synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУстановка, Загрузка и Настройка › Получение сертификата Let’s Encrypt

Получение сертификата Let’s Encrypt

jurisperitus · 26.01.2017

Добрый!

Уже несколько дней безрезультатно бьюсь над получением сертификата шифрования Let’s Encrypt. Схема подключения следующая: маршрутизатор (technicolor tc7200.d) в режиме роутер (переключить в мост невозможно) с настроенным DMZ на второй роутер (Linksys E4200 - WiFi, Ethernet, DHCP) к нему подключен Diskstation. На втором роутере проброброшен 80 порт на Diskstation. В A записи DNS домена указан "белый" IP. Настроена почта и установлен Web station. Брандмауэры уже даже выключил совсем. Результат всегда один:

http://s020.radikal.ru/i707/1701/52/f8ee62a0c5c0.jpg

Буду благодарен за любые мысли по этому поводу.

Siroc-co · 27.01.2017

Много слов, смысла ноль. Так у Вас восьмидесятый порт снаружи открыт? На сайт к себе войти можете? Также нужно открыть 443 порт.

jurisperitus · 27.01.2017
Много слов, смысла ноль. Так у Вас восьмидесятый порт снаружи открыт? На сайт к себе войти можете? Также нужно открыть 443 порт.

Порт открыт (брандмауэр выключен) - на сайт (заглушку web station) захожу.

polanat · 27.01.2017
Порт открыт

Sirocco спросил открыты ли оба порта (включая 443-й для https) ...

jurisperitus · 27.01.2017
Sirocco спросил открыты ли оба порта (включая 443-й для https) ...

http://s015.radikal.ru/i331/1702/74/2d28ca3ec420.png

Открыты же.

jurisperitus · 07.02.2017

Проблему все еще не решил. Есть вероятность, что не работает Let’s Encrypt?

polanat · 07.02.2017

Попробуйте получить через один маршрутизатор - затем верните второй ...

jurisperitus · 07.02.2017
Попробуйте получить через один маршрутизатор - затем верните второй ...

Похоже, что остается только этот вариант. :( А будет ли потом работать этот сертификат, когда верну все взад?

polanat · 07.02.2017
Похоже, что остается только этот вариант. :( А будет ли потом работать этот сертификат, когда верну все взад?

У Вас есть альтернативные сценарии? Если "Да" - то за чем дело стало? Лично я считаю неправильным держать дома двойную маршрутизацию (первое у-во должно быть мостом). Похоже, что Вы и сами это прекрасно понимаете ("переключить в мост невозможно"). Однако у кое-кого на этот счёт есть иная точка зрения, может чем-то и помогут ;)

Siroc-co · 13.02.2017

Странно. Всё работает. Работает сайт и по http и https. Есть домен, на нем сертификат от Let's Encrypt и он обновляется сам, уже несколько раз, обновился недавно.

Но стало нужно добавить поддомен. Никак этого сделать не получается, кроме как созданием нового сертификата с новыми настройками и включенными поддоменами.

Так вот, ошибка таже, типа закрыт порт 80, идите...

Но это явно касяк Synology. Для начала оно возвращает не корректную ошибку. Как решить проблему, пока не понятно.

 

jurisperitus · 15.02.2017
Но это явно касяк Synology.

Вот и я так думаю.

pasden · 29.05.2017

Всем доброй ночи!

Опишите процедуру автополучения сертификата от Let’s Encrypt на Synology, долбаюсь несколько дней уже с этой задачей... (руками через GUI сертификат получаю).

Siroc-co · 30.05.2017
Всем доброй ночи!

Опишите процедуру автополучения сертификата от Let’s Encrypt на Synology, долбаюсь несколько дней уже с этой задачей... (руками через GUI сертификат получаю).

Ну... Панель управления -> Безопасность -> Сертификат

1. "Добавить"

2. "Добавить новый сертификат." "Далее"

3. "Получить сертификат в Let’s Encrypt" Введите произвольное описание в графе "Описание". При необходимости поставьте галочку "Установить как сертификат по умолчанию". Жми "Далее".

4. Вводим имя домена, например vasya.com .Вводим электронную почту, обязательно принадлежащую этому домену (да, придётся поднять почтовый сервер), например [email protected] .В графе "Альтернативное название" вводим любые поддомены, например dsm.vasya.com;mail.vasya.com;audio.vasya.com;porno.vasya.com и так далее...

И жми "применить".

Ну не будем опять перечислять всё с нуля, что надо купить домен, правильно прописать DNSы для всех поддоменов и самого домена, что нужен реальный IP статик. Что провайдер не должен блокировать порты, что надо всё "по феншую" пробросить в роутере.., и т.д. Об этом тут написано и так много.

 

Если не получилось, то..

Тут или synology тупит, или Let’s Encrypt. Когда сам делал, уже больше года, то выкидывало ошибку. Плюнул и забил. Но через пару дней заметил, что сертификат сам прилепился. Да, Let’s Encrypt даёт сертификаты только на 3 месяца, а Synology сам их по истечению запрашивает, так происходит автопродление. Но на тот момент у меня вылетала ошибка про закрытые порты, и регистрация не удавалась. А потом каким-то чудом само всё сделалось.

Теперь дабавил поддоменов, хотел перерегистрировать их.., и опять не работает, уже месяца три.

p.s. Да вообще там чушь полная творится. У меня три домена. Один посадил на Let’s Encrypt. Но как- бы не доверяю я этим центрам... Поэтому оно только для сайта юзается и юзеров "не админов". Для админов есть другой домен, и там самодельный сертификат с самозаверением, его и для приложений юзаю. Так вот, через пару месяцев все приложения слетели по ошибке "не совпадает цифровой отпечаток, либо не туда ломитесь, либо вас взломали". Начал разбираться, и вдруг, с какого-то перепуга, на другой домен прилепился обновлённый сертификат Let’s Encrypt выпущенный для другого домена! А в настройках всё верно отображено. Ok. Удалил этот домен из списка. Создал снова. Залил собственный сертификат для этого домена обратно, всё подхватилось и заработало. Через три месяца, при очередном обновлении Let’s Encrypt, снова всё слетело.

В ТП писал... Но у меня с ними всё по одному сценарию: прикрепите файл с данными о системе. Я Ok. ответ - у Вас слишком много сторонних приложений, мы не можем ни за что отвечать... (читать как "отвали, достал уже")

pasden · 30.05.2017
Тут или synology тупит, или Let’s Encrypt. Когда сам делал, уже больше года, то выкидывало ошибку. Плюнул и забил. Но через пару дней заметил, что сертификат сам прилепился. Да, Let’s Encrypt даёт сертификаты только на 3 месяца, а Synology сам их по истечению запрашивает, так происходит автопродление. Но на тот момент у меня вылетала ошибка про закрытые порты, и регистрация не удавалась. А потом каким-то чудом само всё сделалось.

Теперь дабавил поддоменов, хотел перерегистрировать их.., и опять не работает, уже месяца три.

p.s. Да вообще там чушь полная творится. У меня три домена. Один посадил на Let’s Encrypt. Но как- бы не доверяю я этим центрам... Поэтому оно только для сайта юзается и юзеров "не админов". Для админов есть другой домен, и там самодельный сертификат с самозаверением, его и для приложений юзаю. Так вот, через пару месяцев все приложения слетели по ошибке "не совпадает цифровой отпечаток, либо не туда ломитесь, либо вас взломали". Начал разбираться, и вдруг, с какого-то перепуга, на другой домен прилепился обновлённый сертификат Let’s Encrypt выпущенный для другого домена! А в настройках всё верно отображено. Ok. Удалил этот домен из списка. Создал снова. Залил собственный сертификат для этого домена обратно, всё подхватилось и заработало. Через три месяца, при очередном обновлении Let’s Encrypt, снова всё слетело.

В ТП писал... Но у меня с ними всё по одному сценарию: прикрепите файл с данными о системе. Я Ok. ответ - у Вас слишком много сторонних приложений, мы не можем ни за что отвечать... (читать как "отвали, достал уже")

 

да уж.. какая-то неразбериха... получается сертификат от Let’s Encrypt продлевается автоматически в Synology? Я этого не могу понять, вроде нигде про это не написано..

Siroc-co · 30.05.2017
да уж.. какая-то неразбериха... получается сертификат от Let’s Encrypt продлевается автоматически в Synology? Я этого не могу понять, вроде нигде про это не написано..

Я сообщение выше обновил. Посмотрите. И да, продляется сертификат автоматом. Нигде этого нельзя явно указать или отменить. Само собой работает.

pasden · 30.05.2017

у меня сайта нет, но опубликованы PhotoStation и MailPlus для них генерю сертификат, ранее пользовался бесплатным от wosign на 2 года, но:

-"Sorry, due to some security consideration,

WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016."

 

сообразил такую инструкцию для себя, генерация сертификата от Let's Encrypt на Synology ds3615xs:

 

1. Пробросить порт 80 (так как nas за роутером).

 

2. Установить Пакет Git server (чтобы воспользоваться git-клиентом).

 

3. Клонировать к себе клиент ACME из репозитория github:

читать тут

sudo -i
git clone [url="https://github.com/kelunik/acme-client"]https://github.com/kelunik/acme-client[/url] && cd acme-client

 

4. Скачать и установить композитор:

читать тут

php -r "copy('https://getcomposer.org/installer','composer-setup.php');"; 
php composer-setup.php;
php -r "unlink('composer-setup.php');";
php composer.phar install --no-dev

 

5. Регистрирую учетную запись в letsencrypt:

php bin/acme setup --server letsencrypt --email [email protected]

 

6. Запрашиваю сертификат:

php bin/acme issue --domains domain.ru,www.domain.ru,imap.domain.ru,smtp.domain.ru,pop.domain.ru,mail.domain.
ru --path /var/lib/letsencrypt --server letsencrypt

7. Полученные сертификаты находятся тут:

/root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/

 

8. Копирую их в репозиторий сертификатов synology(/usr/syno/etc/certificate/_archive/zquwX5/, у всех директории zquwX5 разные):

cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/syno/etc/certificate/_archive/zquwX5/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/syno/etc/certificate/_archive/zquwX5/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/syno/etc/certificate/_archive/zquwX5/fullchain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/syno/etc/certificate/_archive/zquwX5/chain.pem

а также в system(/usr/syno/etc/certificate/system/default/)

cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/syno/etc/certificate/system/default/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/syno/etc/certificate/system/default/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/syno/etc/certificate/system/default/fullchain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/syno/etc/certificate/system/default/chain.pem

а также в:

постфикс:

cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/local/etc/certificate/MailPlus-Server/postfix/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/local/etc/certificate/MailPlus-Server/postfix/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/local/etc/certificate/MailPlus-Server/postfix/fullchain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/local/etc/certificate/MailPlus-Server/postfix/chain.pem

довекот:

/usr/local/etc/certificate/MailPlus-Server/dovecot/
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/fullchain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/chain.pem

 

9. Рестарт

reboot

 

10. Проверка даты истечения срока действия сертификата:

sudo -i
php acme-client/bin/acme check --name domain.ru --server letsencrypt

 

Возможно это не самый элегантный способ получения сертификата без GUI на Synology, но рабочий! Гуру, напишите свои замечания, спасибо!

Siroc-co · 30.05.2017
у меня сайта нет, но опубликованы PhotoStation и MailPlus для них генерю сертификат

Про сайт речи нет. доменное имя нужно. Не по IP же вы на PhotoStation и MailPlus ходите. А если по IP, то на что сертификат получаете, на IP ? :lol:

pasden · 30.05.2017
Про сайт речи нет. доменное имя нужно. Не по IP же вы на PhotoStation и MailPlus ходите. А если по IP, то на что сертификат получаете, на IP ? :lol:

Доменное имя конечно есть для него и генерю сертификат, выделенный IP тоже есть.

pasden · 30.05.2017

опираясь на свою же инструкцию, модернизировал часть кода, который отвечает за перевыпуск сертификата, файлы раскладываются по папкам, без перезагрузки сервера:

php /root/acme-client/bin/acme issue --domains domain.ru,www.domain.ru,imap.domain.ru,smtp.domain.ru,pop.domain.ru,mail.domain.
ru --path /var/lib/letsencrypt --server letsencrypt && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/syno/etc/certificate/_archive/zquwX5/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/syno/etc/certificate/_archive/zquwX5/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/syno/etc/certificate/_archive/zquwX5/chain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/syno/etc/certificate/_archive/zquwX5/fullchain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/syno/etc/certificate/system/default/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/syno/etc/certificate/system/default/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/syno/etc/certificate/system/default/chain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/syno/etc/certificate/system/default/fullchain.pem && \
rm /usr/local/etc/certificate/MailPlus-Server/postfix/* && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/local/etc/certificate/MailPlus-Server/postfix/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/local/etc/certificate/MailPlus-Server/postfix/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/local/etc/certificate/MailPlus-Server/postfix/chain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/local/etc/certificate/MailPlus-Server/postfix/fullchain.pem && \
cat /usr/local/etc/certificate/MailPlus-Server/postfix/privkey.pem >> /usr/local/etc/certificate/MailPlus-Server/postfix/privkey_fullchain.pem && \
echo -e "\n" >> /usr/local/etc/certificate/MailPlus-Server/postfix/privkey_fullchain.pem && \
cat /usr/local/etc/certificate/MailPlus-Server/postfix/fullchain.pem >> /usr/local/etc/certificate/MailPlus-Server/postfix/privkey_fullchain.pem && \
echo -e "\n" >> /usr/local/etc/certificate/MailPlus-Server/postfix/privkey_fullchain.pem && \
chown MailPlus-Server:MailPlus-Server /usr/local/etc/certificate/MailPlus-Server/postfix/* && \
chmod 400 /usr/local/etc/certificate/MailPlus-Server/postfix/* && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/cert.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/cert.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/key.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/privkey.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/chain.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/chain.pem && \
cp -f /root/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/domain.ru/fullchain.pem /usr/local/etc/certificate/MailPlus-Server/dovecot/fullchain.pem && \
/usr/syno/etc/rc.sysv/nginx.sh reload && \
/volume1/@appstore/MailPlus-Server/sbin/postfix reload && \
/volume1/@appstore/MailPlus-Server/sbin/dovecot reload

уточнение: каталог zquwX5 на разных устройствах Synology - разный.

в Syno добавил в "Планировщике задач" "Скрипт, заданный пользователем" и назначил время "Повторять раз в месяц", проверил выполнение, результат:

imap.domain.ru is now authorized.

domain.ru is now authorized.

smtp.domain.ru is now authorized.

pop.domain.ru is now authorized.

mail.domain.ru is now authorized.

www.domain.ru is now authorized.

 

Certificate is valid until 28.08.2017

Lion34 · 03.06.2017

Привет! Никто не сталкивался с такой ошибкой? http://prntscr.com/ffe93b

Lion34 · 03.06.2017
diemon · 19.09.2017

Несколько дней мучался.

Вот хорошая подробная статья:

https://stefandingemanse.nl/how-to-use-lets...n-synology-dsm/

 

Основные условия:

1. Открытые порты 443 и 80

2. Наличие почтового ящика из вашего домена

3. Наличие A-записи на DNS сервере хостинга на ваш внешний статический IP-адрес Synology

4. Наличие поднятного Web Station

 

Удачи всем! :rolleyes:

Шурави · 19.09.2017

Делал так же как в этой инструкции. Не дает получить сертифиткат :(

http://i12.pixs.ru/thumbs/8/6/4/neudalospo_9443316_27586864.jpg

sanrega · 19.09.2017

Хм... Только что безо всяких проблем получил сертификат от Let’s Encrypt, просто для проверки, мне он не нужен, у меня есть бесплатный от регистратора домена :P Почту указывал на @mail.ru, если вдруг это имеет значение.

 

diemon

1. Открытые порты 443 и 80

2. Наличие почтового ящика из вашего домена

3. Наличие A-записи на DNS сервере хостинга на ваш внешний статический IP-адрес Synology

4. Наличие поднятного Web Station

 

1. Есть

2. Нету. Мэйлрушная почта прекрасно прописалась.

3. Есть.

4. Нету.

Шурави · 19.09.2017
Хм... Только что безо всяких проблем получил сертификат от Let’s Encrypt, просто для проверки, мне он не нужен, у меня есть бесплатный от регистратора домена :P Почту указывал на @mail.ru, если вдруг это имеет значение.

 

diemon

1. Открытые порты 443 и 80

2. Наличие почтового ящика из вашего домена

3. Наличие A-записи на DNS сервере хостинга на ваш внешний статический IP-адрес Synology

4. Наличие поднятного Web Station

1. да

2. да

3. Непонял это как на адрес Synology?

4. Да, сайт на работает и почта тоже на NAS. DNS сервер тоже поднят на NAS

 

Сертификат удалось получить от startcomca.com

И еще вверху красный замочек, типа сертификат не может быть проверен. Но на NAS по https заходит.

Делал запрос на заверение сертификата от startcomca получил файлик в 1кб - entry.cgi что с ним делать не понятно.

Как сделать чтобы сайт можно было открывать через https не пойму?

Стояла опция порты 80/443 но на сайт можно зайти только по http Решил проставит галочки в http и https указав порты 80 и 443 но порты типа не правильные. В справке ничего не нашел на этот счет.

http://i12.pixs.ru/thumbs/3/4/0/httpsjpg_2433132_27587340.jpg

sanrega · 19.09.2017

3. Непонял это как на адрес Synology?

 

Если у вас сайт открывается по доменному имени, то всё уже настроено. Имеется ввиду прописать у регистратора ваш IP на который будет ссылаться домен.

У вас NAS подключен к роутеру с включенным NAT, IP белый, я правильно понимаю? Если да, то в роутере пробросьте 443 порт на внутренний IP сетевого хранилища. 80 порт уже должен быть проброшен, если сайт открывается по домену из внешней сети. Оставьте галочки на спарке 80/443 в настройках витруального хоста. Что делать с entry.cgi - хз (хто знает).

Шурави · 19.09.2017
3. Непонял это как на адрес Synology?

 

Если у вас сайт открывается по доменному имени, то всё уже настроено. Имеется ввиду прописать у регистратора ваш IP на который будет ссылаться домен.

У вас NAS подключен к роутеру с включенным NAT, IP белый, я правильно понимаю? Если да, то в роутере пробросьте 443 порт на внутренний IP сетевого хранилища. 80 порт уже должен быть проброшен, если сайт открывается по домену из внешней сети. Оставьте галочки на спарке 80/443 в настройках витруального хоста. Что делать с entry.cgi - хз (хто знает).

Спасибо.

Оказалось что 443 порт не проброшен был.

Сайт стал открываться по https но при добавлении исключения. так как серфтификат не проверен.

Написано типа - сертификат не может быть проверен, так как выдал кто то незвестный :)

http://i12.pixs.ru/thumbs/7/0/1/neproveren_1500383_27587701.jpg

Соответсвенно замок с желтым предупреждаеющим знаком.

Блин, как решить эту проблему.

У Let’s Encrypt не могут получить сертификат, ругается типа домен не правильный. Если добавлю www то ругается что порт 80 не открыт.

Головная боль.

sanrega · 20.09.2017

Только что ещё раз попробовал получить сертификат от Let’s Encrypt, последовательность действий заскринил:

 

http://images.vfl.ru/ii/1505886452/a3755ac8/18666436.png

 

http://images.vfl.ru/ii/1505886453/2047538e/18666437.png

 

И результат:

 

http://images.vfl.ru/ii/1505886454/96d665e4/18666438.png

 

Siroc-co · 20.09.2017
Основные условия:

1. Открытые порты 443 и 80

2. Наличие почтового ящика из вашего домена

3. Наличие A-записи на DNS сервере хостинга на ваш внешний статический IP-адрес Synology

4. Наличие поднятного Web Station

 

Удачи всем! :rolleyes:

Это не основные, а обязательные условия. Там дофига багов у Synology. К примеру если домен siski.com, и вы пишите в графе siski.com;mega.siski.com;super.siski.com:mail.siski.com то оно не прокатит и будет выкидывать ошибку, типа порт не открыт. А вот если напишите www.siski.com:siski.com... и далее остальное, то пропустит. И там есть не описанные ограничения, не больше пяти, или даже четырёх имён поддоменов.

Шурави · 20.09.2017

Наконец то удалось получить сертификат от Let’s Encrypt

Нужно было писать в строке Имя домена и Альтернативное название темы - www.мой сайт

Без www не прокатывало почему то. :(

Осталось как то сделать чтобы этот сертификат работал на 100% то есть чтобы не надо было в браузер вносить исключение. Браузер ругается что сертификат выдан не понятно кому.

Как заверить сертификат, чтобы был зеленый замок в браузере?

sanrega · 20.09.2017

Вы по доменному имени через https сайт открываете или через внутренний IP НАСа когда браузер ругается? А вообще, странно - я одно время юзал сертификаты от LE, браузеры не ругались.

Шурави · 20.09.2017
Вы по доменному имени через https сайт открываете или через внутренний IP НАСа когда браузер ругается? А вообще, странно - я одно время юзал сертификаты от LE, браузеры не ругались.

Браузер ругается и на https://192.168.1.20:53803/ Замок красный с желтым кружком с восклицательным знаком - типа сертификат для этого сайта не может быть проверен.

и на https://мой сайт.

В обоих случаях пришлось добавить исключение в правила.

В мозилле на всех страницах сайта, замок с желтым предупреждающим треугольником. А когда кликаю на картинку расположенную на сайте, чтобы она открылась в полном размере, тогда замок зеленый.

:wacko:

Let’s Encrypt что нужно время просканировать сайт? :) или сертификат действует на некоторые типы (расширения) файлов?

sanrega · 20.09.2017
Шурави, отправьте в личку адрес сайта.
Siroc-co · 21.09.2017
Браузер ругается и на https://192.168.1.20:53803/ Замок красный с желтым кружком с восклицательным знаком - типа сертификат для этого сайта не может быть проверен.

и на https://мой сайт.

В обоих случаях пришлось добавить исключение в правила.

В мозилле на всех страницах сайта, замок с желтым предупреждающим треугольником. А когда кликаю на картинку расположенную на сайте, чтобы она открылась в полном размере, тогда замок зеленый.

:wacko:

Let’s Encrypt что нужно время просканировать сайт? :) или сертификат действует на некоторые типы (расширения) файлов?

Будьте внимательны. Вы на что получали сертификат? На https://www.мойдомен.ru? Ну а так с какого Вы хотите чтоб у Вас работал https://мойдомен.ru?

Шурави · 22.09.2017
Будьте внимательны. Вы на что получали сертификат? На https://www.мойдомен.ru? Ну а так с какого Вы хотите чтоб у Вас работал https://мойдомен.ru?

нет :rolleyes: без https

вот так с www добавлял данные тогда сертификат получл:

http://i12.pixs.ru/thumbs/7/1/5/tempjpg_4222607_27613715.jpg

 

если без www тогда вылезала ошибка - имя домена не корректно, проверьте...

http://i12.pixs.ru/thumbs/7/5/7/tempjpg_4883786_27613757.jpg

Siroc-co · 22.09.2017
нет :rolleyes: без https

*смайл рукалицо*. Понимаете, если Вы оформляете сертификат, то оно как бы и само разумеется, что это будет https, и об этом не надо нигде кричать\писать\заявлять или как-либо оговаривать дополнительно этот момент. Вы хотите идти к сайту www.sisi.porn так, чтоб никто не знал кого именно Вы на этом сайте предпочитаете больше, поэтому Вы оформляете для него сертификат, именно для www.sisi.porn. В этом случае сертификат будет работать ТОЛЬКО для адреса https://www.sisi.porn . Не для https://sisi.porn, не для https://mega.sisi.porn. Чувствуете разницу? Я именно об этом. Для какого домена и какого уровня оформили, там и работает, и ни шагу в сторону. Это о данном конкретном случае. Поэтому и говорю, внимательно проверьте что Вы там оформили.

 

если без www тогда вылезала ошибка - имя домена не корректно, проверьте...

Я это давно проверил, и давно об этом написал: http://www.synology.forum/index.php?sho...ost&p=70966

Шурави · 23.09.2017
*смайл рукалицо*. Понимаете, если Вы оформляете сертификат, то оно как бы и само разумеется, что это будет https, и об этом не надо нигде кричать\писать\заявлять или как-либо оговаривать дополнительно этот момент. Вы хотите идти к сайту www.sisi.porn так, чтоб никто не знал кого именно Вы на этом сайте предпочитаете больше, поэтому Вы оформляете для него сертификат, именно для www.sisi.porn. В этом случае сертификат будет работать ТОЛЬКО для адреса https://www.sisi.porn . Не для https://sisi.porn, не для https://mega.sisi.porn. Чувствуете разницу? Я именно об этом. Для какого домена и какого уровня оформили, там и работает, и ни шагу в сторону. Это о данном конкретном случае. Поэтому и говорю, внимательно проверьте что Вы там оформили.

 

Я это давно проверил, и давно об этом написал: http://www.synology.forum/index.php?sho...ost&p=70966

Ну да не внимательно прочитал о получении сертификта с www от Let’s Encrypt

Сбило с толку что sanrega получил сертификат для сайта не вводя www

 

Получил сертификат для www.site.ru

Сайт доступен по адресу https://www.site.ru по адресу https://site.ru не доступен

Вообще без www сайт перестал быть доступен, хоть с защищенным, хоть без https://site.ru и http://site.ru

 

Второй сертификат получен от StartCom для site.ru (без www)

Если в настройках сертификата указать:

службы - www.site.ru сертификат - www.site.ru (от Let’s Encrypt)

службы - site.ru сертификат - www.site.ru (от Let’s Encrypt)

то

Сайт доступен по адресу https://www.site.ru а адресу https://site.ru не доступен

 

службы - www.site.ru сертификат - www.site.ru (от Let’s Encrypt)

службы - site.ru сертификат - site.ru (от StartCom)

то это ничего не меняет и также сайт доступен по адресу https://www.site.ru по адресу https://site.ru не доступен

Шурави · 18.01.2019

Сегодня получил email от Let's Encrypt

 

Hello,

 

**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**

 

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:

 

https://community.letsencrypt.org/c/help

 

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

 

https://community.letsencrypt.org/t/februar...n-support/74209

 

Thank you,

Let's Encrypt Staff

tsvetnoff · 20.02.2019
Сегодня получил email от Let's Encrypt

 

Hello,

 

**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**

 

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:

 

https://community.letsencrypt.org/c/help

 

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

 

https://community.letsencrypt.org/t/februar...n-support/74209

 

Thank you,

Let's Encrypt Staff

 

Мне тоже приходят. Что делать-то? :( Я так понял, что метод, которым DiskStation получает сертификат прикрыт на уровне Letsencrypt.org. Или я что-то путаю?

Шурави · 21.02.2019
Мне тоже приходят. Что делать-то? :( Я так понял, что метод, которым DiskStation получает сертификат прикрыт на уровне Letsencrypt.org. Или я что-то путаю?

вот и я не знаю что делать.

у меня в строке url сайта замок черного цвета с предупреждающим желтым треугольником хоть и получен сертификат автоматом от Letsencrypt через Синолоджи. Должен быть замок зеленого цвета.

lliax · 26.01.2020

Для справки.

Сделал сертификат на свой домент на let's encrypt штатным инструментарием NAS.

При всем отмечу что статический ip не искользую. Сайт на хостинге. В rucenter использую DDNS. Сертификат выпустил на домен третьего уровня, чисто для доступа из глобалки до NAS.

Прописал почту с яндекса. www не вводил. Важно лишь было открыть порты 80 и 443. При этом 443 порт не удалось открыть, потому что его занял роутер. Отключать на нем не стал.

webstation не устанавливал. Но службы его в каком то объеме работают в системе, потому что было сообщение о его перезапуске.

 

Что касается моментов по тому писать ли www, я полагаю это зависит от того как у вас в DNS настроены записи для домена. Я указывал отдельной строкой редирект www.domen.ru на domen.ru.

 

Не нравится мне теперь только что до открытия портов 80 и 443 при вводе домена третьего уровня я сразу попадал на порт 5000/5001, а теперь надо вносить их вручную. Знаете как это поправить можно?

 

Сертификат действует 3 месяца. Далее видимо вручную надо будет обновлять. Либо использовать скрипты умельцев. Сам я, к сожалению своему. не умею кодить.

BagutoSI · 24.05.2020

Тоже были вопросы по автопродлению сертификата, пока не прочитал раздел помощи:

Примечание.

* Сертификаты в Let's Encrypt можно получить только для ограниченного количества учетных записей электронной почты. Если это ограничение будет превышено, используйте ранее зарегистрированную учетную запись электронной почты, чтобы получить еще сертификаты.

* Можно зарегистрироваться только на получение ограниченного количества сертификатов на один домен в Let's Encrypt. Если это ограничение будет превышено, введите имя текущего домена в качестве другого имени субъекта и используйте имя другого домена для запроса сертификата.

* Let's Encrypt осуществит проверку домена до выпуска сертификатов. Убедитесь, что на вашем устройстве Synology NAS и маршрутизаторе открыт порт 80 для выполнения проверки домена через Интернет. Все прочие каналы связи с Let's Encrypt используют протокол HTTPS, что гарантирует безопасность устройства Synology NAS.

* Сертификаты, выпущенные Let's Encrypt, действуют в течение 90 дней. Перед истечением срока действия сертификата DSM автоматически продлит действие сертификата после успешной проверки домена. Убедитесь, что на вашем устройстве Synology NAS и маршрутизаторе открыт порт 80 для продления действия сертификата.

DSM автоматически продлит его в общем.

kucher · 25.05.2020

Я вручную получал тут, на прошлой неделе: https://www.sslforfree.com/

Там предлагается 3 способа. Может кому пригодится. Выбор языка инструкции справа вверху.

Alexxxander · 11.02.2022
В 25.05.2020 в 08:08, kucher сказал:

Я вручную получал тут

Я там же себе на белый статич. IP выпускаю.

 

 

Буфер обмена01.jpg