Let's encrypt の更新ができなくなりました。

NOCCHI · 2025 年 7 月 8 日午前 10:27

ファームウェア 4.3.4.2814 Build20240618
TS-469PROを使っておりますが、2025年4月17日に証明書を更新しているようで「もうすぐ期限が」と出ていたので手動更新しましたが更新ができなくなってしまいました。
2025年4月17日前に更新した時は問題なくできていたのですが、今になってできていないです。

QNAPで外部公開のサーバを4台ほど持っていますがそのうち2台（TS-469PRO）が更新できていないです。
更新できている他の2台はTS-473Aなので469PROより新しいです。
ちなみに他の2台の473AのファームウェアはQuTS hero h5.2.5.3161です。

ファームウェアの関係でLet’s encryptが正常に更新してくれなくなってしまったんでしょうか？

もしファームのせいでそうなったのであればQNAPで販売されているSSL証明書の購入を考えております。
この場合、ファームウェアがこのバージョンでもQNAPの証明書を使うことができるのでしょうか？

長文恐れ入ります。
よろしくお願いいたします。

HanzSung · 2025 年 7 月 9 日午前 3:33

こんにちは

4.3.4 はちょっと古めのバージョンなので、一部の機能がだんだん外部サービスからの仕様変更よって使えなくなってくるかもしれません

自分の古い機種では、今のところちょっとコマンド操作が必要けど、下の方法で Let’s Encrypt SSL 証明書を更新してます。

ネットワークの設定としては、ポート 80 を外部からアクセスできるようにする必要がある

あのページからの手順をコピペでそのまま進めれば、古い NAS でも Let’s Encrypt の証明書を使い続けられると思う

もし手順で分かりにくいところがあったら、どこが分かりにくいかコメントしていただければ一緒に確認しよう

NOCCHI · 2025 年 7 月 9 日午後 12:09

Dear HanzSung

貴重なご意見ありがとうございました！
今週出張のためできませんが月曜日にでも試したいと思います。

ありがとうございました。
進捗はまた必ずご報告いたします。

よろしくお願いいたします。

NOCCHI · 2025 年 7 月 11 日午前 5:47

お世話になります。
今まで気がつかなかったんですが、ポート80番が空いていないようです。
でもLet’s EncryptでTS-473Aは更新できているようです。
TS-469Proはポートが空いておらず更新ができていません。

ちなみにですが、この今までこの状態で更新ができていたのですが、いつの頃からかできなくなってしまったようです。

ちなみにこの環境ですがプライベートIPアドレスである192.168.1.100（仮にQNAPのプライベートIPとします）はグローバルIPアドレスである202.41.xxx.xxxとNATになっています。
つまりポートは解放しなくていい認識でした。

ポートは8081でWebサーバにつながるようですがこれではだめなんでしょうか？
おそらくTS-469Proはそれで躓いている気がします。
ただしTS-473Aは80番ポートが空いていなくてもSSL証明書は更新できているようです。

以上から、多分80番ポート解放が必須であるのであれば HanzSung様からご紹介いただいた方法を試すことができないです。
誠に申し訳ありませんでした。

先の質問に戻ってしまいますがQNAPの有料のSSL証明書はこの環境でも使えるのでしょうか？

HanzSung · 2025 年 7 月 11 日午前 10:20

こんにちは、

NAS は通常ポート 80 を使用していますが、あのスクリプトを実行するときは、NAS の通常の HTTP サービス（ポート 80）を一時的に停止し、認証専用の簡易 HTTP サーバーを一時的に立ち上げる仕組みになっているので、ポート 80 が普段使用中であっても心配はいりませんが、更新するときはルーターの設定で一時的に 202.41… のポート 80 を 192.168.1.100 に転送する必要があります。

もう一つの方法として、SSL 証明書を手動でインポートすることも可能です。

QNAPの有料のSSL証明書

有料のSSL証明も上記の方法でインポートできるはずが、
4.3には自動できるかなちょっとわからないです…

NOCCHI · 2025 年 7 月 25 日午後 1:50

お世話になります。
やっと更新ができました。

まずはHanzSungさんから教えていただいた証明書を別のところで買ってインストールした方法です。
これは独自ドメイン（myqnapcloud.comとは全く違うドメイン）を使っているのでFUJI SSLで証明書を買ってそれをインポートするやり方です。
認証はDNS認証しか方法がなかったのでそちらでやってみました。
こちらはポートの解放など必要なくいけました。

もう一つはmyqnapcloud.comのドメインを取っていた方も期限がたまたま切れてしまったので、こちらも挑戦しました。
こちらはQNAPの管理画面から購入できる3年と2ヶ月の期限の証明書です。
＄44くらいですのでだいぶ安いです。
こちらはやはり80番と443番のポートが空いていないと無理でした。
NAT接続なのでポートの解放は必要ないと思っていましたがダメなんですね。

YAMAHAのRTX-1210を使っているのですがNATの設定からNAT/IP Masqueradeの設定に変更して試みたところうまくいきました。
ただNAT/IP Masqueradeの設定をするとNATでWAN側に固定IPで公開していたのに意図しないIPアドレスに変換されてしまい大変な思いをしましたが、早くこのことに気がついたので問題なく処理できました。

そんな感じで古いバージョンのファームウェアでもSSL証明書をインストールできましたのでご報告でした。

HanzSungさんいろいろありがとうございました！
またこの情報が誰かのお役に立てれば幸いです。