Auteur Topic: Letsencrypt certificaat verlengen  (gelezen 2152 keer)

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Letsencrypt certificaat verlengen
« Gepost op: 10 juni 2022, 00:25:15 »
Hallo iedereen,

Ik heb een probleem met het verlengen van het letsencrypt certificaat.

Via de webfrontend
onder security / certificates, and dan rechtsclick "renew certificate" of de betreffende website:
"Please check if your IP address, reverse proxy rules, and firewall rules are correctly configured and try again". 

Via ssh:
http://www.kalmiya.com/images/2022/synology/syno-letsencrypt.png

admin@cortana:/volume1/web/www.kalmiya.com$ sudo syno-letsencrypt new-cert -d www.kalmiya.com -m site@kalmiya.com -v
Password:
DEBUG: ==== start to new cert ====
DEBUG: Server: https://acme-v02.api.letsencrypt.org/directory
DEBUG: Email: site@kalmiya.com
DEBUG: Domain: www.kalmiya.com
DEBUG: ==========================
DEBUG: setup acme url https://acme-v02.api.letsencrypt.org/directory
DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/directory
DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/acme/new-nonce
DEBUG: Found registed account. used old account. [/usr/syno/etc/letsencrypt/account/vvU699/]
DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/new-order
DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/new-order
DEBUG: Failed to set port map rules. [-1]
DEBUG: failed to open port 80.
DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/117916318666
DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/117916318666
DEBUG: dns-01 is not support for www.kalmiya.com
DEBUG: Setup challenge for www.kalmiya.com with type http-01
DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/117916318666/IC_5Yw
DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/117916318666/IC_5Yw
DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/117916318666
DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/117916318666
DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/117916318666
DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/117916318666
DEBUG: Failed to do challenge for www.kalmiya.com with type http-01.
DEBUG: close port 80.
{"error":110,"file":"syno-letsencrypt.cpp","msg":"Failed to new certificate."}


De firewall staat (tijdelijk) uit
- security / firewall / enable firewall = uit

De website zelf is bereikbaar, zowel op poort 80 als 443
- http://www.kalmiya.com
- https://www.kalmiya.com

DSM versie 6.2.4 update 5 ( update 2 bevat een wijziging voor letsencrypt)
- Changelog 6.2.4-25556 Update 2 "Updated the OpenSSL setting in response to new rules of Let's Encrypt certificates."

Control Panel / DSM Settings
- enable http/2: aan
- enable server header in http responses: ngix

Zo langzaam heb ik geen idee meer wat er mis gaat, heeft iemand ideeen?

---

Update: Ik ontdek net dat de website bereikbaar is vanaf mijn eigen network, maar als ik op een VPN spring en naar de website ga dan werkt http niet maar https wel... Misschien hangt het samen met de DSM update naar 6.2.4 update 5 een tijdje geleden...

http://www.kalmiya.com - geeft 404 -- Not Found / Can't locate document: /index.asp
https://www.kalmiya.com - werkt
www.kalmiya.com:<dsm-admin-poort> - werkt

Dus blijkbaar gaat er iets mis met poort 80... alsof "iets anders" dat naar de verkeerde plek doorgeeft (/index.asp)?

  • Mijn Synology: DS1819+
  • HDD's: HGST

Offline zandhaas

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 23
  • -Ontvangen: 198
  • Berichten: 777
Re: Letsencrypt certificaat verlengen
« Reactie #1 Gepost op: 10 juni 2022, 08:49:22 »
Is je Synology vanaf het grote boze internet zelf bereikbaar via poort 80 en 443?


  • Mijn Synology: DS918+
  • Extra's: 16GB RAM
DS213+  DSM 6.2  512MB
DS918+  DSM 7.2  16GB + 2*1TB NVME  Cache
VDSM      DSM 7.2
MR2200ac

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Re: Letsencrypt certificaat verlengen
« Reactie #2 Gepost op: 10 juni 2022, 09:57:39 »
Dat vraag ik me nu dus ook af.

Als ik verbonden ben met een vpn en dus gegarandeerd "van buiten" kom:
- router heeft port forwarding aan op zowel poort 80 als 443
- https://www.kalmiya.com/ (dus poort 443) website werkt
- http://www.kalmiya.com (dus poort 80) geeft 404 op /index.asp en ik begrijp niet waarom.

Als experiment heb ik in de router port 81 geforward naar de nas port 81, and in webstation een nieuwe "port based" website gemaakt, luisterend op 81 ( http://kalmiya.com:81 ) en dat werkt dan weer wel "van buiten"...


Dus zoals ik het nu begriip, is er ergens iets in de chain ziggo-modem->asus-router->synology iets dat port 80 "onderschept" en zelf reageert, zodat de request nooit bij de webstation aankomt.

De admin interface van de asus router is eigenlijk alleen toegangelijk via https (onder administration / system / "Local Access config - authentication method: https)

Hoe kan ik dat verder ingrenzen?
  • Mijn Synology: DS1819+
  • HDD's: HGST

Offline jr212

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 34
  • Berichten: 352
Re: Letsencrypt certificaat verlengen
« Reactie #3 Gepost op: 10 juni 2022, 10:45:54 »
Ik heb op poort 81 eveneens een 404.
Uw chain is ook niet compleet. Voor uw ziggo modem kom je eerst nog bij je provider of je dns ook daar moet je poort 80 doorsturen. Mogelijk staat daar enkel https gebruiken. Dan wordt enkel poort 443 doorgelaten.

Verder voor effectief online te gaan zou ik eerst de fouten oplossen.
Citaat
Warning: in_array() expects parameter 2 to be array, null given in /volume1/web/www.kalmiya.com/plugins/system/jsntplframework/libraries/joomlashine/template/helper.php on line 734
  • Mijn Synology: DS2419+
  • HDD's: zie handtekening
DS2419+ 18 TiB / 2 X 14 TiB / 3 X 8 TiB / 6 TiB / 1 X SSD 0.5 TiB (76.5 TiB)
DS2415+ 2 X 8 TiB / 3 X 14 TiB (58 TiB)
DS415play 4 X 14 TiB (56 TiB)

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Re: Letsencrypt certificaat verlengen
« Reactie #4 Gepost op: 10 juni 2022, 11:50:56 »
Je hebt gelijk, voor de volledigheid vooraan in de chain is de dns A-record die naar het correcte ip adres wijst (de poort zelf is hier oninteressant zover ik weet; alles wordt geforward).

Dus alle traffic wordt geforward and komt aan op het ziggo-modem - anders lijkt me dat er niet eens een 404 page zou komen. Dit heeft tot voor kort ook altijd prima gewerkt (geen wijzigingen aan de dns records). Enige recente wijzigingen zijn de update naar nieuwe(re) DS firmware, en een update van de firmware van de Asus router - dus dit zijn de hoofdverdachten.

De specifieke website kalmiya.com hier geeft inderdaad nog een foutmelding, maar dit is een ander probleem. De andere websites (sommige plain html) hebben hetzelfde port 80 probleem.
  • Mijn Synology: DS1819+
  • HDD's: HGST

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Letsencrypt certificaat verlengen
« Reactie #5 Gepost op: 10 juni 2022, 13:02:37 »
Citaat
Dus alle traffic wordt geforward and komt aan op het ziggo-modem - anders lijkt me dat er niet eens een 404 page zou komen.

Sterker. Alle verkeer komt ook op de nas aan, want deze error wordt op de nas opgewekt. Als de nas niet bereikt werd, kreeg je de foutmelding van de browser, dat de website niet te bereiken is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Re: Letsencrypt certificaat verlengen
« Reactie #6 Gepost op: 10 juni 2022, 14:43:54 »
Ok, daar was ik aan het twijfelen of die 404 niet om een of andere reden de Asus Router was, die zelf iets op poort 80 meent te moeten doen - ipv simpelweg forwarden.

Dus in een poging om uit te vinden wat precies gebeurt bij een verbinding op poort 80 met curl:

curl http://www.kalmiya.com -v

* Rebuilt URL to: http://www.kalmiya.com/
*   Trying 84.25.103.187...
* TCP_NODELAY set
* Connected to www.kalmiya.com (84.25.103.187) port 80 (#0)
> GET / HTTP/1.1
> Host: www.kalmiya.com
> User-Agent: curl/7.55.1
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
< Date: Fri, 10 Jun 2022 13:37:22 GMT
< X-Content-Type-Options: nosniff
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1; mode=block
< Content-Length: 248
< Connection: close
< Location: http://www.kalmiya.com/index.asp
<
<!DOCTYPE html>
<html><head><title>Moved Temporarily</title></head>
<body><h1>Moved Temporarily</h1>
<p>The document has moved <a href="http://www.kalmiya.com/index.asp">here</a>.</p>
<address>webserver at :: Port 80</address></body>
</html>
* Closing connection 0

en dan nog een keer op poort 81 om te zien wat het verschil is:

curl http://www.kalmiya.com:81 -v

* Rebuilt URL to: http://www.kalmiya.com:81/
*   Trying 84.25.103.187...
* TCP_NODELAY set
* Connected to www.kalmiya.com (84.25.103.187) port 81 (#0)
> GET / HTTP/1.1
> Host: www.kalmiya.com:81
> User-Agent: curl/7.55.1
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx
< Date: Fri, 10 Jun 2022 12:34:37 GMT
< Content-Type: text/html; charset=utf-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< Keep-Alive: timeout=20
< P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
< Cache-Control: no-cache
< Pragma: no-cache
< Set-Cookie: eaa50d2380864a9078724e83295272bf=dornlf7lm293dsav8hf93d2kj3; path=/
< Vary: Accept-Encoding
<
... gevolgd door de webpage content

Bij poort 80 doet "iets" een "HTTP/1.1 302 Moved Temporarily" redirect naar die /index.asp pagina
Bij poort 81 komt een "HTTP/1.1 200 OK" gevolgd door Server: nginx

Zou er bij poort 80 niet ook een "Server: nginx" moeten staan?
  • Mijn Synology: DS1819+
  • HDD's: HGST

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Letsencrypt certificaat verlengen
« Reactie #7 Gepost op: 10 juni 2022, 18:08:17 »
Je hebt waarschijnlijk gelijk dat de router het probleem geeft door poort 80 niet te forwarden maar naar een eigen webinterface stuurt.

Als ik zelf cult toepas, krijg ik ook de reactie die jij op poort 81 krijgt:

$ curl http://www.xxx.nl -v
* Rebuilt URL to: http://www.xxx.nl/
*   Trying 10.0.1.30...
* TCP_NODELAY set
* Connected to www.xxx.nl (10.0.1.30) port 80 (#0)
> GET / HTTP/1.1
> Host: www.xxx.nl
> User-Agent: curl/7.54.0
> Accept: */*
>
< HTTP/1.1 301 Moved Permanently
< Server: nginx
< Date: Fri, 10 Jun 2022 16:03:29 GMT
< Content-Type: text/html
< Content-Length: 162
< Connection: keep-alive
< Keep-Alive: timeout=20
< Location: https://www.xxx.nl/
< Strict-Transport-Security: max-age=15768000
< Referrer-Policy: no-referrer
< Content-Security-Policy-Report-Only: default-src=self; img-src=self; child-src=none
< Permissions-Policy: interest-cohort=none
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: DENY
< X-DNS-Prefetch-Control: On
<
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
* Connection #0 to host www.xxx.nl left intact
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Re: Letsencrypt certificaat verlengen
« Reactie #8 Gepost op: 10 juni 2022, 18:23:20 »
Bedankt voor de bevestiging van wat het zou moeten zijn op poort 80, dat helpt!

Ik heb de synology uitgezet, dus als het de synology was dan zou http://www.kalmiya.com een timeout moeten geven...
Maar dat is niet het geval, er wordt nog steeds geredirect naar /index.asp...

Voor de gein geprobeerd op de router naar /index.asp te gaan (https://192.168.1.1:8443/index.asp ) en dat is de router settings pagina, dus het lijkt echt op een falende redirect naar die pagina. Maar poort 80 is gewoon geforward dus wtf... ik duik verder in de router settings.
  • Mijn Synology: DS1819+
  • HDD's: HGST

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Re: Letsencrypt certificaat verlengen
« Reactie #9 Gepost op: 10 juni 2022, 20:57:48 »
De router is een Asus waarvan de firmware recentelijk geupdate werd, poorten staan correct geforward, niets opvallends aan de verdere instellingen.

Volgende poging: 
- Router instellingen opslaan
- "Reset to factory defaults", dan gaat de router naar 192.168.50.1)
- Om er weer bij de komen, netwerk adapter van je computer even op 192.168.50.x zetten en verbinden met de router
- Restore de opgeslagen instellingen
Om een of andere reden kreeg ik geen internet verbinding, dus ook de Ziggo modem gereboot.

Interessant genoeg werkte port 80 daarna een tijdje, net genoeg om "renew certificate" voor 1 domein te doen.
Daarna was er weer een redirect (paar minuten later).

Poging 2: Nogmaals instellingen restoren + Ziggo Modem resetten
- Nadat alles weer online is lijkt er een tijdslot te zijn waarin de website werkt. Uiteindelijk de certificates kunnen renewen voor alle domeinen. Op dit moment lijkt de website te werken, maar ik ben bang dat dat slechts tijdelijk is.

Ideen:
- Eerst eens afwachten en kijken hoe stabiel het is
- Bij instabiliteit, verder experimenteren met reboots van de modem en/of restore settings
- Oudere Asus firmware proberen (eind 2021), bevalt me niet echt.
- Merlin Firmware proberen
  • Mijn Synology: DS1819+
  • HDD's: HGST

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.098
  • FIFO / LIFO
    • Truebase
Re: Letsencrypt certificaat verlengen
« Reactie #10 Gepost op: 10 juni 2022, 21:06:06 »
Dus je hebt 2 routes in je netwerk, staat die Ziggo dan in bridge?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Re: Letsencrypt certificaat verlengen
« Reactie #11 Gepost op: 11 juni 2022, 09:59:28 »
Ik had een oude modem die stond geloof ik in inderdaad bridge (mooi kastje, heeft hier zeker 10 jaar gestaan). Dat moest op een gegeven moment echter door ziggo vervangen worden en nu heb ik een connectbox, tamelijk primitief ding (als er geen verbinding is dan is het led groen, zodra er verbinding is is het oranje - wie heeft dat bedacht?)

In de dhcp van de connect box heeft de asus router een vast ip gekregen, en daarna op de connect box alle relevante poorten geforward naar de IP van de asus, die het dan weer verder forward (je zou de router ook in de dmz van de connectbox kunnen zetten als noodoplossing). Als er een betere manier is om dit te doen hoor ik het overigens graag, maar ik heb niets over bridge modus in de settings gezien.

  • Mijn Synology: DS1819+
  • HDD's: HGST

Offline zandhaas

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 23
  • -Ontvangen: 198
  • Berichten: 777
Re: Letsencrypt certificaat verlengen
« Reactie #12 Gepost op: 11 juni 2022, 10:14:33 »
Je kunt die Ziggo connectbox niet zelf in bridge mode zetten. Daarvoor moet je ziggo bellen en vragen of ze jou router in bridge willen zetten.
IK heb laatst ook zo'n wissel gehad. Eerst geprobeerd met 2 keer natten (wat jij nu doet) maar hoopjes problemen (en geen zin / tijd om de oorzaak van die problemen te zoeken.)  Dus toch maar besloten om hem in bridge te laten zetten waarna alles weer werkte zoals voorheen.
  • Mijn Synology: DS918+
  • Extra's: 16GB RAM
DS213+  DSM 6.2  512MB
DS918+  DSM 7.2  16GB + 2*1TB NVME  Cache
VDSM      DSM 7.2
MR2200ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Letsencrypt certificaat verlengen
« Reactie #13 Gepost op: 11 juni 2022, 13:32:40 »
In oud-upc gebied kun je de ziggo router doorgaans zelf in bridgemode zetten. TS zit in zuid limburg en dat is oud-ziggo. Daar moet je idd bellen.

Ik zie dat poort 80 nu weer werkt. Ik zie ook dat er meer websites op dat IP zitten "www.boots-guide.com"
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline rboerdijk

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 8
Re: Letsencrypt certificaat verlengen
« Reactie #14 Gepost op: 14 juni 2022, 21:51:57 »
Oud-ziggo (@home) inderdaad, ja.  De sites lijken inderdaad weer stabiel te werken.  Goed te weten dat het mogelijk is het handmatig naar bridge te laten zetten. Voor nu laat ik het even lopen, maar ik hou dat in gedachten.

Jammer dat ik niet precies weet wat het nu opgelost heeft, maar als een andere onfortuinlijke ziel in de toekomst tegen dit obscuur probleem aanloopt heeft die tenminste een startpunt.

Bedankt voor de tips en hulp, iedereen!
  • Mijn Synology: DS1819+
  • HDD's: HGST


 

Letsencrypt SSL/TLS

Gestart door marcofranssenBoard Synology DSM 6.0

Reacties: 4
Gelezen: 3080
Laatste bericht 05 juli 2016, 14:24:43
door marcofranssen
Probleem met LetsEncrypt

Gestart door PeterKaagmanBoard Synology DSM algemeen

Reacties: 10
Gelezen: 1686
Laatste bericht 11 oktober 2020, 16:17:56
door Briolet
Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?

Gestart door zakhooiBoard Synology DSM algemeen

Reacties: 25
Gelezen: 9455
Laatste bericht 22 februari 2018, 08:23:44
door HenkGroen
Letsencrypt en domijnnaam

Gestart door JohnGiezenBoard Synology DSM 6.0

Reacties: 19
Gelezen: 6050
Laatste bericht 24 augustus 2016, 17:19:48
door jeltel
VERPLAATST: Probleem met LetsEncrypt

Gestart door BirdyBoard Netwerk algemeen

Reacties: 0
Gelezen: 630
Laatste bericht 11 oktober 2020, 11:42:29
door Birdy