QTS 4.3 - Let's Encrypt SSL Zertifikat mit wenigen Klicks erstellen

  • Ich benutze Cron und Shellscripte für die Erneuerung der Zertifikate. Da bin ich unabhängig von dem was das QTS so vorgibt.

    Für die alte Fritte über shell und telnet, bei der neuen Fritz über api tr064.

    eol1

    Ja, soll gehen! "TLS-SNI-01" -> ist da das Stichwort. hab mich aber noch nicht damit beschäftigt.

  • Okay. Cool dass das funktioniert. Wusste ich garnicht.


    Die Fritte macht bei mir schon lange nur noch Telefon. Interneteinwahl etc. erledigt die Sophos UTM :) Dazwischen hängt dann die WAF von der UTM, wodurch lets encrypt quasi rausfällt.

  • Sophos UTM hätte ich in einer VM am laufen.

    Ganz schön viel Aufwand für ein bisschen Zertifikat.

    Kann man evtl auch einen vHost anlegen, und für diesen ein Zertifikat erstellen?

  • L0gD4ta


    Funktionieren die Zertifikate von Comodo auch für die Verschlüsselte Verbindung zum NAS?


    Grüße

    Ralf

  • ralf54321 Ich wüsste garade nicht warum es nicht funktionieren soll. Man muss das Zertifikat ggfs. noch in seine Bestandteile (cert und key) zerlegen um es ins QNAP hochladen zu können. Das ist aber mit OpenSSL schnell erledigt. Habe comodo Zertifikate bisher allerdings nur auf ein paar Exchange Servern am laufen (in dem Fall dann SAN Zertifikate).


    rednag die UTM brauchst du ja nicht für das Zertifikat. Das wäre lediglich dafür notwendig wenn du verschiedene Webseiten abhängig von der Subdomain auf Port 443 erreichbar machen willst.

  • Im Grunde genommen will ich eigentlich nur eine Subdomain mit einem LE-Zert. ausstatten.

    Problem ist eben, daß es eine rein vrtuelle Maschine ist.

  • @L0gD4ta


    Super, dann versuche ich das Gelegenheit mal.:handbuch: Danke auf jeden Fall für den Tip.

  • Im Grunde genommen will ich eigentlich nur eine Subdomain mit einem LE-Zert. ausstatten.

    Problem ist eben, daß es eine rein vrtuelle Maschine ist.

    Wo ist das Problem? Es gibt ja einen lets Encrypt Client den du in der VM installieren kannst. Du musst das ja nicht über QTS lösen.


    Hier nochmal das Tutorial für Debian. Im Grunde beschreibt das genau das von dir gewünschte Szenario. Nur halt nicht unter Debian sondern Ubuntu. Sollte aber sehr ähnlich funktionieren: https://websiteforstudents.com…and-lets-encrypt-ssl-tls/


    So wie ich das nach 5 Minuten lesen der Anleitung verstehe, brauchst du in deiner vm den python-certbot-apache. Den gibts auch für Debian 9: https://certbot.eff.org/all-instructions

  • Im Grunde genommen will ich eigentlich nur eine Subdomain mit einem LE-Zert. ausstatten.

    Problem ist eben, daß es eine rein vrtuelle Maschine ist.


    VM im Brigde mode

    Portforwarding


    "getssl" oder "acme.sh" und alles wird grün!


    beides nur shell script

    Einmal editiert, zuletzt von kasimodo ()

  • Danke für eure Ideen. Ich habs nun anders gelöst.

    Auf der Syno einen Reverse Proxy definiert welcher auf die IP-der-QNAP:80 zeigt.
    Also Eingehend->sub.domain.de->port 443->Proxy->IP-der-QNAP:80

    Auf der Syno für diese Suddomain ein Zertfikat erstellt und läuft.

  • Ja, das Synonym steht für Synology. :)

    Ich fahre zweigleisig und vereine die Vorteile der beiden Systeme.

  • Hallo Zusammen,


    auch heute lief mein erstes SSL-Zertifikat ab und ich bekam auch diese Fehlermeldung zu sehen:

    Code
    "Authentifizierung fehlgeschlagen. Bitte prüfen Sie den DNS-Server oder schauen Sie nach, ob Port 80 funktioniert."


    Ich habe nun etwas ausprobiert und eine Lösung gefunden, welche bei mir funktioniert.

    Andere Einstellungen habe ich nicht verändert.


    Hier kurz meine Ausgangssituation:


    Fritz.Box 7490 (fi1_______sp3___.myfritz.net)

    1. Portweiterleitung Intern 80 / Extern 80 weitergeleitet an 80

    2. Portweiterleitung Intern 443 / Extern 443 weitergeleitet an 8082

    |

    V

    QNAP TS-453A

    Port 80 - hier lauscht der (externe) Webserver für Zugriff ohne SSL (alles was hier ankommt, wird mit Rewrite R301 an den SSL weitergeleitet, ist aber für das Problem egal).

    Port 8082 - hier lauscht der (externe) Webserver für Zugriff mit SSL.


    Meine Lösung:


    1. In Anwendungen -> Webserver -> Virtueller Host das Häkchen bei "Virtuellen Host aktivieren" entfernen und [Übernehmen].

    2. Dann unter System -> Sicherheit -> Zertifika & privater Schlüssel das [Zertifikat ersetzen].

    3. In Anwendungen -> Webserver -> Virtueller Host das Häkchen bei "Virtuellen Host aktivieren" einfügen und [Übernehmen].

    4. Alle Webseiten neu laden und das neue Zertifikat war aktiv...


    Hoffe, ihr könnt es nachmachen.

  • Korrektur meiner Lösung:


    1. In [Anwendungen] -> [Webserver] -> [Nur eine sichere Verbindung (HTTPS) herstellen] das Häkchen entfernen und [Übernehmen].


    2. Dann unter [System] -> [Sicherheit] -> [Zertifikat & privater Schlüssel] auf [Zertifikaterneuerung] klicken.


    3. In [Anwendungen] -> [Webserver] -> [Nur eine sichere Verbindung (HTTPS) herstellen] das Häkchen setzen und [Übernehmen].


    4. Alle Webseiten neu laden...

    pasted-from-clipboard.png







  • Hallo,


    ich hatte auch das Problem mit LetsEncrypt und dem Port 80.

    Port 80 war offen, Webserver lief und von außen über DynDNS (asuscomm) erreichbar.

    Manuell erzeugte SSL-Zertifikate konnte ich importieren (erzeugt mit dem Skript von https://github.com/diafygi/gethttpsforfree). Das Erzeugen über QNAP (Einstellungen/Sicherheit/Zertifikate) ging nicht (Port 80-Fehler).


    Das Problem war:

    QNAP legt die ACME-Challenge-Datei in diesem Verzeichnis ab:

    /mnt/HDA_ROOT/.config/QcloudSSLCertificate/cert/.well-known/acme-challenge


    Der Webserver greift aber auf dieses Verzeichnis zu:

    /share/CACHEDEV1_DATA/Web


    Für die manuelle Erstellung hatte ich bereits den ACME-Pfad angelegt

    (/share/CACHEDEV1_DATA/Web/.well-known/acme-challenge).


    Der Webserver kann also nie die generierte Datei an LetsEncrypt zur Prüfung ausliefern, weil diese nicht im Web-Verzeichnis gespeichert wird.


    Lösung:

    Link mit Name "acme-challenge" in /share/CACHEDEV1_DATA/Web/.well-known/ angelegt (acme-Verzeichnis gelöscht) mit Verweis auf /mnt/HDA_ROOT/.config/QcloudSSLCertificate/cert/.well-known/acme-challenge.


    Damit wird der Aufruf auf das interne Verzeichnis umgeleitet und LetsEncrypt findet die generierte Prüfdatei und das Zertifikat wird automatisch generiert und für den Webserver verwendet.


    Vielleicht ist bei einigen von euch das Problem identisch und diese Lösung hilft.

    Viel Erfolg!

  • Das werde ich einmal ausprobieren.

    Ich habe bei einem neu eingerichteten 453Be nur bei Security/Certificate&Private Key ein Zertifikat erstellen lassen. Wenn die Zeit gekommen ist es upzudaten, brauche ich im gleichen Menü nur "Certificate Renewal" auswählen und es klappte auf Anhieb.


    Jetzt kommt das "ABER".

    Ca. zwei Monate bevor das Zertifikat ausläuft bekomme ich von MyQNAPCloud, das auf diesem NAS noch nie aktiviert eingestellt oder sonstetwas wurde ein Meldung, daß das Let's Encrypt Zertifikat nicht automatisch erneuert werden konnte.

    Ich verstehe einfach nicht, was das soll. Das MyQNAPCloud nicht aktiv ist, kann ich natürlich auch nichts abstellen. Grmpf.

  • Ich bekomme auch die Meldung von der MyQNAPCloud, das sie versucht hat, das SSL-Zertifikat zu erneuern, obwohl ich die MyQNAPCloud mit allen Diensten und Funktionen noch nie benutzt habe...


    Habe mir heute mit https://www.sslforfree.com geholfen und mein Zertifikat dort bezogen. Da war es egal, ob und wie Port 80 geöffent war, oder eben nicht...

  • Moin!


    Heute war es wieder soweit und die MyQNAPCloud, die ich ja nicht installiert habe, hat mir eine Mail geschickt, daß mein Zertikat nicht upgedatet werden konnte.

    Also habe ich Control Panel/Security/Certificate&Private Key und dort "Certificate Renewal" aufgerufen. Das klappt auf Anhieb, ohne das ich irgendetwas in der Fritz!Box machen mußte.