[Howto] Eigenes Zertifikat mit "qnap-letsencrypt"

  • Hallo zusammen,


    Die Mod hat bei mir prima funktioniert und läuft (naja, besser lief) seit Monaten einwandfrei - bis jetzt...


    Deswegen mal eine ganz blöde Frage - wie mache ich das Ganze wieder rückgängig?


    Hintergrund ist folgender: Nach dem letzten Update ist LetsEncrypt ja in QTS integriert - aber hier beißt sich das Ganze leider. Seit meinem Update sieht mein TS453 Pro mit LetsEncrypt-Mod kein Internet mehr und ist von außen auch nicht mehr ansprechbar. Ich bin mir ziemlich sicher, dass das mit dieser Mod zusammenhängt (Ich hatte anfangs auch mal versucht, einen anderen DDNS-Dienst zu registrieren - ging schief und damals war der Internetzugriff auch weg - Symptome gleich wie jetzt. Erst nach Registrierung meiner myqnapcloud-ddns-Adresse lief wieder alles glatt)


    Ich möchte echt verhindern, das Ding auf Werkseinstellungen zurücksetzen zu müssen! So ist der NAS leider nur bedingt nutzbar...


    Ich hoffe mir kann jemand helfen!


    Viele Grüße & Dankeschön!

  • Hallo Singshot79


    Wenn ich mich richtig erinnere, dann macht der Letsencrypt Client folgendes: Er deaktiviert für einen Moment Deinen WebServer, startet auf dem Port seinen eigenen Webserver. Über diesen holt er sich dann sein neues Zertifikat. Wenn er das nicht bekommt, kann es passieren, dass Dein eigentlicher Webserver nicht mehr gestartet wird.
    Das hat keine Auswirkungen auf Deine Internetverbindung an sich. Es kann aber sein, dass die Weboberfläche des QNAP oder aber die Webseite Deines Webservers nicht angezeigt wird. Dann muss der Dienst neu gestartet werden.


    Zu Deiner Frage abschalten...! Das ist ganz einfach. Der Client wird laut Anleitung einmal nachts um 3:30 Uhr ausgeführt. (Jede Nacht) Wenn Du die Datei /etc/config/crontab editierst kannst Du einfach die letzte Zeile (siehe Anleitung Zeile 32) rauslöschen. Dann ist der Autostart raus und das Programm macht nichts mehr.
    Der Befehl zum editieren lautet: vi /etc/config/crontab. Aber der Editor (vi) ist etwas eigenwillig. Lies dazu erst mal das Manual.
    Ich weiß nicht, wie sich das QNAP verhält. Es kann sein dass Du die Zeilen 35 und 36 auch noch ausführen musst. Das führt dazu, das der crontab Dienst neu gestartet wird, und somit die neue Konfiguration geladen wird.


    Die Dateien befinden sich im Verzeichnis /opt/qnap-letsencrypt. Die kannst Du dann alle löschen. Aber da die nicht groß sind, stören die auch nicht weiter, falls Du das Ganze doch noch mal brauchst.



    Aber vorsicht. Jetzt ist auf dem QNAP ein Zertifikat installiert, dass nach 3 Monaten spätestens abläuft. Das kannst Du dann so lassen, durch ein eignes ersetzen oder auf Werkseinstellugen setzen (über die QTS Menüs).



    Viel Erfolg

  • Der Befehl zum editieren lautet: vi /etc/config/crontab. Aber der Editor (vi) ist etwas eigenwillig. Lies dazu erst mal das Manual.

    Bitte nur mit crontab -e die crontab bearbeiten. Damit wird auch ein vi aufgerufen, aber es wird vorher und nachher alles richtig gemacht.
    Der Befehl zum löschen einer Zeile ist: "dd" und dann ":wq" zum abspeichern.

  • Hallo zusammen,


    danke schonmal für die Antworten - nur leider war das noch nicht erfolgreich. Die Zeile ist rausgelöscht und der Dienst neu gestartet. Ich habe jetzt nochmal tiefer gebohrt und komme zu folgendem Ergebnis:


    - VM's haben Internetzugang
    - Weboberfläche meldet "keine Netzwerkverbindung" - selbst, wenn ich nach neuer Firmware suche, lässt sich an beliebiger Stelle testen
    - unter MyQnapCloud / Netzwerkkonnektivität wird ein Fehler gemeldet von wegen Portabbildungseinstellungen und UPnP - das hat aber vor zwei Wochen alles tadellos funktioniert, selbst nach Update lief das System eine Weile - sonst keinerlei Änderungen am Gesamtverbund


    Router ist ne Fritzbox 7390 (UPnP aktiviert). Wie gesagt, ich hatte im ersten LetsEncrypt Versuch auch einen anderen DDNS Dienst versucht - dabei ging das schief wegen zu vieler registrierter Subdomains - bei genau gleichem Verhalten. Ich stecke leider nicht zu tief drin in der Materie... Aber kann es sein, dass es mit dem auf meinem Qnap installierten Zertifikat zusammenhängt und dieses irgendwie so korrupt ist, dass garnichts mehr geht? Irgendwie muss das ja mit dem Update zu tun haben.


    Hat nochmal jemand ne Idee?

  • Hallo Slingshot79,


    Ich hatte dasselbe Problem. Nach einrichten nach Anleitung folgendes Phänomen:
    Weboberfläche der Qnap nur noch erreichbar, wenn Port direkt mit angegeben wurde. Automatischer redirect auf den richtigen Port funktionierte nicht mehr. Auch meine Wordpres Seite war nicht mehr erreichbar.


    Was ich gemacht habe:
    Editieren der crontab und entfernen der Zeile, die das Skript auruft, welches das Zertifikat erneuern sollte.
    Danach war leider ein kompletter Neustart der Qnap notwendig, um das "normale" Verhalten und eine funktionierende Wordpress Seite zurück zu bekommen.


    Genaue Analyse woher das Problem stammt, war aus zeitgründen noch nicht möglich.


    Viel Erfolg.


    Übrigens habe ich auch eine TS-453Pro evtl. liegt es daran?!

  • Also ich würde zunächst einmal einen eigenen Thread aufmachen. Das was Du hier beschreibst, hat nichts mit Letsencrypt zu tun.


    Dann wirst Du wohl nicht drum rum kommen, etwas genauer zu beschreiben, was Du mit dem QNAP machst, wie es eingerichtet ist und evtl. auch die genaue Fehlermeldung von MyQnapCloud könnte ein Hinweis sein.


    Du solltest erwähnen, ob Du DHCP nutzt oder feste IPs. Ist das Gateway konfiguriert (IP der FriztBox). Weißt Du was ein Gateway oder DHCP ist? Haben die VMs DHCP oder feste IPs eingestellt? Das Einrichten von VMs zeigt, dass Du das Ding schon etwas intensiver nutzt.
    Mach mal ein paar Pings! Z.B zur FritzBox, zum PC, zu den VMs, von den VMs zum PC zur FritzBox oder sonstwohin. Und beschreib mal, was dabei raus kommt.
    UPnP braucht eigentlich kein Mensch. Würde ich versuchsweise Abschalten. Vielleicht konfigurieren sich die Geräte gegenseitig tot.


    Ich hatte das Glück, dass nach dem Update alle meine Problem behoben wurden und ich jetzt meinen Containern wieder feste IPs zuweisen kann, was vor dem Update nicht funktioniert hat.


    Viel Erfolg

  • Hallo zusammen,

    also ich hab/hatte auch das Problem mit dem Verlängern/erstellen eines letsencrypt-Zertifikats. Hier hatte ich folgende Lösung:

    Unter "Allgemeine Einstellungen"
    Systemport auf 8092
    https Systemport auf 9443

    umstellen. Anschließen unter "Anwendungen" -> "Webserver" die Ports auf 80 und 443 einstellen.

    Nun konnte ich das Zertifikat erneuern/erstellen und anschließend habe ich die Ports wieder angepasst.

    Das ist natürlich keine schöne und komfortable Lösung, ich kenne auch das Zusammenspiel nicht. Aber ich denke letsencrypt braucht hier eine bestimmte Antwort von einem Webserver, welche die "Systemseite" nicht gibt.

    Alternativ könnte man natürlich Port 80 am Router auf den Webserverport (z.B. 8080) weiterleiten. Temporär für die Erstellung/Verlängerung des Zertifikats.

    Kann dies jemand bestätigen?

  • dr.long danke für die Tip!


    Ich hätte es auch gerne getestet, jedoch war ich es leid und habe nun ein SSL-Zertifikat für 1 Jahr bestellt (sind im Moment überall recht günstig). Nun ist erstmal Ruhe im Karton :beer:

  • Danke dr.long für den Tipp mit dem Webserver. Ich hatte auch versucht Port 80 für die NAS im Router weiterzuleiten, ohne Erfolg, bis ich bemerkte, dass ich an diesem LAN Anschluss an der NAS den Webserver nicht zugänglich gemacht habe. (Service Binding). Kurz aktiviert, Port 80 weitergeleitet, Zertifikat erneuern hat funktioniert.

  • Moin!


    Heute war es wieder soweit. Der QNAP hat mich angemeckert:

    Code
    1. [myQNAPcloud] Failed to renew the Let's Encrypt certificate. The server could not connect to your device to verify the domain.

    Wobei ich myQNAPcloud nicht aktiviert habe, nur den LetsEncrypt Schlüssel in den Sicherheitseinstellungen.


    Darauhin habe ich für den QNAP in der Fritz!Box den "Exposed Host" eingestellt, das Zertifikat erneuern lassen und dann den "Exposed Host" wieder ausgestellt. Das hat perfekt geklappt und das Zertifikat gilt bis August. Dann habe ich das Zertifikat gleich noch heruntergeladen und auch in der Fritz!Box eingetragen.

    Paßt.

  • Hi carsten_h


    Welche Einstellungen hast du denn bei Systemport drin und bei Webserver? Das würde mich interessieren. Ist das gleich den Einstellungen die ich in meinem vorrigen Post vorgschlagen hatte?


    Gruß

  • Systemport ist bei mir 8080, für https 443.

    Im Webserver steht es auf 80 und 8081.


    Also nicht so wie Du vorgeschlagen hast.

  • Moin!


    Vor ein paar Tagen habe ich ein TS-453Be komplett neu installiert.

    Dazu habe ich dann im Sicherheits-Menü auch wieder Let's Encrypt aktiviert (dazu vorher in der Fritzbox wieder den QNAP auf "Exposed Host" gestellt) und es ging auf Anhieb einfach so, ohne das ich an irgendwelchen Einstellungen vorher herumgeschraubt habe.

  • Dazu habe ich dann im Sicherheits-Menü auch wieder Let's Encrypt aktiviert (dazu vorher in der Fritzbox wieder den QNAP auf "Exposed Host" gestellt)

    Damit gehst Du aber ein großes Risiko ein. Die Fritz!Box ist in der Hinsicht ziemlich primitiv. Erstens landet der gesamte externe Traffic für die QNAP direkt in Deinem Netz an der QNAP und zweitens gibt es dahingehend überhaupt keine Restriktionen was Ports etc. anbelangt. Sprich, ist die QNAP kompromittiert ist dein ganzes Netz kompromittiert. Eine DMZ (Demilitarized Zone) bietet die Fritz!Box leider nicht, dann würde sich der Schaden immerhin nur aufs QNAP begrenzen.

  • Damit gehst Du aber ein großes Risiko ein.

    Ich habe das doch nur für die Zeit des Abholens des Zertifikats eingestellt. Nicht dauerhaft! Das habe ich doch schon oben weiter geschrieben!

  • Das habe ich doch schon oben weiter geschrieben!

    Tschuldigung, hab ich überlesen. "Exposed Host" ist einfach eine Einstellung die wirklich heikel ist. Wenn das jemand unbedarfteres überliest hat er gleich eine riesen Sicherheitslücke im Netz. Ist ja nicht persönlich gemeint ;-) . Wobei doch grundsätzlich ein einzelner Port reichen müsste für die Erneuerung, das müsste ja rauszufinden sein.

  • Die Fritz!Box ist in der Hinsicht ziemlich primitiv.

    Die Fritz!Box ist bei weitem nicht primitiv, sondern einfach zu handeln.


    Exposed Host ist AUF JEDEM ROUTER gefährlich. Das hat mit den Fritz-Boxen mal glatt gar nichts zu tun!

  • Die Fritz!Box ist bei weitem nicht primitiv, sondern einfach zu handeln.

    Das "Exposed Host" eine grundsätzlich gefährliche Einstellung ist, ist ja richtig. Aber die Fritzbox limitiert den Nutzer bei einigen Einstellungen auch ziemlich, trotz "Experten" Ansicht. Und eine DMZ wäre schon ein sehr sinnvolles Feature. Primitiv im Vergleich zu den Einstellmöglichkeiten von OpenWRT z.B.. Aber es ist grundsätzlich ein gutes Produkt, keine Frage.

  • Ich frage mich immer wieder, warum die Leute auf die Idee kommen, den Exposed Host zu nutzen, wenn doch eine klassische Portweiterleitung ihren Zweck auch erfüllt. Zumal man im hier besprochenen Fall diese Portweiterleitung ja nur für das Update der Let's Encrypt-Zertifikate anmachen muss.


    Wobei diese Portweiterleitung, wenn das NAS offen aus dem www zu erreichen ist, auch dauerhaft laufen kann, denn dann ist das NAS ja eh erreichbar. Und falls das NAS zum Netz hin eh nicht offen ist, braucht man streng genommen auch kein SSL-Zertifikat... außer vielleicht noch für eine VPN-Nutzung.