Warum braucht Lets Encrypt offene Ports?

[polyphase]

Über Lets Encrypt.
Das Zertifikat habe ich für meine Domain bei meinem Hoster erstellt (wird dort auch automatisch verlängert) und die 3 Files dann auf die DiskStation geladen und eingerichtet.

Im pihole leite ich meine Domain auf die entsprechende interne IP um.

Ergänzung (29. Dezember 2021)

Ich weiß jetzt nur nicht, ob die DS die Verlängerung des Zertifikates mitbekommt 🤷‍♂️

 

[mibbio]

Ich weiß jetzt nur nicht, ob die DS die Verlängerung des Zertifikates mitbekommt

Das musst du regelmäßig händisch (oder per Skript) vom Hoster rüberkopieren, von alleine wird das nicht passieren.

 

[polyphase]

Das ist ja Käse!

Danke für die Info, da muss ich mir was einfallen lassen

Ergänzung (29. Dezember 2021)

Ich denke ich werde das notfalls so machen, wenn ich nicht die Möglichkeit finde, das Lets Encrypt Zertifikat automatisch auf die DS zu schieben.

https://kb.synology.com/en-uk/DSM/t...cate_from_my_Synology_NAS_to_my_mobile_device

 

[mibbio]

Wenn es um ein LE Cert für eine Domain geht, die auf die IP deiner DiskStation auflöst, brauchst du diesen ganzen Workaround übrigens nicht. Die DiskStation sollte ab Werk selber LetsEncrypt Support haben, mit dem es sich das nötige Zertifikat holt und auch selbstständig erneuert.

https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS

 

[polyphase]

Dafür müssen dann doch wieder Port 80 bzw. 443 offen sein oder?

 

[mibbio]

Nicht zwangsläufig, die DiskStation unterstützt auch DNS-Challenge. Dafür müsste du beim Hoster deiner Domain dann skriptbaren Zugriff (also über irgendeine API) auf die DNS-Einträge deiner Domain haben, damit die DiskStation beim Erstellen und Erneuern des Zertifikats dort die nötigen Informationen hinterlegen kann.

DNS-Challenge hätte auch noch den Vorteil, dass du darüber auch ein Wildcard-Zertifikat (*.meinedomain.de) erstellen kannst, das dann auch alle Subdomains mit abdeckt und man nicht für jede ein separates Cert braucht.

 

[Bob.Dig]

Viele trennen auch DNS und Hosting. Dann läuft DNS z.B. über Cloudflare, wozu es meist ein Plugin gibt für die DNS-Challenge.

 

[polyphase]

@mibbio
Aha, d.h. ich kann die Zertifikat Aktualisierung über meinen Hoster, bei dem auch die Domain liegt, laufen lassen.

Dann müsste ich aber AutoSSL für diese Domain deaktivieren und die TXT Einträge ändern.
Die DS lädt sich dann das Zertifikat automatisch runter? Also kein manuelles kopieren mehr notwendig?

 

[mibbio]

Nein, die Zertifikatsverwaltung macht dann komplett die DiskStation. Die braucht dann nur einen Weg, die DNS-Einträge für deine Domain beim Hoster editieren zu können (DNS-Challenge nutzt glaube den TXT Resource Record). Kenne jetzt die LetsEncrypt Konfiguration der DS nicht, aber da wird es sicherlich Eingabefelder geben für den Zugriff auf die DNS-Konfiguration beim Hoster (Url zur API, Benutzername + Password oder Token).

Alternative wäre dann halt die HTTP(S)-Challenge, wofür dann eben Port 80 & 443 von der DS von außen erreichbar sein müssen.

 

[polyphase]

Danke, schaue ich mir an 👍

 

[mibbio]

Ich gehe einfach mal davon aus, dass die DiskStation für die DNS-Challenge einen gewissen Satz an Hostern mit API für ihre DNS-Server schon selber mitbringt, wo man dann bei der LE Einrichtung nur noch die entsprechenden Login-Daten eintragen braucht.

Falls die DS intern zum Beispiel Certbot nutzt, dürfte diese Hoster direkt integriert sein: https://eff-certbot.readthedocs.io/en/stable/using.html#dns-plugins