenn Du mir helfen könntest, wäre ich sehr glücklich.
Besten Dank.
W.S..
Die Verlängerung funktioniert genauso wie nachfolgend beschrieben. Leider geht Deine Anleitung aus dem Video nicht.
Zertifikat erneuern:
1. DS einloggen
2. Systemsteuerung: Terminal & SNMP -> SSH-Dienst aktivieren -> Port 22 /
Port 22 ist dabei Pflicht ansonsten funktioniert der nachfolgend beschriebene Login nicht.
3. Terminal aufrufen
-> ssh @
Beispiel:-> ssh admin@192.168.2.150
-> Passwort
-> sudo /usr/syn/bin/syno-letsencrypt renew-all
-> Passwort
-> exit
das wars schon.
Man kann sich die Zeile /usr/syn/bin/syno-letsencrypt renew-all auch im Aufgabenplaner der DS unter skrypt hinterlegen dann geht das auch
Beispiel:
Zertifikat automatisch erneuern:
1. DS1515+ einloggen
2. Systemsteuerung:Aufgabenplaner
-> Erstellen
-> Geplante Aufgabe
-> Benutzerdefiniertes Script
-> Vorgang “Let’s Encrypt Zertifikat erneuern”
-> Benutzer “root” Aktiviert
-> Zeitplan
-> Am folgenden Datum ausführen “gewünschtes Datum eingeben”
-> Halbjährlich wiederholen
-> Aufgabeneinstellung
-> Befehl ausführen – Benutzerdefiniertes Script
-> /usr/syn/bin/syno-letsencrypt renew-all
-> Ok
Lieb von Dir Stephan, dass Du das hier postest. Aber die Anleitung im Video stimmt schon, nur leider hat Synology wohl seit dem letzten DSM Update einen Bug drin. Denn seit diesem Video verlängerte es sich bei all meinen Kunden automatisch. Erst seit einem Update höre ich, dass es nicht mehr geht. Insofern ist die Aussage vielleicht nicht ganz richtig, es ginge nicht.
Hi Dominik, danke für den wirklich super Beitrag.
Bekomme es aber einfach nciht hin.
Folgende Ports freigegeben in Fritz –> DSM:
80–>80
443–>443
Es kommt der Fehler, dass keine Kommunikation mit Lets Enypt mgl. ist. Was kann es sein?
Müssen auch noch die Ports 5000-5001 freigegeben sein?
Wenn ich meine domain in Expolrer eingeben: xyz.domain.de, dann komme ich auf die Disk.
Es wird nur der Fehler 403 angezeigt, da ich alles vom Webserver gelöscht habe
BITTE BITTE HILFE
Meine kostenpflichtigen Support findest du unter dem Link Support.
Hallo Dominik,
mein Let´s Encrypt ist abgelaufen , also hat sich nicht automatisch verlängert.
Gibt es noch eine Möglichkeit zu verlängern oder ist alles vorbei.
Weiter oben wurde schon mal angefragt wie die Verlängerung funktioniert.
Danke
Gruß T.F.
Hi Dominik,
ich würde es auf meiner DS216j auch gerne einrichten, allerdings habe ich das Problem, dass mein Provider nur ipv6 nutzt.
Da ist eine Portweiterleitung nicht mehr möglich, so wie ich das verstanden habe.
Kannst du dazu vielleicht kurz eingehen?
Der Provider ist Unitymedia und ich habe deren komische technicolor Box.
Grüße
Lisl
Hi, jetzt muss ich dich doch mal fragen, bisher haben mir deine Videos immer sehr gut geholfen 🙂
Da startssl nun leider nicht mehr von Chrome und Firefox unterstützt wird, bin ich auf let’s encrypt umgestiegen. Nach paar Anläufen (musste die richtigen Portweiterleitungen – 80 auf 5000 und 443 auf 5001 – schalten und ein Weilchen warten) konnte ich es dann auch einrichten. Leider wird mir die Seite aber trotzdem noch als unsichere Verbindung angezeigt :/ und ich bin so langsam mit meinem Latein am Ende. Das “Let’s Encrypt”-Zertifikat ist natürlich als Standard eingestellt.
Kennst du das Problem?
Nein
Hallo, ich habe eine Frage. Ich habe mir eine Kamera gekauft und sie in der Surveillance Station konfiguriert. Zudem habe ich die DS Cam App auf meinem Handy installiert.
Beim Öffnen der Aufnahmen erhalte ich den Fehler: Fehler Ein unbekannter Fehler ist aufgetreten. Diese kann durch ein nicht vertrauenswürdiges Zertifikat verursacht werden. Installieren Sie ein vertrauenswürdiges Zertifikat auf Ihrem Synology NAS und starten Sie die Wiedergabe erneut.
Wie gehe ich damit um?
Ein Video zur Installation und Konfiguration der App wäre auch klasse 🙂
Vielen Dank und Grüße!
Moin, Dominik,
in der Facebookgruppe habe ich gelesen, dass Port 80 geschlossen bleiben kann wenn man eine Synology DynDNS verwendet, was sagst du dazu?
Philipp
Hallo,
in diesem Video erwähnst du, dass du aufgrund von DSM 6 u. a. das Webinterface auf den Port 3001 umgestellt hast. Leider finde ich in deinen anderen Videos nicht, aus welchem Grund du das getan hast. Vielleicht kannst du mir das Video nennen, in dem du darauf eingegangen bist.
Vielen Dank und beste Grüße
Kann ich leider ebenfalls nicht finden und stelle mir die selbe Frage.
Lieber Dominik
Vielen Dank für deine echt hilfreichen Videos!
Ich habe das gleiche Problem wie Heiner (Kommentar über mir). Hab deine Anleitung ausgeführt (unter DSM 6.0) und das hat auch funktioniert. Im Browser erscheint dann aber auch die Fehlermeldung “Dieses Zertifikat ist ungültig (Hostname stimmt nicht überein)”.
Wo liegt das Problem? Geht dies nur unter DSM 6.2 Beta?
Vielen Dank für deine Antwort!
Habe das Zertifikat gemäß Video installiert, ohne Fehlermeldung. Wenn ich dann im Browser die DS aufrufen will, kommt die Fehlermeldung: “Dieses Zertifikat ist nicht gültig (Der Hostname stimmt nicht mit überein).
Habe eine Dyndns bei noip eingerichtet nach dem Schema: xyz.no-ip.org. Das habe ich bei der Generierung des Zertifikats angegeben.
Blick da nicht durch! Was ist mein Hostname? Und was “Zertifikatsname”?
Was nun?
Danke
Vielen Dank für die hilfreichen Erklärungsvideos.
Ich habe wie Ina und Markus auch die Frage, ob der Port 80 weiterhin für die Erneuerung des Zertifikats offen bleiben muss.
Ich würde gerne den Port 80 für einen Apache-Testserver nutzen, der nicht auf meiner Synology läuft.
Vielen Dank,
Wolle
Hi Dominik,
vielen Dank für die Videos! Hab seit ein paar Wochen meine erste DS und ohne Deine Videos wäre einiges anders gelaufen …schön das mal jemand alles so einfach und nachvollziehbar erklärt, für ich perfekt.
Ich würde gerne nochmal bei der Frage zu den Zertifikatserneuerungen über Port 443 nachhaken. Funktioniert das? Oder laufen auch die Erneuerungen nur mit offenem Port 80? Auch der Newbie weiß ja, dass Port 80 immer offen zu lassen uncool ist. Weiß gerade nicht wie ich das am besten regel… und im Web finde ich z.T. widersprüchliche Aussagen. Außerdem glaube ich eh nur Dir, dass hat sich bisher bewährt ;-P
Würde mich also über eine Tipp sehr freuen. Merci!
Besten Dank schon mal und LG,
Ina
Hi Dominik,
hab mir vor ein paar Monaten das Zertifikat mit Let’s Encrypt installiert (benutze DSM 6) und das hat auch super geklappt (zum wiederholten Mal Danke für Deine Videos!!!)
Jetzt kam allerdings schon das zweite Mal innerhalb von ein paar Monaten beim Cloud Station Client die Fehlermeldung, dass das Zertifikat geändert wurde und keine Verbindung möglich sei. Beheben lässt sich das Problem recht easy: Verbindung bearbeiten, Passwort neu eingeben und die Cloud Station funktioniert wieder. Muss ich allerdings leider auf allen Endgeräten machen…
Ich frage mich aber: Woher kommt das? Fummelt da jemand evtl. doch in meinem Netzwerk herum? Oder ist das ein normales Verhalten? Muss ich damit leben oder gibt es einen Workaround?
Viele Grüße und danke für Deine Antwort!
Maximilian
Normales Verhalten aus Sicherheitsgründen. Sonst könnte ja jemand dazwischen Deine CloudStation kompromittieren und Du merkst es nicht… Daher der Hinweis.
Hi Dominik, danke für die schnelle Antwort!
Allerdings beantwortet das nicht meine eigentliche Frage: Ich selbst habe am Zertifikat seit dem Installieren des Zertifikats von “Let’s encrypt” nix mehr geändert – seit Monaten nicht. Trotzdem kam dieser Hinweis schon zwei mal im Abstand von ein paar Wochen.
Meine Frage ist also: Muss ich tatsächlich Sorgen machen, dass jemand ins Netzwerk will oder beruht das auf einem Bug oder gibt es eine weitere MÖglichkeit, warum das das Zertifikat geändert worden sein könnte?
Danke im Voraus!
Doch! Die Frage ist beantwortet. Das Zertifikat verlängert sich schließlich automatisch, so soll es sein und genau deshalb kam die Warnung.
Ah okay, es kommt durch die automatische Verlängerung des Zertifilats – das war der Teil, den ich wissen wollte. Dann ist ja alles in Ordnung. Vielen Dank!
Hallo Dominik,
super Video. Hat bei mir geklappt. Eine Frage habe ich noch. Muss der Port 80 am Ende des Gültigkeitszeitraum für die automatische Erneuerung offen bleiben? Oder klapp dies dann über Port 443.
Danke Markus
Vielen Dank für die guten Anleitungen!
Ich habe auch die Frage (wie Ina und Markus), ob der Port 80 für die automatische Erneuerung immer offen sein muss.
Ich würde gerne den Port 80 für einen Apache-Testserver nutzen, der nicht auf meiner Synology läuft.
Hallo Dominik,
Danke für deine tollen Videos!
Ich habe wie Vkadimir am 28. Januar 2016 das gleiche Problem: über die Anwahl “domain.de” komme ich mit gültigem Zertifikat drauf! Mit”www.domain.de” allerdings nicht? Ist eine Hauptkommissar von Strato!
Let’s Encrypt Zertifikat wurde mit “domain.de” nach deiner Anleitung installiert!
Was läuft da falsch?
Danke Christoph
Einfach das www weglassen.
Sorry – peinlich! Nicht ” Hauptkommissar” sondern HAUPTDOMAIN!
Hallo Dominik,
ich habe schon viele Sachen von der Diskstation durch das Ansehen Deiner Videos gelernt. Leider komme ich dort nicht weiter:
Hab mir Dein tolles Video angesehen und alles nachvollzogen. Doch leider erhalte ich folgende Fehlermeldung:Verbindung zu Let´s Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist.
Du sagst in dem Video, dass man als Domainname den DynDNS Namen nehmen soll. Ich betreibe die Diskstation allerdings an einer statischen IP und habe damit keinen DynDNS Namen. Ich habe einen DrayTek Vigor 2860 Router und dort die Portss 80, 443, 5000 und 5001 für die Diskstation freigegeben.
Was muss ich da eintragen?
Den Domainnamen, unter der die DS erreichbar ist. Zertifikate für IP-Adressen gibt es nicht.
Hallo Dominik, danke für die vielen ausführlichen und gut gemachten Tutorials.
ich habe nach deiner Anleitung ein neues Let’s encrypt-Zertifikat erstellt, aber ich kann nicht per https auf unsere Owncloud an der Synology zugreifen.
Insgesamt sieht unsere Konfiguration so aus:
data.domain.eu (veweist per cName) -> xyz.myfritz.net -> Fritzbox (Portweiterleitung 5000-5001, 80 und 443) -> SynologyDS -> Owncloud
Ich habe jetzt auf der SynologyDS (DSM 6.0.1-7393 Update 2) mit Let’s Encrypt ein neues (Standard)-Zertifikat für data.domain.eu erstellt.
Der Zugriff auf die Owncloud funktioniert per http://data.domain.eu, allerdings nicht per https://data.domain.eu (Fehler: Verbindung fehlgeschlagen).
Funktionierte bisher mit einem Synology Zertifikat, wobei auch da die Browser regelmäßig meckerten.
Gruß
Georges
Hallo Dominik, mein Zertifikat v. Let’s Encrypt, lief wie ich eingestellt habe bis zum 15.7.16. So nun wollte ich es verlängern. Bin diese Schritte wie im Video von dir erklärt auch gegangen. Nun habe ich eine Zip Datei mit zwei Dateien. Mit einer server.csr u. einer server.key. Was mache ich nun mit den beiden Dateien?
Und eben habe ich gesehen, das dort im Zertifikatsfenster nicht mehr der 15.7.16 sondern der 17.9.16.
Wird das nun automatisch verlängert oder muss ich es manuell machen.
Und wenn ja, könntest du mir bitte erklären wie?
Vielen Dank schonmal im Voraus für deine Hilfe
Gruß Enrico
Geht automatisch.
Hallo Dominik,
vielen Dank zunächst für alle Deine Videos. Sie habe mir alle bisher geholfen. Jetzt scheitere ich an derselben stelle wie Bernhard Gruber (siehe oben): “Verbindung zu Let´s Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist.”
Ich habe die Firewall ausgeschaltet, alle Ports offen. Hilft nichts. Die Domain als auch die Subdomain sind registriert und werden per DynDNS auf meine Fritzbox geleitet. Ich kann die Webstation über http und https erreichen.
Ich verzweifele. Lese mich gerade darin ein, wie es über die Console funktioniert. Habe aber keine Erfahrung mit Linux Systemen. Wäre froh, wenn es einen andere Lösung gibt. Ich brauch das Zertifikat, weil ich WebDav nutzen muss.
Liebe Grüße
Frank
Vorausgesetzt man nutzt die Synology nur für den 4 Mann Betrieb, wo ist der Vorteil des LetsEncrypt Zertifikats gegenüber eines selbserstellten Zertifikats auf der Synology (die Sicherheitswarnmeldung beim Slebstsignierten kann man den paar Leuten ja schnell eben erklären).
Hallo Dominik! Kannst du mir bitte helfen.. ich habe alle deine Videos angeschaut und es hat alles immer geklappt. Nur beim, Let’s Encrypt Zertifikat, welches ich nach deiner Anleitung hinzugefügt habe (entsprechend meiner domain), steht nacht erfolgreichen hinzufügen -> “default certificate” und es funktioniert leider nicht.
Bitte kannst du mir antworten, das wäre extrem nett
Hallo Dominik,
ich verzweifle noch. Hab mir Dein tolles Video angesehen und alles nachvollzogen. Doch leider erhalte ich folgende Fehlermeldung:Verbindung zu Let´s Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist.
Meine Synology DS216j läuft unter der hostadresse: hbbogserv.de (Name geändert aber Dyn ist so aufgebaut) und so hab ich ihn auch eingetragen bei der Zertifikatserstellung.
Hi,
ist es möglich dieses Zertifikat auch im Lokalen Netzwerk zu nutzen. Denn dort bleibt weiterhin mein rotes Schloss.
Grüße Marcus
Hi. Nein.
Naja wenn ein Split-DNS konfiguriert wird dann schon, aber das ist ein andres Thema 🙂 (Zu deutsch: Geht aufwendig)
Hallo zusammen,
weiß jemand wie kann man die Zertifikat verlängern? Oder wie kann man die Auto-Renewal Funktionalität implementieren? Ich habe das CSR Renew Request herunterladen, aber ich weiß nicht, wie sollte ich weitergehen.
MfG,
Tamas
Hallo Dominik,
ich habe das Zertifikat von Let’s Encrypt versucht zu installieren. Und dann nach dem ich es installiert habe, bekomme ich trotzdem eine Fehlermeldung. Dass das Zertifikat nicht stimmt.
Ich habe die Subdomain eingegeben, beim installieren. Könnte der Fehler vllt. darin liegen, das ich von mir eine private Emailadresse genommen habe, die nichts mit der Domain zutun hat?
Ich habe die Ports 80, 443, 5000, 5001 in der Fritzbox weitergeleitet.
Ich hoffe, du kannst mir einen Rat geben.
Mit freundlichen Grüßen
Enrico
Hallo Enrico,
nein, daran liegt es nicht. Greifst Du sicher über die Domain zu oder nutzt Du zufällig die IP-Adresse der DiskStation?
Gruß,
Dominik
Hallo Dominik, so folgender Stand jetzt.
Erstmal vielen Dank für deine Antwort.
Ich habe es nochmal probiert m. dem Zertifikat u. nun habe ich es hoffentlich hinbekommen. Ich habe nochmal alles auf Werkseinstellungen gesetzt auch meine Fritzbox.
Ich habe meine Subdomain als DynDNS in der Fritzbox eingegeben und im Anschluss nochmal das Zertifikat für mein Subdomain.
Nun habe ich ein Zertifikat da stehen.
Mit der Subdomain und dadrunter steht (Default certificate)
Ausgestellt: Let’s Encrypt Authority x3
Die DynDNS Subdomain habe ich von Strato. Die schreiben mir, das die DDNS erst nach 24h greift.
Mal sehen was dann passiert.
Gruß Enrico
Hallo Dominik,
was mache ich eigentlich, wenn das Enddatum der Zertifikatsgültigkeit erreicht ist? Dasselbe noch einmal? Oder verlängert sich das automatisch?
Danke
Holger
Verlängern tust es Holger.
Hallo,
ich habe eine Frage zu der Verlängerung. Wenn ich auf den Button CSR klicke, dann Zertifikat erneuere, Domain und danach das Land auswähle, bekomme ich einen privaten Schlüssel zum herunterladen. Was mache ich jetzt damit um das Zertifikat zu verlängern?
Grüße,
Jens
Kann man denn die automatische Verlängerung manuell anstossen, sodass man wirklich nur kurz alle 2-3 Monate die entsprechenden Ports im Router öffnen muss und danach direkt wieder schliesst?
@Bob HArt,
Ja. kann man. Einfach via SSH auf das Nas (Dominik erklärt wie im Video über das HyperBackup über das Internet) und folgenden Befehl eingeben:
sudo /usr/syno/sbin/syno-letsencrypt renew-all
Gruss Thomas
Hallo Dominik,
Danke für die Super Videos. Sie haben mir die Arbeit mit der DS stark erleichtert.
Eine Frage zum Zertifikat. Wenn ich https://….spdns.de aufrufe bekomme ich ein grünes Schloss. Rufe ich aber 192.168.178.20:5001 auf, bekomme ich eine Warnung. Woran kann das liegen?
Viele Grüße
Norman
Hi Norman,
ist doch klar: Zertifikat für https://DEINEDOMAIN und was rufst Du auf? 192.168.178.20 und wenn da keine Zeritifkatswarnung kommt, würde was nicht stimmen, denn Zertifikat gilt für DeineDomain und nicht für die IP.
Gruß,
Dominik
Hallo Dominik,
welche Vorassetzung muss die E-Mail Adresse, die man angibt erfüllen? Muss die E-Mail Adresse zu der Domain gehören, wie die angegebene Domain? Ich habe eine DynDNS-Weiterleitung über no-ip eingerichtet aber habe diese dyndns keine E.Mail adresse. Kann man das bei no-ip dazukaufen, steig da leider nicht durch….
Danke unf viele Grüße
Heiner
Hallo Heiner,
nimm einfach Deine Mailadresse, das reicht.
Gruß
Dominik
Hallo Dominik,
danke für die schnell Antwort. Wenn ich meine gmx-Standard-Adresse angebe, dann bekomme ich eine Fehlermeldung: E-Mail Adresse ungültig. Komme nicht weiter.
Viele Grüße
Heiner
Hallo Dominik,
ich war schon am verzweifeln weil der Beitrag zur Zertikat von StartCom mich vor ein paar Probleme gestellt hat.
Aber jetzt unter DSM 6 und mit dem Video über Let’s Encrypt habe ich es geschafft.
Im Firefox musste ich ncoh eine Ausnahme für den Zugriff auf den DSM einfügen der Rest scheint zu laufen.
Vielen Dank für die guten Beiträge und Anleitungen. Netzwerk ist und bleibt ein schwieriges Thema für mich.
Hallo Dominik, vielen Dank für die Tutorials (wenn ich zwei Vorschläge dazu machen dürfte: 1. chronologische Reihenfolge (neuestes zuerst) in der Playlist (wobei ich nicht weiß, ob youtube das zulässt) und 2. vielleicht einen Step-by-Step Aufbau für private und business Nutzung – aber das ist “jammern auf hohem Niveau ;-)). Folgendes Problem habe ich mit den Let’s Encrypt Zertifikaten:Obwohl ich mich an Deine Vorgaben gehalten habe (Ports 80 u. 443 offen (gar nicht so leicht, weil meine FritzBox 443 ursprünglich selbst blockiert)), DDNS Domain bei meinem Provider (Alle Domains sind meine, es ist KEIN DDNS-Provider!) eingerichtet, erst über den Router, dann zur Sicherheit noch mal von der Diskstation aus, Zugriff funktioniert in beiden Fällen, aber beide Male das gleiche Problem: Der Zertifikat- Abrufprozess meldet: “Verbindung zu Let’s Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domain-Name gültig ist.” Irgend eine Idee, woran das liegen könnte?? Vielen Dank, Jörg
PS: Die übergeordnete Domain hat ein let’s Encrypt Zertifikat über meinen Provider. Es geht um ein Sudomain-Zertifikat …
Hallo Jörg,
YouTube lässt das zu, hatte ich auch mal so, da war aber das Feedback erheblich negativ, denn so konnte keiner etwas damit anfangen. Es sollte logisch sortiert werden, damit es nachvollziehbar ist – genau so ist es jetzt.
Der Step-by-Step-Aufbau ist noch einmal eine Idee, allerdings auch ein Riesenprojekt. Ich überlege, ob so lange Videos überhaupt angesehen werden…
Heute erst habe ich ein Let’s Encrypt Zertifikat für eine Subdomain einer meiner Domains auf einer DiskStation installiert und es hat geklappt. Wichtig sind die beiden Ports und das die DS unter der Subdomain auch wirklich erreichbar ist und Internet hat. Ggf. Firewall kurzfristig deaktivieren.
Hallo Dominik,
für ne Step-by Step müsstest DU ja kein langes Video machen, sondern vielleicht nur die vorhandenen Videos in einer Step- by-Step-Ordnung zusammenstellen und dann ggf. einzelne Videos einfügen. Dann bleibt es bei kurzen Videos, jeder kann sich raussuchen, was er braucht, und Anfänger könnten ihre Diskstation Schritt für Schritt einrichten. (Nur so als Vorschlag … ;-))
Zu meinem Problem: Ich hab das gerade noch mal ausprobiert: die Diskstation ist unter der Subdomain erreichbar (sowohl die Webstation, als auch dsm). Die Domain und die Subdomain sind meine, die Domain hat (seit Samstag) ein Let’s Encrypt Zertifikat, das ich problemlos über meinen Hosting-Provider habe anlegen können (All-Inkl.com hat das inzwischen (ebenso wie ddns) wirklich super in Ihre Mangement Konsole integriert), für den Abruf des Zertifikats hab ich die Firewall abgeschaltet, aber das wollte erst wieder nicht klappen.
Erst nachdem ich auch die Umleitung von http auf https abgeschaltet hatte (in Netzwerk – dsm-Einstellungen) und HSTS für die Benutzerdefinierte (Alternativ-) Domain ausgeschaltet hatte (ebenda) hat es dann geklappt. Offenbar braucht die Zertifikatsabfrage ein KOMPLETT offenes System (mal abgesehen von der Firewall, von der es sich nicht hat stören lassen, aber da war Port 80 auch offen).
Ich schalte die Sicherungen jetzt alle wieder ein und hoffe, das die Zertifikatserneuerungen dann trotzdem problemlos laufen …
Erst mal vielen Dank für Deine UNterstützung.
Gruß, Jörg
Hallo Jörg,
sehr komisch, dieses Verhalten habe ich nicht gehabt, werde es aber mal bei einer weiteren DS testen.
Viele Grüße
Dominik
Hallo Dominik,
erstmal vielen Dank für die hilfreichen Videos, mit denen ich bisher immer sehr gut gefahren bin. Auch das Let’s Encrypt Zertifikat konnte ich erstellen und einrichten. Allerdings kriege ich trotzdem immer noch vom Firefox eine Warnung beim Zugreifen auf die DSM Oberfläche und komme nur mit Sicherheitsausnahme rein, bei Microsoft Edge hingegen funktioniert es einwandfrei. Was kann das sein?
Beste Grüsse
Dominik
Hallo Dominik,
ich habe mir ein gültiges Zertifikat besorgt hat auch alles geklappt. Nur jetzt hab ich statt
Let’s Encrypt Authority X1 ——> Let’s Encrypt Authority X3 drin und beim ansurfen hab ich immer noch die Sicherheitswarnung. Was mach ich da falsch?
Gruß Daniel
Ok jetzt läuft es. Wer weiß was das war. Das hat sogar mit einer Subdomain von noip.com geklappt 🙂
Gruß Daniel
Hallo,
würde das auch mit einer Subdomain von noip.com funktionieren?
Gruß Daniel
Hallo Daniel,
vermutlich ja, allerdings hat Let’s Encrypt für Domains eine Obergrenze gesetzt. Da diese Dienste sehr beliebt sind, wird die Grenze eben erreicht sein. Somit funktioniert es, aber wiederum nicht, da eben Grenze erreicht.
Gruß,
Dominik
Danke Dominik,
deswegen die Fehlermeldung: “Die maximale Anzahl von Zertifikatsanforderungen wurde für diesen Domänennamen erreicht“
Genau.
Hallo zusammen,
ich habe gestern auf DSM 6 aktualisiert. Bei Versuch ein Zertifikat über Let’s Encrypt zu erstellen bricht der Vorgang mit der Fehlermeldung “Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM an und versuchen sie es erneut” ab. Ich habe eine Zeit gewartet, heute war bereits mein fünfter Versuch fehlerhaft.
Die Einstellungen habe ich wie oben im Video gezeigt eingetragen, daher kann der Fehler meiner Meinung nach dort nicht liegen.
Ist Let’s Encrypt gerade irgendwie überlastet? Hat sonst noch jemand den Fehler?
Gibt es sonst einen Hinweis, den ich beachten könnte?
Vielen Dank im Voraus!
Fabian
Hallo Fabian, ich habe das gleiche Problem.
Ich habe bei meinem Router genau eine Portfreigabe 5001 und möchte das meine DS nur über SSL aufrufbar ist.
In meiner DS gehe ich wie folgt vor: Systemsteuerung > Sicherheit > Zertifikat > Hinzufügen > “Neues Zertifikat hinzufügen” > Beschreibung + “Zertifikat von Let’s Encrypt abrufen” + Als Standardzertifikat festlegen > Dann gebe ich meine Domain an, mit der ich bereits auf die DS drauf komme. Gebe meine Email an und erhalte “Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM an und versuchen Sie es erneut.”
Ich hab sogar meine DS Neugestartet… Ich weiß nicht mehr weiter 🙁
Hallo Fabian,
tatsächlich muss ich doch echt nochmal zurück rudern. Es hat GEKLAPPT.
Ich habe in meinem Router, so wie im Video von Dominik Port 80 und 443 sowie 5001 für die DS freigeschalten.
Funktioniert!
Die Frage ist jetzt nur muss ich den Port 80 freischalten oder reicht auch der 443??
Vielen Dank!
Ich habe leider das gleiche Problem.
Ports sind alle offen und zeigen auf die DS. Meine private Sub-Domain zeig auf eine DynDNS von myfritz, welche auch so erreichbar ist. Trotzdem funktioniert der Zertifikat Import mit LE leider nicht 🙁 Immer wieder die “Vorgang fehlgeschlagen. Bitte melden Sie sich ab und wieder an” Meldung…
Jemand noch einen guten Rat?
Hi Dominik,
vielen Dank für dein Video.
Kurze Frage: Ich habe nun das Zertifikat für eine Top-Domain erstellen lassen, z.B. hallo.online…
Wenn ich nun bei meinem Domainanbieter eine weitere Subdomaine (z.B. diskstation.hallo.online) ebenfalls auf die Synology mappe kommt natürlich beim aufruf der Webseite, dass das Zertifkat nur für hallo.online ausgestellt ist. Gibt es hier eine Möglichkeit mit Let’s Encrypt?
Danke!
Hallo Simon,
warum nimmst Du nicht ein Zertifikat welches für die Subdomain Deiner DS ausgestellt wurde? So mache ich es und funktioniert problemlos.
Hallo Dominik,
ich würde einfach gern meine Diskstation über die Topdomain und Subdomains zugreifen können.
z.B. hallo.online, http://www.hallo.online, ds.hallo.online usw…
Aktuell geht ja nur hallo.online. 🙁
Ich könnte natürlich ein Zertifikat für http://www.hallo.online anfertigen, dann wird aber vermutlich hallo.online nicht mehr funktionieren…
Hallo Simon,
hierfür ist ein Wildcard Zertifikat notwendig, damit kannst Du die Top- und beliebig viele Subdomains mit abdecken.
Gruß,
Dominik
Hallo Dominik, erst einmal ein riesiges Dankeschön für deine Videos. Sie helfen doch enorm weiter. Nun bin ich an einem Punkt, wo es nicht weiter geht:
Wollte mir das Let;s encrypt Zertifikat installieren. DynDny-Provider ist “selfhost.eu”. Portweiterleitungen auf 80 und 443 sind an der Fritzbox eingerichtet.
Der Assistent läuft bis zu dem Punkt, an dem ich das Zertifikat abrufen kann.
Dann bekomme ich die Fehlermeldung: “Die maximale Anzahl von Zertifikatsanforderungen wurde für diesen Domänennamen erreicht”
Hast du eine Idee?
Hallo Andreas,
ja, für die Domain selfhost.eu werden keine weiteren Zertifikate ausgestellt, wie die Meldung schon sagt. Haben vor Dir zu viele schon ein Zertifikat erstellen lassen. Eigene Domain und Subdomain mit DynDNS ist die Lösung.
Hallo Dominik,
das habe ich auch gemacht, leider funktioniert es nicht. Ich habe mir bei Strato eine Domain bestellt und eine Subdomain ds.xxx.de eingerichtet. Diese Subdomain habe ich an meine Dynamische DNS Adresse weitergeleitet. Diese zeigt über die Fritzbox auf meine Diskstation. Auf der Diskstation sind also der Port 80 und 443 auf die Diskstation weitergeleitet.
Wenn ich die ds.xxx.de Adresse im Browser aufrufe, funktioniert auch alles einwandfrei. Wenn ich allerdings ein https davor setze funktioniert es leider nicht. Habe ich etwas bei der Weiterleitung an meine Dynamische DNS Adresse falsch gemacht oder ist die Dynamische Adresse falsch eingerichtet. Ich bin am verzweifeln.
Weiterleitung ist das Stichwort. Leite ich sparkasse.de an diskstation.idomix.de weiter, MUSS es zum Fehler kommen!
Weiterleitung RAUS und DynDNS aktivieren, fertig.
Abe wie aktiviere ich Dyndns bei der Subdomain. ich stehe gerade auf dem Schlauch. Ich habe es so verstanden, das ich auf die dyndns Adresse weiterleiten soll?
Dein Paket muss das unterstützen, Strato führt das in der Tabelle der Hosting-Funktionen auf. Wenn es unterstützt wird, kann man in den DNS-Einstellungen der Subdomain DynDNS aktivieren.
Ich habe es gefunden. Mal sehen ob es funktioniert.
Vielen Dank !
Ich bekomme jedes mal die Fehrmeldung das mein Port 80 nicht funktioniert, habe es in der Fritz box 7490 für mein Synonlogy NAS aber freigegeben, sehr komisch.
Besser spät als nie. Du musst den Port auch in der Firewall auf dem NAS freigeben.
Hi Dominik,
erst mal danke für die spitzenmäßigen Tutorials.
Ich habe gerade Deiner Anweisung folgend ein Let’s Encrypt Zertifikat erstellt.
Das hat auch funktioniert, zumindest, wenn ich die DYNDNS-Adresse eingebe.
Wenn ich meine “interne” ip eingebe, um auf die Diskstation zuzugreifen bekomme ich einen
Zertifikatfehler “Es wurden Probleme mit der Zertifikatskette der Website festgestellt (net::ERR_CERT_COMMON_NAME_INVALID)” und “Das Serverzertifikat stimmt nicht mit der URL überein”.
Gibt es da eine Lösung für?
Beste Grüße
Hornet
Nein und ist auch normal so, schließlich passt das Zertifikat zur DynDNS Domain und nicht zur internen, privaten IP.
Hi Dominik,
wie kann man es einrichten, dass man auch im internen Netz über https und via SSL über die Box zugreift und keine Fehlermeldung im Browser erhält?
Kann man da eine Art internes Zertifikt mit der IP der Box erzeugen.
Ich möchte einfach vermeiden, dass man dies bei jedem PC im Netz hinterlegen muss oder, dass man immer über extern auf die Box zugreien muss, damit man keinen Fehler erhält.
Danke VG Peter
Im heutigen Beitrag erkläre ich es.
Hallo Dominil…du gats geschrieben “Im heutigen Beirag erkläre ich es”
Wo finde ich diesen? Danke
Hallo,
mich würde es auch interessieren, wie man im internen Netzwerk ohne Fehlermeldung auf die Box zugreifen kann.
Den “heutigen” Beitrag hab ich nicht gefunden, könntest du uns eine kleine Hilfestellung geben wo wir die Anleitung finden!?
Hallo Dominik,
Vielen Dank für dein Video. Mir ist gerade aufgefallen, dass wenn ich meine Domain mit www. am Anfang aufrufe trotzdem der Sicherheitshinweis kommt. Sollte ich da nochmal ein Zertifikat mit www. und Domainname erstellen oder wie kann man es lösen?
Beste Grüße
Vladimir
Vielen Dank für deine Videos. Ich schaue Sie immer sehr gerne an.
Dieses kann ich leider nicht testen, denn…
Ich habe keine DSM6 auf meiner Synology (DS212J). (Sondern 5.2)
Eine Prüfung ob eine aktuelle Version zur Verfügung steht brachte keine Lösung.
Kann es sein das meine DS zu alt ist?
DSM 6.0 gibt es momentan nur als beta. Und kann von der Synology Seite heruntergeladen werden.
SSL-Zertifikat von Let’s Encrypt funktioniert bei mir sehr gut und geht mega einfach zu installieren. Endlich.
Tja, alles toll beschrieben. Nur bei mir funktioniert das nicht. (DS718+). Portweiterleitung getätigt, usw. Komme nicht drauf, wo der Fehler liegen könnte. Meldung: Achten sie darauf das die Domain richtig geschrieben ist?? Domain ist bei mir eine sub Domain von 1und1. Habe es aber auch mit einer dyndnss.net versucht. Beides erreicht encrypt nicht. Hat vielleicht jemand eine Idee? Das wäre nett.
Vielen Dank und Grüße
Hallo Dominik,
Erstmal vielen Dank für deine sehr gutgemachten und hilfreichen Videos rund um die Synology. Haben mir schon sehr viel geholfen.
Zu deinem aktuellen Video nur eine Frage. Wenn ich an dem Betaprogramm nicht teilnehme und Version 4.2 Update 3 aufgespielt habe, muss in noch etwas warten um das Zertifikat zu installieren?
Gruß
Mario
Hallo Mario,
entweder warten oder Du traust Dir den Prozess zu, wie er es unter DSM 5.2 erfordert. Ich persönlich zeige das nicht, da hier, für einen Videoproduzenten, zu viele Nachfragen kommen werden. Wird jedoch im deutschen Synology Forum beschrieben.
Gruß,
Dominik
Hallo Dominik,
ich habe jetzt die Beta 6 installiert (ohne Probleme) und habe deine Anleitung grade durchgemacht. Wie bei eigentlich jedem Video von Dir, ging es ohne Probleme!
Danke nochmal für deine tolle Arbeit und mach weiter so!
Gruß
Mario
Hy, muss die Portweiterleitung nach Erhalt des Zertifikates erhalten bleiben oder kann diese danach gelöscht werden ?
Kannst danach wieder deaktivieren.