Synology-Forum.nl
Firmware => Synology DSM 6.0 => Topic gestart door: KoenV op 10 augustus 2016, 15:42:23
-
Mijn Let's Encrypt certificaat verloopt op 25-08-2016. Dit had dus al moeten autoupdaten (ook al mailtje gehad van Let's Encrypt). Het certificaat bevat 5 sub domeinen waarvan er 2 via een reverse proxy naar andere machines doorverwijzen.
Ik ben dan gaan experimenteren en vond dat ik voor het hoofdomein zonder meer een nieuw certificaat kan aanmaken. Echter niet voor de domeinen die reverse proxied zijn. Kortstondig de revese proxy voor dat subdomein opheffen gaf meteen een nieuw certificaat. De reverse proxy dan weer met dat nieuwe certificaat laten lopen werkt. Of de reverse proxy met https op de syno en http op de raspberry of beide https ingesteld waren maakte geen verschil. Ook Nginx of Apache maakt niet uit.
Ik heb nu de beide reverse proxies uitgezet en verwacht dat het oorspronkelijke certificaat zou auto updaten. Dat heeft het na 24 uur en een reboot echter nog niet gedaan.
Ik wil het oude certificaat niet weggooien en een nieuw aanmaken want dan gaan al mijn Cloudstation clients weer zeuren of dat nieuwe certificaat wel te vertouwen is. (Ik hoop dat een geupdate certificaat wel vertouwd wordt. Zoniet zie ik dat toch als een bug in de Synology software.)
Kan het zijn dat update checks erg infrequent zijn en dat dus de update over x dagen alsnog gebeurd?
Verder is het intrinsiek aan een reverse proxy configuratie dat de update (en ook aanvraag) niet werkt of is dat een Synology set-up issue?
-
Ik heb nu de beide reverse proxies uitgezet en verwacht dat het oorspronkelijke certificaat zou auto updaten.
Heb je poort 80 wel forwarded ?
De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen. Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen. (https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate)
-
Ik was misschien niet duidelijk genoeg in mijn text. Beide poorten 443 en 80 staan open op router en firewall. Ik ging er van uit dat dit duidelijk was uit het feit dat ik wel een certificaat kan aanmaken voor een subdomein dat niet reverse proxied is. Zowel aanmaken als vernieuwen gaat niet goed als een domein reverse proxied is (de reverse proxy instelling onder control panel - application portal - reverse proxy) dit zowel wanneer ik Nginx of Apache gebruik.
-
Verdere update:
Het certificaat is inmiddels automatisch geupdate. De reverse proxy verwijzing van een subdomein blokkeert dus de automatische update (alsook de aanmaak van een certificaat). De check voor automatische update gebeurt blijkbaar redelijk infrequent.
De meest recente Cloud Station Drive client (4.1-4224) ook geen probleem meer met het vernieuwde certificaat. Op 1 machine bleek nog een 4.0 versie aanwezig die wel struikelde over het nieuwe certificaat.
Een verdere test met een volledig nieuw certificaat geeft ook geen probleem meer met de nieuwe Cloud Station Drive client. Dat issue lijkt opgelost te zijn.
-
Ik weet niet of dit gebruikelijk is op forums, maar op volgend url staat mijn reactie
http://www.synology-forum.nl/dsm-6-0/let's-encrypt-auto-renewal/
-
Ja hoor :thumbup:
-
@ wasdanou: Ik had poort 80 gewoon open staan naar de Synology gemapt. Poort triggering zou ook een trigger door de Raspberry die in de reverse proxy staat toegang kunnen verschaffen op poort 80. Dit werkt echter eveneens niet.
Ik heb mijn ervaring inmiddels aan Synology gemeld en van Synology teruggemeld gekregen dat ze het probleem kunnen kunnen nawerken. Ze zoeken naar een verbeterde instelling om dit te omzeilen.