Hi,
versuch es mal mit:
/mnt/ext/opt/apache/bin/apachectl restart
mfg kasimodo
Ne, abgesehen davon das die Weboberfläche danach nicht mehr richtig funktionierte, hat das nichts bewirkt 
Kompletter Neustart hat auch nicht geholfen, also erkennt er das womöglich nie, oder?
Hallo,
in die /etc/stunnel/stunnel.pem gehört nicht nur das eigene Zertifikat
der private Key, das Serve Zertifikat und das intermediate certificate ( von Letsencypt - https://letsencrypt.org/certs/…crypt-x3-cross-signed.pem) kommen in die Datei. In der Reihenfolge!
In die /etc/stunnel/uca.pem kommt nur das intermediate certificate
hast du dies so?
Die uca.pem ist bei mir standartmäßig vorhanden. siehe auch im Script /etc/init.d/stunnel.sh
Welche Zertifikate in welche Datei gehören sieht man auch im Script hier:
https://github.com/Yannik/qnap-letsencrypt/blob/master/renew_certificate.sh
Hast du mal versucht über das Webinterface dein Zertifikat einzulesen?
WebInt. -> Systemsteuerung -> System -> Sicherheit -> Register Zertifikat & privater Schlüssel
Dort Zertifikat ersetzen -> Auswahl Zertifikat importieren -> Button Weiter -> und die Zertifikate angeben!
Oder Du nimmst an der Stelle LetsEncrypt
"Müsste also jemand beantworten können, der auch ein LetsEncrypt Zertifikat für die NAS verwendet und das nicht über die Weboberfläche macht."
<grins> genau derjenige antwortet dir hier!
[Howto] Eigenes Zertifikat mit "qnap-letsencrypt"
Arbeitest du mit eigenen Scripten zum Abruf vom Zertifikat?
Hier mal mein "Ablauf"-Script mit dem ich die Zertifikate erneuere. Läuft schon ewig so.
#!/bin/bash
set -e
cd $(dirname $0)
python=/share/MD0_DATA/.qpkg/Entware-ng/bin/python
# do nothing if certificate is valid for more than 30 days (30*24*60*60)
echo "Checking whether to renew certificate on $(date -R)"
# [ -s letsencrypt/cert.pem ] && openssl x509 -noout -in letsencrypt/cert.pem -checkend 2592000 && exit
checkPort=($(ps -e|awk '/SimpleHTTPServer/ {print $8}'))
if [ $checkPort = 80 ]; then
pid=($(ps -e|awk '/SimpleHTTPServer/ {print $1}'))
kill $pid
fi
#domains=$(openssl req -in letsencrypt/domain.csr -noout -text| sed -n 's/DNS://gp'| sed -n 's/,//gp')
domainstr=$(openssl req -in letsencrypt/domain.csr -noout -text| sed -n 's/DNS://gp')
domains=(${domainstr//,/})
echo =========================================================================
for i in "${domains[@]}"
do
if [[ $(wget -q -t 1 --spider --dns-timeout 3 --connect-timeout 10 $i:80; echo $?) -eq 0 ]]; then
echo -e " \033[32m OK - Port 80 open\033[0m "$i ;
else
echo -e "\033[31m ERROR - Port 80 closed \033[0m " $i" not available via port 80! check portforwarding - open port 80!"
echo =========================================================================
exit
fi
done
echo ========================================================================
echo "Stopping Apache Webserver hogging port 80.."
/etc/init.d/Qthttpd.sh stop
mkdir -p tmp-webroot/.well-known/acme-challenge
cd tmp-webroot
$python -m SimpleHTTPServer 80 &
pid=$!
echo "Started python SimpleHTTPServer with pid $pid"
cd ..
echo "Renewing certificate..."
export SSL_CERT_FILE=cacert.pem
# own server certificate cert.pem
$python acme-tiny/acme_tiny.py --account-key letsencrypt/account.key --csr letsencrypt/domain.csr --acme-dir tmp-webroot/.well-known/acme-challenge > letsencrypt/cert.pem.temp
#2> /var/log/acme_tiny.log
if [ -f letsencrypt/cert.pem.temp ] && [ -s letsencrypt/cert.pem.temp ] ; then
mv letsencrypt/cert.pem.temp letsencrypt/cert.pem
# intermediate certificate chain.pem
echo "Downloading intermediate certificate..."
wget --no-verbose -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > letsencrypt/chain.pem
# own server certificate (cert.pem) + intermediate certificate (chain.pem) => fullchain.pem
cat letsencrypt/cert.pem letsencrypt/chain.pem > letsencrypt/fullchain.pem
echo "Stopping stunnel and setting new stunnel certificates..."
/etc/init.d/stunnel.sh stop
#cat letsencrypt/keys/privkey.pem letsencrypt/fullchain.pem > /etc/stunnel/stunnel.pem
cat letsencrypt/keys/privkey.pem letsencrypt/cert.pem letsencrypt/chain.pem > /etc/stunnel/stunnel.pem
cp letsencrypt/chain.pem /etc/stunnel/uca.pem
echo "Done! Service startup and cleanup will follow now..."
/etc/init.d/stunnel.sh start
fi
kill -9 $pid || true
rm -rf tmp-webroot/.well-known/
/etc/init.d/Qthttpd.sh start@ all - Hinweis: mit dem Script allein kann man keine Zertifikate erstellen - da gehört noch mehr dazu!
Ich habe die LetsEncrypt.qpkg aus dem englischen Forum installiert und erneuere mit hilfe eines scripts das Zertifikat. Funktioniert ja auch alles, was nicht funktioniert ist die aktualisierung der Anzeige was für ein Zertifikat installiert ist auf der Weboberfläche der NAS selbst. Zeigt er das denn bei dir richtig an?
PS: Dein Script sieht ganz schön kompliziert aus.^^ Bei mir ist das ein einzeiler der das Zertifikat entweder neu erstellt wenn keines da ist oder es verlängert wenn eines vorhanden ist
In der Webanzeige kann das nicht angezeigt werden. Die Einstellungen in der Webanzeige werden in Konfigurationsdateien wie z.B. in der uLinux.conf abgelegt. Diesen Konfigurationsdateien liest das Webinterface beim Start aus. InitScripte lesen dann auch benötigte Informationen über den Befehl /sbin/getcfg aus. Mit /sbin/setcfg kann man diese Konfigurationsdateien auch scriptgesteuert editieren.
Da du und ich ja nur in den Zertifikatsdateien etwas ändern kann das Webinterface diese Änderung natürlich nicht anzeigen.
Zur deiner noch nicht beantworteten Frage zur uca.pem. Die Zertifikatskette ist ja Serverzertifikat - Zwischenzertifikat - RootZertifikat.
Die uca.pem enthält das Zwischenzertifikat (in unseren Fall das von der Zwischenzertifikatsstelle Letsencrypt). Man muss nicht unbedingt dieses Zertifikat mit einbinden - beim Aufruf der Webseite wird da versucht es anderswertig aufzulösen. Sauberer ist es das Zwischenzertifikat gleich mit einzubinden.
zum Script: ich habe dies für mehrere Leute geschrieben und dabei diverse Routinen zur Fehlerbehandlung mit eingebaut. So sehe ich relativ schnell wenn mal etwas schief läuft - z.B. der Port 80 nicht zur Verfügung steht.
kannst ja mal deinen Einzeiler hier posten
Ah ok, danke 
Ich dachte er liest das Zertifikat aus und ändert das entsprechend in der Anzeige.
Die qpkg habe ich von hier: https://forum.qnap.com/viewtopic.php?t=122747
Script sieht dann so aus, gut sind 3 Zeilen insgesamt
#!/bin/sh
export PATH=/opt/LetsEncrypt/bin:$PATH
certbot certonly --rsa-key-size 4096 --renew-by-default --standalone -d domain.de --agree-tos --email mail@mail.net --no-eff-email --config-dir "/share/CACHEDEV1_DATA/.qpkg/Certbot"
Bei neuerstellung muss Port 443 zur NAS offen sein, für eine Verlängerung nicht. Das Script wird dann über crontab alle 2 Monate automatisch ausgeführt.
Hinter dem Script sind dann noch ein paar Befehle die das neue Zertifikat an den richtigen Ort schieben und die Dienste neustarten. Aber eigentliche Zertifikatserstellung ist nur der eine Befehl oben und man braucht kein Entware.