QTS 4.3 - Let's Encrypt SSL Zertifikat mit wenigen Klicks erstellen

Also,

das mit dem Ticket kann man sich sparen, habe ich getan... Seitens QNAP kam nur "Ist ein Drittanbieter wende dich an ihn." also spitze Support schonmal!

Alle Ports sind offen, bin ja nicht "Hohl", sorry aber so langsam nervt mich die QNAP Kiste mehr als sie mir Hilft.

Es geht einfach nicht .. es wird weiterhin über Port 80 gemeckert selbst als exposed Host. Früher ging es ja.. wollte nur das Zertifikat von Domain a.de auf b.de wechseln. Also zurückgesetzt.. Danach versucht neu zu erstellen und nun wieder den Zirkus den ich mal früher hatte. Also echt ...

Ports im System sind:

8080 Systemport

8082 HTTPS Webinterface

80 Webserver

443 Sicherer Webserver

Fritz

443 -> 443

80 -> 80

8082 -> 8082

8080 -> 8080

Habe schon überlegt das System zu Wipen und neu auf zu setzten!

man kann in der Fritzbox für eine IP alle Portanfragen automatisch öffnen lassen. Ich denke, dass da ein Port hängt.

Hast du NAS und Fritzbox schon neu gestartet?

Das mit den Ports, nennt sich Exposed Host wie oben beschrieben. Es liegt nicht an einem Port.

Und mit den Neustarts... Ist doch das erste was man macht. Sagte ja bin nicht 'Hohl'.

Grüße

hmm... Ist exposed Host und UPnP tatsächlich das gleiche? Die Anfrage geht ja von innen nach außen, ich denke, dass da der Unterschied liegt.

Sind alle Einträge im Formular von LE im Backend des NAS korrekt? Hast du schon mal eine andere Mailadresse ausprobiert?

Exposed Host macht alles in alle Richtungen auf. Habe jetzt UPnP gemacht, hat natürlich nichts aufgemacht da alles offen war und eine andere E-Mail benutz. Geht immer noch nicht. Habe sogar nur die myqnapcloud Domain als name angegeben ohne alternativen.

hast du via myqnapcloud auch ein LE-Zertifikat?

Und nur noch mal zur Erklärung: ich habe es nicht zum ersten Mal erlebt, dass trotz Exposed Host ein benötigter Port erst aufging, als ich UPnP aktiviert hatte. Meist waren es UDP-Ports.

Also ich musste auch erstmal den Port 80 öffnen und dann konnte ich sofort mein Zertifikat erneuern. War aber auch etwas verwundert erstmal.

silencshadow ich lese gerade erst jetzt bewusst, dass du wohl versuchst, mit einer myQNAPcloud-Domain über die manuelle Let's Encrypt-Aktivierung ein Zertifikat zu holen?

Wenn das so ist, gehe ich mal davon aus, dass da der Fehler liegt.

Auf myQNAPcloud ausgestellte Let's Encrypt-Zertifikate wirst du nur direkt über myQNAPcloud holen können.

Beim manuellen Weg über die Systemeinstellungen muss man wohl eine entsprechend erreichbare Domain angeben. Ich hab da eine dynV6-Adresse drin.

Oder bin ich auf dem Holzweg?

Hatte das Problem beim Erneuern des Zertifikats auch Fehlermeldung DNS und Port 80 prüfen.. dann hab ich hier im thread eine Antwort von silencshadow (aus dem märz letzten Jahres )gefunden... und das war auch die Lösung, im Appcenter gab es für die QTS SSL Certificate App eine Aktualisierung... diese durchgeführt.. (auch wenn ich die Funktion unter... Systemsteuerung -> Sicherheit nutze... ) danach ging es wunder bar... scheinbar gibt es hier eine Abhänigkeit...

Zitat von obi

Ich habe (auch) das Problem:

Ich kämpfe ebenfalls schon sehr lange mit diesem Problem und bin auch genervt. Ich nutze inzwischen - gezwungenermaßen - die xxx.myqnapcloud.com Adresse. Immer mal wieder versuche ich über system/sicherheit/zertifikat & privater schlüssel "Zertifikat ersetzten" ein Zertifikat für meine xxx.spdns.de Adresse zu bekommen - ohne Erfolg. Selbstverständlich habe ich auch Exposed Host und UPnP ausprobiert und auch mal den Symlink nach dem Tip von Metrax erstellt:

Zitat von Metrax

Heute hat das Update mal wieder Probleme gemacht bei mir, weil der .well-known Pfad nicht gefunden wurde.

Nach einiger Analyse konnte ich das Problem mit folgendem Symlink fixen:

Code

cd /home/httpd
    ln -s /mnt/ext/opt/QcloudSSLCertificate/cert/.well-known .well-known

Anschließend ging es.

Bin mal gespannt ob das Reboot-Safe & Update-Safe ist

Alles anzeigen

Ich denke nicht, dass silencshadow und ich irgendetwas verkehrt machen. Bei uns liegt das Problem noch irgendwo anders.. Vielleicht die alte Fritzbox!? Ja, ich weiß - das ist jetzt ein sehr verzweifelter Versuch einer Erklärung. Aber vielleicht sollten wir mal die Hardware vergleichen. Also bei mir ist's die 7270 und mein NAS ist die TS251+

Zitat von obi

...

Ich denke nicht, dass silencshadow und ich irgendetwas verkehrt machen. Bei uns liegt das Problem noch irgendwo anders.. Vielleicht die alte Fritzbox!? Ja, ich weiß - das ist jetzt ein sehr verzweifelter Versuch einer Erklärung. Aber vielleicht sollten wir mal die Hardware vergleichen. Also bei mir ist's die 7270 und mein NAS ist die TS251+

Nein, ich mache nichts "bewusst" falsch. Ich hatte wie bereits mehrfach geschrieben, UPnP an, Exposed Host an und es über 3 verschiedene Domains versucht, die ich alle besitze. Ging ja früher auch!

Ich habe eine Fritz 7490, also eine sehr aktuelle. Und mein NAS ist das TS-253A.

Ok, nun bekomme ich es mit der xxx.myqnapcloud.com dns hin, mit meinen "richtigen" aber nicht... ? Wo ist der logische Fehler?

Zitat von silencshadow

Ok, nun bekomme ich es mit der xxx.myqnapcloud.com dns hin, mit meinen "richtigen" aber nicht... ? Wo ist der logische Fehler?

Ich habe es auch aufgegeben... vielleicht klappt es ja mal in den nächsten 10 FW's

Hallo,

Ich hab das gleiche Problem. xxx.myqnapcloud.com geht, aber meine eigene Domain lässt sich ums verrecken nicht (mehr) eintragen. Weder im Feld Domainname noch im Feld alternative Name.

Bis vor kurzem lief es noch völlig problemlos. Weiß nicht, ab welche FW das nicht mehr ging. Hat jemand eine Alternative die ohne QTS auskommt am laufen? Vielleicht als Container?

Grüße,

Andreas

So, ich denke, ich habe die Ursache für unser Problem gefunden.

Ich vermute, dass wenn auf dem NAS IPV6 aktiviert ist, die domains auch darüber erreichbar sein müssen. Für die *.myqnapcloud.com domains scheint dies auch der Fall zu sein. Meine (sub-) domains hatte aber keinen AAAA Eintrag für IPV6 sondern nur CNAME Einträge.

Leider habe ich mich noch nicht eindringlich mit dem Thema IPV6 auseinander gesetzt, was ich wohl demnächst nachholen muss.

Jedenfalls war mein letztlich erfolgreicher Workaround das Abschalten der IPV6 Unterstützung auf dem NAS. Danach konnte ich wieder erfolgreich SSL Zertifikate für meine Domains von letsencrypt beziehen.

Grüße,

Andreas

Moin!

Ich benutze myqnapcloud nicht und habe das letsencrypt Zertifikat über die Betriebsystemmethode eingetragen. Heute bekam ich folgende Nachricht von meinem QNAP:

Typ    Datum    Uhrzeit    Benutzer    Quellen-IP    Computername    Inhalt    
Warnung    24.04.2018    16:14:06    System    127.0.0.1    localhost    [myQNAPcloud] Failed to renew the Let's Encrypt certificate. The server could not connect to your device to verify the domain.    

Mein letsencrypt Zertifikat läuft erst in einem Monat ab:

letsencrypt1.png

Wie kann das sein?

Bewege den Mauszeiger mal über das blaue I neben "erneuern". Bei mir steht da, das Zertifikat könne erst 10 Tage vor Ablauf erneuert werden.

Warum dennoch die Fehlermeldungsmail kommt, ist mir auch ein Rätsel.

Zitat von ChrisTS412

Bei mir steht da, das Zertifikat könne erst 10 Tage vor Ablauf erneuert werden.

Das kommt bei mir auch. Vorher war das ja falsch übersetzt und es stand dort etwas von 10 Tage nachher.

Zitat von ChrisTS412

mir auch ein Rätsel.

Ich hatte einmal vor langer Zeit myqnapcloud aktiviert, aber nach einem Tag wieder komplett deaktiviert. Vielleicht läßt sich das nicht ganz abstellen. Das Icon ist auch immer noch da und ich kann es aufrufen, aber er sagt mir dann halt das alles deaktiviert ist. Die Sache mit letsencrypt kam jedenfalls viel später erst dazu.

Ich würde gerne den Thread nochmal aufwärmen und ersuche um Unterstützung.
Ich habe jetzt Debian 9.5.0 in einer VM installiert und darin Apache2, PHP7, MariaDB.

Hierauf setzt Nextcloud 13.0.4 auf. Alle Einrichtungswarnungen beseitigt, wunderbar.
Wie aber schaffe ich es nun, diese Instanz über eine https://sub.domain.de aufzurufen?
Port 443 ist schon anderweitig belegt. Aber die dringlichere Frage: Wie schaffe ich es mit Lets Encrypt ein Zertifikat an diese Domain zu binden?

Ist mein Setup so ungewöhnlich?
Die Instanz von Nextcloud aufzurufen ist ja kein Hexenwerk.
Ich will diese Subdomain aber mit einem Zertifikat ausliefern.
Soweit ich das bisher verstehe kann man mit dem integrierten LE-Client lediglich QTS signieren.
Erscheint mir ein bisschen wenig. Ich will Nextcloud auch nicht nativ auf der NAS laufen lassen.

Erstens weil ich diverse Einrichtungswarnungen nicht beseitigt bekomme, zum zweiten weil Nextcloud -> 14 nicht mehr mit PHP5.6 zusammenarbeiten wird. Und bevor QNAP PHP7.0 ausrollt gibts vermutlich schon PHP9...

Ohne dedizierte Portangabe geht https://sub.domain.de nur über Port 443. Es sei denn du hast eine Web Application Firewall (z.B. Sophos UTM), die abhängig von der angefragten Domain unterschiedliche Web Apps ausliefert. Das Zertifikat muss dann allerdings auch in der WAF installiert werden (Die WAF funktioniert quasi wie ein Proxy nur in die andere Richtung; wird deshalb oft auch Reverse Proxy genannt) und mir ist keine WAF bekannt die lets encrypt unterstützt.

Das Lets Encrypt Zertifikat musst du direkt über die Debian 9.5 Maschine beziehen. Wäre ja schlimm, wenn das QNAP an der VM rumdocktern könnte. Hierfür muss die VM aber auch über Port 80 aus dem Internet erreichbar sein (für die Domainvalidierung). Hier gibt's nen Guide wie das funktioniert. Allerdings auf Ubuntu 16.04. Für dich wirds interessant ab Step 9: https://websiteforstudents.com…and-lets-encrypt-ssl-tls/

Ich persönlich gehe mittlerweile in vielen Fällen aber wieder weg von lets encrypt. Ist eine schöne Sache wenn man viele Webprojekte unter verschiedenen Domains hat die oft wechseln. Mal schnell ein Zertifikat beziehen und https nutzen. Perfekt. Für langfristige Sachen kaufe ich mir in der Regel aber einfach normale Zertifikate. Schon alleine weil ich dann Port 80 nicht zwingend aufreißen muss. Ich kaufe meine Zertifikate (und die meiner Kunden) immer bei SSLPlus. Da gibts Einzeldomainzertifikate von Comodo ab 20€/Jahr. Das ist wirklich nicht die Welt. Dafür hast du eine Fehlerquelle weniger

https://www.sslplus.de/ssl/anw…eldomain-zertifikate.html

Zitat von L0gD4ta

Schon alleine weil ich dann Port 80 nicht zwingend aufreißen muss

Auf der Fritzbox öffne ich für die Erneuerung vom Zertifikat den Port 80 scriptgesteuert nur für diesen kurzen Augenblick. Auch ist es möglich dabei anzugeben zu welcher IP (webserver) die Weiterleitung erfolgen soll.