Let's Encrypt zertifikate nicht mehr zu beziehen

9_Mad-Max_5 · 1. Oktober 2021

Hi,

Ich habe seit vorgestern plötzlich Meldungen das etwas mit meinem SSL Zertifikat nicht mehr stimmen würde.

Aber hauptsächlich von Anwendungen die auf die Nextcloud zugreifen.

Das kam sehr zu meiner Überraschung. Also mal Server neu gestartet, das brachte erwartungsgemäß keine Besserung.

Als nächsten Step habe ich die Zertifikate fallen lassen und wollte sie von Let's Encrypt wieder neu beziehen.

Normal kein großes Thema geht recht schnell und man hat wieder tolle frische.

Aber dort geht nun das Problem los.

Mein Server ist sicherlich nicht das Topmodell als TS-231 ist er ein bisschen in die Jahre gekommen.

Aber bei den Zertifikaten hatte ich bisher noch nie Probleme.

Ich bekomme keine neuen. Ich denke über die quota für requests bin ich noch nicht hinaus.

Also erste google Rescherchen angestoßen.

cd /mnt/ext/opt/QcloudSSLCertificate/bin

./download_logs.sh

Das einzige, was etwas infos mit sich brachte, war die ssl_agent.log

Code

[1;32m10/01/21 10:35:30: ssl_agent.c: 885: main():start cmd=get_status[0m
[1;30m10/01/21 10:35:30: ssl_agent.c: 896: main():cmd: get_status[0m
[1;32m10/01/21 10:35:32: ssl_agent.c: 507: execute_command():device_name=mydomain api_endpoint=core2.api.myqnapcloud.com, portal_endpoint=www.myqnapcloud.com[0m
[1;35m10/01/21 10:35:32: ../common/src/cert_utils.c: 811: parse_certificate_info():certficate not exist[0m
[1;35m10/01/21 10:35:32: ../common/src/cert_utils.c: 1336: get_certificate_info():parse_certificate_info failed with code=-3000[0m
[1;35m10/01/21 10:35:33: ssl_agent.c: 140: execute_get_status():get_certificate_info failed with error code -3000[0m
[1;30m10/01/21 10:35:33: ssl_agent.c: 909: main():response: { "result": { "cname": "", "api_endpoint": "core2.api.myqnapcloud.com", "portal_endpoint": "www.myqnapcloud.com", "firmware_verison": "4.3.6" }, "status_code": -3000, "message": "get_certificate_info failed" }[0m
[1;30m10/01/21 10:35:40: letsencrypt_agent.c: 555: main():cmd: get_status[0m
[1;35m10/01/21 10:35:43: ../common/src/letsencrypt_utils.c: 960: get_download_status():download letsencrypt certificate error with code:-4000[0m
[1;35m10/01/21 10:35:43: ../common/src/cert_utils.c: 811: parse_certificate_info():certficate not exist[0m
[1;35m10/01/21 10:35:43: ../common/src/cert_utils.c: 1336: get_certificate_info():parse_certificate_info failed with code=-3000[0m
[1;35m10/01/21 10:35:43: letsencrypt_agent.c: 199: execute_command():get_certificate_info failed with error code -3000[0m
[1;30m10/01/21 10:35:43: letsencrypt_agent.c: 568: main():response: { "result": { "certificate_domain_name": "mydomain.myqnapcloud.com", "api_endpoint": "core2.api.myqnapcloud.com", "portal_endpoint": "www.myqnapcloud.com", "web_site_domain": "myqnapcloud.com", "qid_primary_email": "maximilian.huebner95@gmx.de", "download_status_code": -4000 }, "status_code": -3000, "message": "get_certificate_info failed" }[0m
[1;32m10/01/21 10:35:50: ssl_agent.c: 885: main():start cmd=get_status[0m
[1;30m10/01/21 10:35:50: ssl_agent.c: 896: main():cmd: get_status[0m
[1;32m10/01/21 10:35:52: ssl_agent.c: 507: execute_command():device_name=mydomain api_endpoint=core2.api.myqnapcloud.com, portal_endpoint=www.myqnapcloud.com[0m
[1;35m10/01/21 10:35:52: ../common/src/cert_utils.c: 811: parse_certificate_info():certficate not exist[0m
[1;35m10/01/21 10:35:52: ../common/src/cert_utils.c: 1336: get_certificate_info():parse_certificate_info failed with code=-3000[0m
[1;35m10/01/21 10:35:53: ssl_agent.c: 140: execute_get_status():get_certificate_info failed with error code -3000[0m
[1;30m10/01/21 10:35:54: ssl_agent.c: 909: main():response: { "result": { "cname": "", "api_endpoint": "core2.api.myqnapcloud.com", "portal_endpoint": "www.myqnapcloud.com", "firmware_verison": "4.3.6" }, "status_code": -3000, "message": "get_certificate_info failed" }[0m
[1;30m10/01/21 10:35:55: letsencrypt_agent.c: 555: main():cmd: get_status[0m
[1;35m10/01/21 10:35:58: ../common/src/letsencrypt_utils.c: 960: get_download_status():download letsencrypt certificate error with code:-4000[0m
[1;35m10/01/21 10:35:58: ../common/src/cert_utils.c: 811: parse_certificate_info():certficate not exist[0m
[1;35m10/01/21 10:35:58: ../common/src/cert_utils.c: 1336: get_certificate_info():parse_certificate_info failed with code=-3000[0m
[1;35m10/01/21 10:35:58: letsencrypt_agent.c: 199: execute_command():get_certificate_info failed with error code -3000[0m
[1;30m10/01/21 10:35:58: letsencrypt_agent.c: 568: main():response: { "result": { "certificate_domain_name": "mydomain.myqnapcloud.com", "api_endpoint": "core2.api.myqnapcloud.com", "portal_endpoint": "www.myqnapcloud.com", "web_site_domain": "myqnapcloud.com", "qid_primary_email": "maximilian.huebner95@gmx.de", "download_status_code": -4000 }, "status_code": -3000, "message": "get_certificate_info failed" }[0m
[1;32m10/01/21 10:35:59: ssl_agent.c: 885: main():start cmd=get_ddns_status[0m
[1;30m10/01/21 10:35:59: ssl_agent.c: 896: main():cmd: get_ddns_status[0m
[1;32m10/01/21 10:36:00: ssl_agent.c: 507: execute_command():device_name=mydomain api_endpoint=core2.api.myqnapcloud.com, portal_endpoint=www.myqnapcloud.com[0m
[1;30m10/01/21 10:36:05: letsencrypt_agent.c: 555: main():cmd: get_myqnapcloud_domain_name[0m
[1;30m10/01/21 10:36:06: letsencrypt_agent.c: 568: main():response: { "result": { "domain_name": "mydomain.myqnapcloud.com" }, "status_code": 0, "message": "success" }[0m
[1;30m10/01/21 10:36:11: letsencrypt_agent.c: 555: main():cmd: download_cert[0m
[1;32m10/01/21 10:36:12: ../common/src/letsencrypt_utils.c: 237: set_letsencrypt_certificate_config():set_letsencrypt_certificate_config by cmd:/sbin/setcfg CERT is_auto_renew 1 -f /mnt/ext/opt/QcloudSSLCertificate/data/agent.conf[0m
[1;35m10/01/21 10:36:12: ../common/src/cert_utils.c: 531: check_can_request_cert():request too fast[0m
[1;35m10/01/21 10:36:12: ../common/src/cert_utils.c: 534: check_can_request_cert():check_can_request_cert request_count=5[0m
[1;35m10/01/21 10:36:12: ../common/src/letsencrypt_utils.c: 797: download_letsencrypt_certificate():check_can_request_cert failed with error code -3006[0m
[1;32m10/01/21 10:36:12: letsencrypt_agent.c: 336: execute_command():download_cert by type=dns status_code=-3006[0m
[1;30m10/01/21 10:36:12: letsencrypt_agent.c: 568: main():response: { "status_code": -3006, "message": "download_certificate failed" }[0m

Alles anzeigen

Nun habe ich gestern im Zuge meiner Fehlersuche gefunden das Let's Encrypt das rootzertifikat geändert hat.

Meine Befürchtung ist nun das der Let's Encrypt client in der betagten NAS zu alt ist und damit nicht klar kommt.

Leider finde ich mit den Fehlercodes nicht wirklich etwas was die zu bedeuten haben.

Ich hoffe das ich alles notwendige hier habe ich würde mich über eine Antwort freuen.

FSC830 · 1. Oktober 2021

Könnte evtl. damit zusammenhängen.

Gruss

Edit: Könnte nicht nur, ist es, aber von QNAP ist kein altes OS aufgeführt (oder ich habe es nicht gesehen).

9_Mad-Max_5 · 1. Oktober 2021

Ja, das habe ich ja auch im letzten Absatz erwähnt, aber alles, was ich zu der Umstellung bisher gefunden habe, war, dass die Clients, also mein Handy nicht mehr drauf zu greifen kann.

Aber nicht der Webserver selbst, welche die Zertifikate beziehen will.

Meine Befürchtung ist das der letsencrypt acme bot (certbot), welcher diese bezieht, sich geändert hat der in der NAS aber nicht.

9_Mad-Max_5 · 3. Oktober 2021

Zusätzlich habe ich noch ein weiteres Logging gefunden:

Code: acme_error_log_dns

10/02/21 18:26:40 - args: Namespace(account_key='/mnt/ext/opt/QcloudSSLCertificate/cert/account/key', acme_dir='/mnt/ext/opt/QcloudSSLCertificate/cert/.well-known/acme-challenge', ca='https://acme-v02.api.letsencrypt.org', cert_file='/mnt/ext/opt/QcloudSSLCertificate/cert/cert_tmp', chain_file='/mnt/ext/opt/QcloudSSLCertificate/cert/chain_tmp', contact=['mailto:@gmx.de'], csr='/mnt/ext/opt/QcloudSSLCertificate/cert/csr', directory_url='https://acme-v02.api.letsencrypt.org/directory', disable_check=False, qpkg_dir='/mnt/ext/opt/QcloudSSLCertificate', quiet=40, verify_type='dns', web_document_root='/Web', well_known_dir='/mnt/ext/opt/QcloudSSLCertificate/cert/.well-known')

Traceback (most recent call last):

File "/mnt/ext/opt/QcloudSSLCertificate/bin/acme-tiny/acme_tiny.py", line 889, in main

qpkg_path=args.qpkg_dir, challenge_type=challenge_type, ca_certs=ca_certs, web_document_root=web_document_root_list)

File "/mnt/ext/opt/QcloudSSLCertificate/bin/acme-tiny/acme_tiny.py", line 660, in get_crt

raise ex

ValueError: Error getting directory:

Url: https://acme-v02.api.letsencrypt.org/directory

Data: None

Response Code: None

Response: <urlopen error [Errno 1] _ssl.c:504: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed>

Alles anzeigen

Variag · 4. Oktober 2021

Ein curl auf https://acme-v02.api.letsencrypt.org/directory ergibt den Fehler:

Code

* SSL certificate problem: unable to get local issuer certificate

Ich gehe davon aus, das QNAP dies hier verschlafen hat: https://letsencrypt.org/2021/10/01/cert-chaining-help.html

P.S.: Der selbe Fehler tritt bei mir auch auf, mein Cert war gerade am 01.10. abgelaufen.

9_Mad-Max_5 · 4. Oktober 2021

Mhm das ist schlecht.
Ich hatte den Fehler auch gesehen aber nicht für voll genommen.

Der zweite Server läuft ja noch mit dem letsencrypt zertifikat.

Hast du eine Idee wie man das flicken kann?
Liegt es an curl selbst?

Variag · 5. Oktober 2021

Das Intermediate Zertifikat LetsEncrypt R3 sowie das Root Zertifikat ISRG Root X1 müssen in den Trust Store des QTS eingefügt werden, damit wieder eine SSL-Verbindung zu LetsEncrypt aufgebaut werden kann.

Ich habe aber noch keinen Weg gefunden, wie das bei QTS manuell funktioniert.

Im QNAPClup-Repo gibt es das Paket CACert 1.04, ich vermute, das es genau diese Certs installiert, aber auch das habe ich noch nicht ausprobiert.

9_Mad-Max_5 · 5. Oktober 2021

Ja das habe ich auch gefunden aber das brauch QPerl und das ist auf der TS-231 nicht zu installieren.

Auf deinen beiden sollte das aber kein Problem darstellen.

Nach langer suche im Web, bin ich hier drauf gestoßen:
Install Root & Intermediate Certificate Bundles on QNAP! (andreadraghetti.it)

Dessen Anleitung hat aber leider nicht vollständig funktioniert.
Aus unterschiedlichen Gründen, drum habe ich mir auch noch diese Seiten zu rate gezogen:

Korrekter curl:
Yannik/qnap-letsencrypt: Let's Encrypt on QNAP (github.com)

Funktionierenden awk Befehl:

shell - How to split a PEM file - Server Fault

Daraus ist dann folgenden Befehl entstanden:

Code

cd /share/
curl --silent --location --remote-name --insecure https://curl.haxx.se/ca/cacert.pem
mkdir certs
cat cacert.pem | awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {if(length($0) > 0) print > "certs/cert" n ".pem"}' 
for filename in cert*pem;do mv $filename `openssl x509 -hash -noout -in $filename`.0; done;
cp *.0 /etc/ssl/certs/

Das hat auch soweit funktioniert.

Damit lieferte

Code

curl https://acme-v02.api.letsencrypt.org/directory

keinen Fehler mehr zurück.

Allerdings scheitere ich mit QTS SSL Certificate an derselben Stelle wie zuvor.

EDIT:

Da auch diese Lösung nicht zielführend war und die Warnung wirklich ein Dorn im Auge bin ich den einzigen übrigen weggegangen.

Yannik/qnap-letsencrypt: Let's Encrypt on QNAP (github.com)

Das ist ein Python Script, was eben besser gepflegt ist.
Die Anleitung ist an sich sehr gut und lässt nur wenige Wünsche offen.

Es muss entware installiert sein aber das ist in jedem Fall eine Sache, die man tun sollte.

Einzige Stolperfalle in der Anleitung ist unter dem Kapitel qnap-letsencrypt der Punkt 5
Da hier ein absoluter Pfad für den Cronjob angegeben werden muss am besten an der eigenen Maschine zuerst prüfen.

sirkai · 5. Oktober 2021

Hallo, ich hab gleiches Problem mit meiner TS -231. Ist es möglich das das Problem nur bei diesem Modell auftritt?

Der QNAP Support teilt mir nur mit das Gerät sei End of Life. Wenn von QNAP keine Lösung kommt würde ich das zum Anlass nehmen mir ein neueres Modell zuzulegen. Wenn aber mehr Typen betroffen sind darf ja ggf noch auf ein Update hoffen ?

Gruß Kai

Variag · 6. Oktober 2021

Bei mir ist es eine TS-453Be - ich denke nicht, das es am Modell liegt.

9_Mad-Max_5 · 6. Oktober 2021

Denke auch nicht das es mit dem Modell zusammenhängt.

Und man muss einfach gestehen die Anleitung zu dem eigenen Skript ist sehr gut.
Sie sollte nach ein wenig einfinden auch von einem bash anfänger zu bewältigen sein.

sirkai · 6. Oktober 2021

Ich warte mal ab ob es noch ein Update dazu geben wird. Würde ich vermutlich mit der Anleitung hinbekommen, aber am Ende hab ich mir das NAS geholt um sowas nicht machen zu müssen...

Support hat sich gemeldet und bestätigt das alle Geräte derzeit betroffen sind.

Es gäb auch ein Workaround (habs noch nicht ausprobiert bei mir):

SSH (admin):
ln -sf /etc/ssl/openssl.cnf /usr/openssl.cnf

srgd · 18. Oktober 2021

Hi,

bin leider absolut kein Spezialist in dem Thema - habe aber genau das gleiche Problem. Nutze aktuell Mount und curl von Nextcloud aus - und auch mein TS212P ist sicher nicht die neueste Kiste (aber funktioniert dafür seit Jahr und Tag klaglos).

Auch das Update des Zertifikats funktioniert nicht

Als Workaround werde ich mal versuche mount und curl davon zu überzeugen, das beide das jetzige (alte) Zertifikat akzeptieren - augenscheinlich möchte QNAP lieber die eigenen Zertifikate verkaufen....

Im Übrigen: Wenn auf der QNAP über die Verweigerungsliste nur die IP des Nextcloud-Servers zugelassen ist, dann kann man auch problemlos ein eigenes Zertifikat verwenden und diesem vertrauen, oder?

Update: Der Workaround mit dem obigen Linkkommando funktioniert - allerdings nur wenn man ein neues Letsencrypt Zertifikat mittels der App QTS SSL Certificate erstellt. Leider gibt es beim Zugriff (z.B. mittels CURL) leider immer noch Fehler - aber diesmal wohl ein anderer:

curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

Hat jemand eine Idee woran es jetzt noch liegen kann?

Crazyhorse · 20. Oktober 2021

Schaue mal nach dem System Cert Store.

Da ist sicherlich das abgelaufene Zwischenzertifikat von LetsEncrypt drin.

Das ist vor kurzem abgelaufen.

srgd · 20. Oktober 2021

Hi,

der curl Fehler lag eher daran, das ich nicht gewartet habe, bis das Zertifikat auch auf dem Client als valid certificate bekannt war - die Lösung den Link zu ändern und danach das Zertifkat neu ausstellen zu lassen hat somit funktioniert!

Besten Dank für Eure Hilfe!!

sirkai · 2. November 2021

Update, mit dem heutigen Firmwareupdate 4.3.6.1831 funktioniert letsencrypt wieder "out of the box".

WeT-Klb · 3. November 2021

Ich bin völlig am verzweifeln, weil mir das alles leider nichts sagt.

Ich habe mittlerweile die V5.0.0.1837 installiert und alles läuft bis auf die Möglichkeit, mittels des Updaters über WinSCP meine Nextcloud-Version zu aktualisieren.

Wenn ich, wie bislang, den Updater ausführe, erhalte ich die Meldung:

Code

[Exception] 
Could not do request to updater server: SSL certificate problem: certificate has expired

Ich habe gelesen, daß das an einem abgelaufenenen Zertifikat DST Root CA X3 liegen soll. Es wird geraten, dieses Zertifikat aus /etc/ssl/certs/ zu entfernen.

Wenn ich das aber mache, erhalte ich beim Ausführen des Updaters die neue Meldung:

Code

[Exception]
Could not do request to updater server: SSL certificate problem: unable to get local issuer certificate

Kann jemand Schritt-für-Schritt erklären, wie ich den Updater wieder zum funktionieren bringen kann?

Mir sagt das z.B. überhaupt nichts:

Zitat von Crazyhorse

Schaue mal nach dem System Cert Store.

Wie oder wo finde ich einen System Cert Store? Ist das eine App oder eine Lokation auf der NAS?

Let's Encrypt zertifikate nicht mehr zu beziehen

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

App Zugriff (von extern) auf verschlüsseltes Laufwerk

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Verschlüsselungstrojaner auf NAS

E-Mail mit Betreff: "QNAP Security Advisory | Bulletin ID: QSA-24-19"

Systemsteuerung - Sicherheit - Liste Zulassen/Verweigern

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

VPN - ganz allgemein

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur

Tags