Duckdns Zertifikate Speicherort

kellyjelly · 15. Oktober 2023 um 20:00

Hallo,
seit heute morgen geht mein remote Zugang mit dem Duckdns Addon nicht mehr.
Was mich stuzig macht ist, dass die beiden Dateien in dem Ordner /ssl/ von Juli sind, aber natürlich heute abgelaufen sind. Im DuckDNS addon, sehe ich in den Logs, dass die Datei angeblich noch guetig ist bis Januar… Ist sie aber nicht, zumindest nicht die in /ssl/. … Im Duckdns Addon habe ich in den Einstellungen natuerlich den Pfad richtig angeben…

# INFO: Using main config file /data/workdir/config
+ Account already registered!
[21:35:13] INFO: OK
xx.8x8.xx.8
NOCHANGE
[21:35:14] INFO: Renew certificate for domains: xxxxxxxxxxxxxx.duckdns.org and aliases: 
# INFO: Using main config file /data/workdir/config
Processing xxxxxxxxxxxxxxx.duckdns.org
 + Checking domain name(s) of existing cert... unchanged.
 + Checking expire date of existing cert...
 + Valid till Jan 13 18:17:25 2024 GMT (Longer than 30 days). Skipping renew!
[21:40:19] INFO: OK

Die Config vom dummen DuckDNS.

domains:
  - xxxxxxxxxxxxxxxxxxxx.duckdns.org
token: xxxxxxxx-77cd-xxxxxx-8357-4xxxxxxxxxxx9
aliases: []
lets_encrypt:
  accept_terms: true
  algo: secp384r1
  certfile: /ssl/fullchain.pem
  keyfile: /ssl/privkey.pem
seconds: 300

Was mach ich den falsch?
Ipban.yaml ist leer.
In der allgemeinen configuration.yaml http Section ist:

http:
  base_url: https://xxxxxxxxxxxxxx.duckdns.org:8123
  ssl_certificate: /ssl/fullchain.pem
  ssl_key: /ssl/privkey.pem
  ip_ban_enabled: true
  login_attempts_threshold: 5

Hier noch der Ordnerinhalt von /ssl/
Jemand ne schlaue Idee?
Danke!

Die fullchain.pem habe ich runtergeladen und analysiert Certificate Checker - Verify and Decode Intermediate Certificates | KeyCDN Tools , ist abgelaufen!

metallmanu · 16. Oktober 2023 um 08:06

also bei mir funktioniert es ohne das /ssl/ und trotzdem sind die Dateien im angegebenen Ordner

http:
  base_url: https://xxxxxxxxxxxxxx.duckdns.org:8123
  ssl_certificate: fullchain.pem
  ssl_key: privkey.pem
  ip_ban_enabled: true
  login_attempts_threshold: 5

kellyjelly · 16. Oktober 2023 um 08:59

Wenn ich es ohne die Pfadangabe mache, findet er kein Zertifikat und Key…

http:
  base_url: https://gruntpartystle.duckdns.org:8123
  ssl_certificate: fullchain.pem
  ssl_key: privkey.pem
#  use_x_forwarded_for: true
#  trusted_proxies:
#    - 172.30.33.0/24
  ip_ban_enabled: true
  login_attempts_threshold: 5

Deswegen meine Frage wo DuckDNS denn die “aktualisierten” Zertifikate hinschreibt… Denn definitiv nicht in /ssl/ oder in die Datei oder woauchimmer der relative Pfad des Containers ist. Wie kopiert der Container eigentlich das neue Zertifikat aus seinem Container raus in das “Host” System… Denn hier ist glaube ich irgendwo der Fehler…

Kann jemand bestätigen, dass ihr auch folgende Meldung habt im Log von DuckDNS:

# INFO: Using main config file /data/workdir/config

Den Ordner finde ich nicht im Dateisystem, da es sich wohl um ein Ordne rim Container handelt… Wie komme ich da rein?

metallmanu · 31. Oktober 2023 um 07:11

Sehe bei mir im Log nur:
NOCHANGE
[06:12:41] INFO: OK
IPAdresse

kellyjelly · 31. Oktober 2023 um 07:27

Ja, die Meldung kommt alle 5 Minuten. Ist ja auch zu erwarten, die IP hat sich nicht veraendert, deswegen kein neues Zertifikat. Wenn das Zertifikat dann auch noch gueltig ist (lange genug), passiert nix.

Mein Problem ist aber halt, dass das Zertifikat welches vom System benutzt wird

ssl_certificate: /ssl/fullchain.pem
ssl_key: /ssl/privkey.pem

alt sind. Die werden nicht aktualisiert. Obwohl das Addon sagt, dass es neue Zertifikate generiert hat (zB nachdem ich den DuckDNS token geaendert habe), die Zertifikate/Keys werden nicht aus dem Addon Container (DuckDNS laeuft ja als Addon was bei HAos ja im Prinzip ein Container ist) auf das Host OS nach HAos kopiert. Ersichtlich daran, dass

ssl_certificate: /ssl/fullchain.pem
ssl_key: /ssl/privkey.pem

komplett veraltet sind (siehe Datum Datei).

Selbst wenn ich die Location zum kopieren aendere nach subfodler /test/,

ssl_certificate: /ssl/test/fullchain.pem
ssl_key: /ssl/test/privkey.pem

werden keine neuen Zertifikate reinkopiert, selbst wenn der Ordner per Hand angelegt wird.

metallmanu · 31. Oktober 2023 um 10:02

Was hast du im DuckDNS Addon unter Konfiguration stehen bei Letsencrypt?
Bei mir steht da folgendes:

accept_terms: true
algo: secp384r1
certfile: fullchain.pem
keyfile: privkey.pem

Edit: hast du ja oben schon dargestellt. Also ich habe sowohl im Addon als auch in der Configuration.yaml kein /ssl/ stehen und damit funktioniert es. Trotzdem sind die Zertifikate dann im SSL Ordner

kellyjelly · 31. Oktober 2023 um 13:33

Egal was ich ich bei der DuckDNS config eintrage, es aendert nichts.
Deswegen wuerde ich ja amliebsten per Hand das aktuelle Zertifikat aus dem Container nach HAos kopieren. Alle drei Monate, sollte ein Problem sein. Aber dazu muss ich auch erst mal wissen, wie ich denn in den Container reinkomme und dann ne Datei rauskopiere?

// Gerade rausgefunden, dass man wenn man sich mit SSH einloggt mit dem SSH-Addon, nicht im Core landet, sondern in HAos. HAos ist aber auch nur ein Container neben den anderen (Addon-Containern). Ich muss in Core, das geht wohl ueber port 22222 mit ner speziellen Datei und USB Stick nach nem reboot. Alter Falter…

Debugging the Home Assistant Operating System | Home Assistant Developer Docs (home-assistant.io)

phettsack · 1. November 2023 um 09:29

Es gibt auch ein Addon dafür:

Da spart man sich das Gefummel mit dem Stick: