Auteur Topic: Let's Encrypt certificaat wil niet meer vernieuwen  (gelezen 5015 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 169
Let's Encrypt certificaat wil niet meer vernieuwen
« Gepost op: 06 augustus 2018, 09:39:28 »
Ik heb een aantal Let's Encrypt certificaten die al heel lang altijd automatisch verlengen. Dat is nu niet meer het geval. Ook handmatig verlengen lukt niet. In de foutmeldingen wordt aangegeven dat een mogelijk probleem is dat poort 80 niet bereikbaar is. Zekerheidshalve heb ik ook nog geprobeerd een nieuw certificaat aan te maken. Ook hier verschijnt dezelfde foutmelding.

Zowel in de router als in de DSM-firewall staat poort 80 (en ook poort 443) open. De huidige certificaten zijn nu nog een aantal dagen geldig. Websites zijn gewoon bereikbaar en geven het slotje.

De laatste vernieuwingen vonden nog plaats in DSM6.1; thans draait DSM6.2

Wat kan hier nog aan de hand zijn?

Offline dvandonkelaar

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 161
  • Berichten: 937
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #1 Gepost op: 06 augustus 2018, 09:49:59 »
Werkt het wel als je het certificaat via SSH handmatig probeert te vernieuwen?
Volgens mij probeert Let's encrypt het één of twee keer te vernieuwen als hij bijna verlopen is. Mocht je NAS om wat voor een reden dan ook niet bereikbaar zijn via poort 80 dan mislukt de renewal.

Handmatig vernieuwen certificaat:
Citaat
/usr/syno/sbin/syno-letsencrypt renew-all
--
dvandonkelaar

DS415+ 8GB | 2xWD30EZRX en 2xWD30EFRX | RAID5 EXT4 [Productie]
DS211J | 2x WD20EZRZ | RAID1 EXT4 [Backup]
Eaton Ellipse PRO 650 DIN (Schuko)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #2 Gepost op: 06 augustus 2018, 11:50:43 »
Ik weet niet of de foutmeldingen intussen verbeterd zijn, maar in het begin waren die meldingen soms helemaal fout. Dus als hij klaagt over poort 80 kan het ook iets heel anders zijn.

Eens per week start er een cronjob die kijkt of er certificaten zijn die binnen een maand verlopen. Als je dan net even een verbindingsstoring hebt, duurt het een week voordat hij het opnieuw probeert. Het vernieuwen kun je inderdaad ook handmatig forceren met bovenstaand commando, wat normaal 1x per week draait.

Het aanmaken van de cronjob vind je terug in: synocrond.log
Citaat
synocrond: crondaemon.cpp:279 generated schedule for builtin-syno-letsencrypt-syno-letsencrypt:
autorenew: {"cmd_list":["/usr/syno/sbin/syno-letsencrypt","renew-all"],
"cmd_str":"/usr/syno/sbin/syno-letsencrypt renew-all",
"config":{"assure_execute":0,"cmd":"/usr/syno/sbin/syno-letsencrypt renew-all",
"expire":3,
"expire_action":"skip","name":"builtin-syno-letsencrypt-syno-letsencrypt: autorenew","period":"weekly","user":"root"},
"schedule":{"Minute":[13],"day":[-1],"hour":[16],"month":[-1],"week":[6]}}

Het uitvoeren vind je terug in: synocrond-execute.log
Citaat
06-06 07:14:00 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
06-16 16:14:08 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
06-20 13:05:10 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
06-27 02:40:16 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
07-05 05:44:23 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
07-14 19:50:29 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
07-22 23:09:03 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
07-25 00:06:04 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
07-31 01:56:08 running job: builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root
Je moet daar elke week een nieuwe entry aantreffen.

Edit: Als ik nu naar de data hierboven kijk, is het soms meer en soms minder dan 7 dagen. Vreemd omdat in de cronjob staat "weekly"
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 169
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #3 Gepost op: 06 augustus 2018, 20:18:40 »
In synocrond.log vind ik onderstaande:

Jul 13 03:59:20 DiskStation synocrond: crondaemon.cpp:279 generated schedule for builtin-syno-letsencrypt-syno-letsencrypt: autorenew: {"cmd_list":["/usr/syno/sbin/syno-letsencrypt","renew-all"],"cmd_str":"/usr/syno/sbin/syno-letsencrypt renew-all","config":{"assure_execute":0,"cmd":"/usr/syno/sbin/syno-letsencrypt renew-all","expire":3,"expire_action":"skip","name":"builtin-syno-letsencrypt-syno-letsencrypt: autorenew","period":"weekly","user":"root"},"schedule":{"Minute":[35],"day":[-1],"hour":[15],"month":[-1],"week":[2]}}
Het valt me hierbij op dat dit stukje code vrijwel aan het begin van het bestand staat. Ik weet niet of de weergegeven datum juli 13 ook het jaar 2018 betreft. Bijna aan het eind van het bestand vind ik datums terug in een andere schrijfwijze, bijvoorbeeld als: 2018-07-19.

In synocrond-execute.log vind ik inderdaad sinds 13 juli de bijna wekelijkse meldingen terug.

L.S. Waar zou ik eventueel het commando kunnen opgeven dvandonkelaar dat heeft opgegeven? Heeft dat zin, want deze commando's worden reeds wekelijks gegeven toch (volgens het execute-log)?

Hoe nu verder?

Gemarkeerd als beste antwoord door arnoderuig Gepost op 07 augustus 2018, 10:03:09

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #4 Gepost op: 06 augustus 2018, 21:45:22 »
Als dat script nog steeds wekelijks runt is dat het probleem niet.

Zet de firewall eens uit en run dat stript eens in de terminal. Inloggen met ssh en dan bovenstaande regel van dvandonkelaar ingeven met 'sudo ' ervoor, zodat hij als root uitgevoerd wordt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 169
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #5 Gepost op: 07 augustus 2018, 10:02:52 »
Weer die firewall; een onderdeel dat ik kennelijk maar niet goed onder de knie krijg. Aanpassingen hierin aangebracht en via Configuratiescherm Beveiliging Certificaat de certificaten kunnen vernieuwen.

Dank voor jullie inbreng.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #6 Gepost op: 07 augustus 2018, 11:12:24 »
Ik gok dat je poort 80 voor buiten Europa dicht had staan via de regio blokkade.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 169
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #7 Gepost op: 07 augustus 2018, 11:23:22 »
Inderdaad.

Het vervelende is dat ik in mijn vraag meld dat de betreffende poorten openstaan. Op dat moment denk ik er niet zelf aan of dat inderdaad wel zo is.

Al eerder heb ik al eens een vraag gehad op dit forum waarbij uiteindelijk bleek dat de firewall dwars lag. Kennelijk is het bij mij nog steeds niet een automatisme om eerst eens naar die firewall te kijken. Maar gelukkig hebben we daar Briolet voor!

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #8 Gepost op: 07 augustus 2018, 13:33:15 »
En als je leest dat alleen DSM geupdate is, denk je er niet aan dat de firewall settings misschien ook aangepast zijn.

In dit geval kan het twee mand duren voor je effect ziet van een firewall aanpassing omdat de certificaten 3 maand geldig zijn. Tegen die tijd dat je problemen krijgt, ben je het al lang weer vergeten.

Er waren ook verzoeken richting Let's Encrypt om de validatie vanaf een vast IP adres te doen. Dan kun je hun IP whitelisten in de firewall, maar LE wil zich niet vastleggen op een fixed IP voor dit werk.

Off topic:

Let's Encrypt heeft gisteren bekend gemaakt dat nu de laatste van de grote browsers hun root certificaat toegevoegd heeft.  (ISRG Root X1, op naam van de "Internet Security Research Group") De mac heeft hem ook al een tijdje in hun lijstje staan.

Momenteel gebruiken ze nog een intermediate certificaat van "Digital Signature Trust Co". (DST Root CA X3). Om de compatibility met oude browsers niet te verliezen zullen ze nog 5 jaar wachten voordat ze de certificaten met hun eigen root gaan ondertekenen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 169
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #9 Gepost op: 07 augustus 2018, 17:07:46 »
Aardig van je om enige verzachtende omstandigheden naar voren te brengen.....

Offline VictorV

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 5
  • Berichten: 60
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #10 Gepost op: 18 augustus 2018, 15:06:31 »
Ik heb zelf gehad dat de IPv6 van mijn modem/router (XS4all Fritz!Box) roet in het eten gooit bij automatische vernieuwing van Let's Encrypt certificaten.

IPv6 uitgezet in de router en toen met de hand op de NAS het vernieuwingsscript gedraaid, en daarna weer IPv6 op de router aan.

Offline A333

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 2
  • Berichten: 12
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #11 Gepost op: 06 september 2018, 00:00:46 »
Toevallig heb ik deze week ontdekt hoe het certificaat van Lets Encrypt eenvoudig handmatig kan worden vernieuwd. (of is het oud nieuws?)

Klik hiervoor rechts op het (bijna) verlopen certificaat onder de tab Beveiliging->Certificaat. Selecteer "Certificaat Vernieuwen" en het proces wordt automatisch gestart en geheel afgehandeld. Is mij gelukt bij 2 Synology's. Ik had hiervoor tijdelijk poort 80 open gezet. Volgens Synology zou het via 443 ook moeten werken, maar heb ik niet geprobeerd.
  • Mijn Synology: DS1621+
  • HDD's: 5 x WD30EZRX-00SPE

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #12 Gepost op: 06 september 2018, 00:28:07 »
Nee, die kende ik nog niet. Ik heb deze tip ook nog niet op het forum gezien. Hij werkt overigens ook met nog niet verlopen certificaten.

Ik heb het net geprobeerd met een certificaat die net 2 week oud was. Er wordt inderdaad beweerd dat het ook met poort 443 kan. Echter de handleiding rept met geen woord over poort 443 (Noch de Nederlandse noch de Engelse). Een van beide heeft het dus fout:



Een vreemd ding zag ik wel. Ik kreeg nml de melding dat het niet gelukt was omdat de Let's Encrypt server niet bereikt kon worden. Maar ondanks deze melding was het certificaat wel vernieuwd.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #13 Gepost op: 06 september 2018, 17:55:30 »
Volgens Synology zou het via 443 ook moeten werken, maar heb ik niet geprobeerd.

Ik heb het net wel geprobeerd.  In de router de forwarding van poort 80 uitgezet (en 443 wel geforward laten staan) en dan het certificaat vernieuwen. Dat loopt vlekkeloos. Nu zelfs zonder de onterechte foutmelding die ik gisteren kreeg.

Ik heb, via de melding optie in de help zelf, een melding gemaakt dat de info in de help niet meer accuraat is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 573
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's Encrypt certificaat wil niet meer vernieuwen
« Reactie #14 Gepost op: 12 september 2018, 20:43:39 »
Ik heb daar in het verleden ook last van gehad.
Ik heb toen dit miniscriptje in de taakplanner opgenomen: "syno-letsencrypt renew-all -vv" en deze elke 3 maanden door de taakplanner laten runnen. Daarmee lukte het vreemd genoeg wel.

Ondertussen staat deze taak weer uit (heb hem wel bewaard ;-) ); het gaat nu weer automatisch.
Ik ben er nooit achter gekomen wat de oorzaak was/is.

Peter
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC


 

wat kan er niet met php/mysql?

Gestart door AnonymousBoard Web Station

Reacties: 2
Gelezen: 7317
Laatste bericht 10 april 2008, 21:14:21
door Anonymous
Map verwijderen op USB-schijf lukt niet

Gestart door AnonymousBoard Externe harddisks en Printers

Reacties: 1
Gelezen: 6689
Laatste bericht 28 augustus 2006, 10:55:33
door Bob
Fan 106e lawaaierig, slaat niet/nauwelijks af bij standby

Gestart door AnonymousBoard NAS hardware vragen

Reacties: 9
Gelezen: 10654
Laatste bericht 02 januari 2007, 12:21:44
door LeendertB
Norton Ghost and DS106j niet compatible?

Gestart door AnonymousBoard NAS hardware vragen

Reacties: 2
Gelezen: 5820
Laatste bericht 06 oktober 2006, 13:35:38
door Anonymous
Synology 106E komt niet uit standby [SOLVED]

Gestart door MichielBoard NAS hardware vragen

Reacties: 2
Gelezen: 5028
Laatste bericht 11 december 2006, 21:16:06
door Anonymous