Navigation

    Logo
    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Unread
    • Categories
    • Unreplied
    • Popular
    • GitHub
    • Docu
    • Hilfe
    1. Home
    2. Deutsch
    3. ioBroker Allgemein
    4. [gelöst] https + letsencrypt will einfach nicht laufen

    NEWS

    • Neuer Blog: Fotos und Eindrücke aus Solingen

    • ioBroker@Smart Living Forum Solingen, 14.06. - Agenda added

    • ioBroker goes Matter ... Matter Adapter in Stable

    [gelöst] https + letsencrypt will einfach nicht laufen

    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rollerfreak2 last edited by

      Super das probiere ich dann gleich aus. Das heißt den Hacken bei "Benutze diese Instanz für automatische Updates" kann ich dann einfach weglassen. Wo genau liegen die Zertifikate auf der Synology?

      1 Reply Last reply Reply Quote 0
      • R
        rollerfreak2 last edited by

        Wollt es jetzt mal ausprobieren finde aber das LE Zertifikat auf der NAS Station nicht.

        Weder hier /var/lib/letsencrypt/.well-known/acme-challenge noch hier /root/letsencrypt/var/lib/acme-challenge ist was drin.

        In der Synology ist das LE Zertifikat aber hinterlegt.
        17182_cert.png
        Der copy task sieht so aus:

        cp -R /var/lib/letsencrypt/.well-known/acme-challenge/ /volume1/homes/admin/opt/iobroker/iobroker-data/letsencrypt/
        
        

        Kann mir jemand helfen?

        1 Reply Last reply Reply Quote 0
        • RK62
          RK62 last edited by

          Hier mein Skript:

          # Regelmässiges Kopieren der Let's Encrypt Zertifikate für iobroker
          # Starten mit:
          # sudo /volume1/docker/prod/script/copy-cert.sh
          
          # 09.04.2018 R.Krüger --- Erstellung
          
          targetPATH='/volume1/docker/prod/iobroker/esk-cert'
          
          cp /usr/syno/etc/certificate/system/default/cert.pem    $targetPATH
          cp /usr/syno/etc/certificate/system/default/privkey.pem $targetPATH
          
          # Fertig!
          touch /volume1/docker/prod/script/copy-cert.log
          
          

          Gruß Ralf

          1 Reply Last reply Reply Quote 0
          • R
            rollerfreak2 last edited by

            Hab das mal bei mir angepasst aber es will einfach nicht laufen. Settings in iobroker für LE sind folgende:
            17182_le.png
            Im NAS hab ich ein täglichen Aufgabenplan mit folgendem script:

            targetPATH='/volume1/homes/admin/opt/iobroker/iobroker-data/letsencrypt'
            cp /usr/syno/etc/certificate/system/default/cert.pem $targetPATH
            cp /usr/syno/etc/certificate/system/default/privkey.pem $targetPATH
            
            

            Im target folder liegen die beiden Files dann auch da:
            17182_files.png
            In der web.0 Instanz hab ich LE an aber das automatische update aus.

            17182_web.0.png
            Wenn ich nun via https://domain.de:8082 verbinde kommt im browser weiterhin nicht sichere Verbindung.

            In den logs steht dann:

            admin.0	2019-01-06 16:35:07.199	error	No letsencrypt certificates found in "/volume1/homes/admin/opt/iobroker/iobroker-data/letsencrypt"
            
            

            Kein Ahnung was ich falsch mache…

            1 Reply Last reply Reply Quote 0
            • RK62
              RK62 last edited by

              Wenn Du die Zertifikate der Synology verwendest, musst Du das im ioBroker ohne Let's Encrypt machen.

              1. Zertifikate regelmäßig kopieren (hast Du ja schon erledigt)

              2. Let's Encrypt im ioBroker deaktivieren

              ! 6528_hc0.png
              3. In den ioBroker-Einstellungen Referenzen auf die kopierten Zertifikate setzen

              ! filename="HC1.png" index="1">~~
              4. In der Instanz admin.0 die Zertifikate einsetzen

              ! 6528_hc2.png

              Allerdings funktionieren die Zertifikate nur auf dem externen Namen Deiner Synology, als beispielsweise xxx.myds.me. Entweder muss Du die Adresse Deiner Synology auf dem PC in deine C:\Windows\System32\drivers\etc\hosts eintragen ( <ip der/synology="">xxx.myds.me) oder in der Synology Zertifikate für Subdomains anlegen und diese dann unter Reverse Proxy eintragen.

              Gruß, Ralf</ip>

              1 Reply Last reply Reply Quote 0
              • R
                rollerfreak2 last edited by

                Super danke dir das hat geklappt. Ich hab nach dem Einstellen einmal den iobroker stoppen und wieder starten müssen und jetzt werden die Zertifikate gefunden. Besten Dank!

                > oder in der Synology Zertifikate für Subdomains anlegen und diese dann unter Reverse Proxy eintragen.
                Hast du dafür eine Anleitung? Ich wollt gern von außen ohne Ports hantieren, das heißt https://domain.de/foo und https://domain.de/bar eintippen und die sollen dann intern auf den Richtigen Port weitergeleitet werden. Soweit ich weiß sollte nginx dafür brauchbar sein. Oder geht das schon mit Synology Boardmitteln?

                1 Reply Last reply Reply Quote 0
                • RK62
                  RK62 last edited by

                  Geht mit Bordmitteln, aber Vorsicht: Damit ist der ioBroker von außen erreichbar und davon wird von den Betreibern aus Sicherheitsgründen dringend abgeraten. Die angebotene Cloud-Lösung ist hier sicherer.

                  Es geht nicht mit Ergänzungen am Domainnamen, sondern nur mit Subdomains.

                  Wenn Deine Domaine xxx.myds.me lautet, dann sind Subdomains S1.xxx.myds.me / S2.xxx.myds.me / iobroker.xxx.myds.me, etc.

                  Für jeden Port (vis, admin oder andere Docker-Container) brauchst Du eine eigene Subdomain.

                  1. Du brauchst für jede Subdomain ein Zertifikat, die können aber in einem Rutsch angefordert werden.

                  Wahrscheinlich musst Du dafür Dein vorhandenes Zertifikat löschen oder überschreiben:

                  • Systemsteuerung / Sicherheit / Zertifikat

                  • Hinzufügen / Zertifikat von Let's Encrypt abrufen

                  • Jetzt wird es spannend

                  – Domainname: xxx.myds.me

                  -- eMail: Deine eMailadresse

                  -- Betreff alternativer Name: iobroker.xxx.myds.me;S1.xxx.myds.me;S2.xxx.myds.me (Mit Semikolon trennen!)

                  Wie gewohnt erhälst Du jetzt ein Zertifikat welches jetzt allerdings mit allen angegebenen Adresse funktioniert.

                  2. Reverse Proxy einrichten

                  • Systemsteuerung / Anwendungsportal / Reverse Proxy

                  • Beschreibung: 🙂

                  • QUELLE

                  -- Protokoll: HTTPS

                  -- Hostname: iobroker.xxx.myds.me (Subdomain)

                  -- Port: 443

                  -- HSTS aktivieren

                  -- HTTP/2 aktivieren

                  • ZIEL

                  -- Protokoll: HTTPS

                  -- Hostname: localhost

                  -- Port: 8081 (Port auf der Synology)

                  3. Firewall / Router

                  Der Router muss alle Anfragen auf Port 443 an die Synology weiterleiten.

                  Ebenso 80 für Let's Encrypt aber der sollte ja schon offen sein.

                  Gruß, Ralf

                  1 Reply Last reply Reply Quote 0
                  • R
                    rollerfreak2 last edited by

                    Danke für die ausführliche Erklärung. Soweit hab ich alles konfiguriert, meine subdomains werden aber nicht aufgelöst. Ich bekomme im chrome immer DNS_PROBE_FINISHED_NXDOMAIN.

                    Ich vermute ich muss meine subdomains bei meinem dyndns Betreiber bekannt machen?

                    Port 443 und 80 werden an das NAS umgeleitet.

                    1 Reply Last reply Reply Quote 0
                    • R
                      rollerfreak2 last edited by

                      Hab es gefunden, wildcard musste im dyndns account eingestellt werden.

                      Danke und Grüße

                      1 Reply Last reply Reply Quote 0
                      • RK62
                        RK62 last edited by

                        Bestens, dann füge doch ein [gelöst] an den Anfang des Eintrages zu.

                        Gruß Ralf

                        1 Reply Last reply Reply Quote 0
                        • R
                          rollerfreak2 last edited by

                          Ein kleines bisschen zu früh gefreut. Die Reverse proxy Einstellungen sind jetzt aktiv und die subdomain kann auch aufgelöst werden. Jedoch sind die subdomains jetzt nicht mehr als sicher erkannt. Ich hab das Zertifikat ersetzt und bei Betreff alternativer Name alles subdomains mit ; getrennt aufgeführt. 😞

                          Das kopieren der Zertifikate im NAS hab ich gleich ausgeschaltet und adressiere die direkt von /usr/syno/etc/certificate/system/default/ da ich iobroker nicht im docker laufen habe.

                          1 Reply Last reply Reply Quote 0
                          • RK62
                            RK62 last edited by

                            Synology neu gestartet?

                            Hat der Browser schon das neue Zertifikat übernommen?

                            1 Reply Last reply Reply Quote 0
                            • R
                              rollerfreak2 last edited by

                              Synology hab ich neu gestartet. Browserdaten hab ich jetzt mal gelöscht. Damit hat er sich das neue Zertifikat gezogen (seh ich am Ausstellungsdatum) aber die Subdomains werden weiterhin als nicht sicher erkannt.
                              17182_cert.png
                              Ich hab jeweils zwei weiterleitungen gemacht von http->https und https->https jeweils für die zwei Subdomains.

                              1 Reply Last reply Reply Quote 0
                              • R
                                rollerfreak2 last edited by

                                Wenn ich die Subdomains mit Port eingebe dann werden die als sicher erkannt (Zertifikat wird gefunden). Dann macht der Reverse Proxy ja aber keinen Sinn!?

                                https://vis.domain.de:8082 –> sicher

                                vis.domain.de:8082 --> sicher (wegen http auf https reverse proxy)

                                https://vis.domain.de --> unsicher

                                1 Reply Last reply Reply Quote 0
                                • RK62
                                  RK62 last edited by

                                  Da kann ich auch nicht mehr weiterhelfen, sieht bei mir genau so aus und funktioniert.

                                  Allerdings sind bei mir unter dem "Alternativen Antragstellernamen" nur die Subdomains und nicht die Hauptdomain aufgeführt.

                                  Gibt es ggf. im Zertifikat unter "Allgemein" noch weitere Info's?

                                  Wurden die neuen Zertifikate auch vor dem Neustart in den ioBroker kopiert?

                                  Gruß, Ralf

                                  1 Reply Last reply Reply Quote 0
                                  • R
                                    rollerfreak2 last edited by

                                    > Gibt es ggf. im Zertifikat unter "Allgemein" noch weitere Info's?

                                    ! 17182_cert.png
                                    > Allerdings sind bei mir unter dem "Alternativen Antragstellernamen" nur die Subdomains und nicht die Hauptdomain aufgeführt.
                                    Ich kann es ja noch mal neu erzeugen, aber bei "Alternativen Antragstellernamen" hab ich eigentlich nur die Subdomains eingetragen nicht die Hauptdomain.
                                    > Wurden die neuen Zertifikate auch vor dem Neustart in den ioBroker kopiert?
                                    Nein, da ich den iobroker NICHT in einem Container laufen lasse sondern direkt in der Synology, kann auch direkt auf das Verzeichnis verlinken wo die "original" Zertifikate drin sind. Damit brauch ich überhaupt nichts mehr kopieren.

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post

                                    Support us

                                    ioBroker
                                    Community Adapters
                                    Donate
                                    FAQ Cloud / IOT
                                    HowTo: Node.js-Update
                                    HowTo: Backup/Restore
                                    Downloads
                                    BLOG

                                    531
                                    Online

                                    31.9k
                                    Users

                                    80.3k
                                    Topics

                                    1.3m
                                    Posts

                                    4
                                    22
                                    4382
                                    Loading More Posts
                                    • Oldest to Newest
                                    • Newest to Oldest
                                    • Most Votes
                                    Reply
                                    • Reply as topic
                                    Log in to reply
                                    Community
                                    Impressum | Datenschutz-Bestimmungen | Nutzungsbedingungen
                                    The ioBroker Community 2014-2023
                                    logo