[gelöst] Errors nach Perfect Server Automated ISPConfig 3 Installation on Debian

[etron770]

Bullseye Grundinstallation danach:

wget -O - https://get.ispconfig.org | sh -s -- --use-ftp-ports=40110-40210 --unattended-upgrades --lang=de --no-dns --no-ntp --monit --ssh-harden --interactive --monit-alert-email=mail@mymail.de --ssh-port=2320 --no-quota

Ispconfig mit Multiserver setup

Domain mit IspConfig und Letsencrypt erstellt

Fehlermeldung Konsole (php 7.4):

chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/clients/client1/web931
chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/clients/client1/web931
chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/clients/client1/web931
chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/php-fcgi-scripts/web931/.php-fcgi-starter_web935
chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/clients/client1/web931
chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/clients/client1/web931
chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/php-fcgi-scripts/web931/.php-fcgi-starter_web935
finished server.php.

Fehlermeldung Browser

Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

was mich wundert: ich habe den Server neu aufgesetzt und vorher auch schon den SSL Error bekommen
die chattr Fehler habe ich auch auf anderen IspConfig Servern ...

 

[Till]

Die chattr Fehler liegen an Deinem Server. Du verwendest vermutlich LXC oder eine andere nicht-Vollvirtualisierung und die kann halt kein chattr, oder aber Du verwendest ein Filesystem dass es nicht unterstützt. das ist erstmal kein problem, außer dass es halt unsicherer ist.

Zur Browser Fehlermelung, Du versuchest da vermutlich per https auf einen http server zuzugreifen. Wenn die GUI kein SSL hat, dann muss let's encrypt als auch die Erstellung von einem selbstsignierten SSL cert bei Dir fehlgeschlagen sein. Stell sicher dass es den Hostnamen im DNS gibt, dass man auf den Hostnamen mit http (port 80) von au0en zugreifen kann, dann ruf auf:

ispconfig_update.sh --force

und lass während des Updates das SSL cert neu erzeugen.

 

[etron770]

Die chattr Fehler liegen an Deinem Server. Du verwendest vermutlich LXC

Ja LXC Container

 

[etron770]

Zur Browser Fehlermelung, Du versuchest da vermutlich per https auf einen http server zuzugreifen.

? die automatisierte "Automated ISPConfig 3 Installation on Debian" aktiviert kein https?
Ich denke doch ...

Per https://xxx.yy.zz.ww komme ich auf die ISPConfig default page

Die DNS Einträge und der Reverse DNS Eintrag stimmen. URL Pings landen auch auf dem richtigen Server

​

 

[etron770]

ispconfig_update.sh --force

und lass während des Updates das SSL cert neu erzeugen.

Updating ISPConfig
Certificate exists. Not creating a new one.

 

[etron770]

/root/.acme.sh/acme.sh --cron --force
legt die Zertifikate so an:

[Mi 11. Okt 08:58:16 UTC 2023] Your cert is in: /root/.acme.sh/mydomain.de/mydomain.de.cer
[Mi 11. Okt 08:58:16 UTC 2023] Your cert key is in: /root/.acme.sh/mydomain.de/mydomain.de.key
[Mi 11. Okt 08:58:16 UTC 2023] The intermediate CA cert is in: /root/.acme.sh/mydomain.de/ca.cer
[Mi 11. Okt 08:58:16 UTC 2023] And the full chain certs is there: /root/.acme.sh/mydomain.de/fullchain.cer
[Mi 11. Okt 08:58:16 UTC 2023] Your pre-generated next key for future cert key change is in: /root/.acme.sh/mydomain.de/mydomain.de.key.next
[Mi 11. Okt 08:58:16 UTC 2023] Installing key to: /var/www/clients/client1/web936/ssl/mydomain.de-le.key
[Mi 11. Okt 08:58:16 UTC 2023] Installing full chain to: /var/www/clients/client1/web936/ssl/mydomain.de-le.crt
[Mi 11. Okt 08:58:16 UTC 2023] Run reload cmd: systemctl force-reload apache2.service
[Mi 11. Okt 08:58:16 UTC 2023] Reload success
[Mi 11. Okt 08:58:16 UTC 2023] ===End cron===

 

[Till]

? die automatisierte "Automated ISPConfig 3 Installation on Debian" aktiviert kein https?
Ich denke doch ...

Doch, das versucht es. Aber wenn was mit dem DNS setup oder ähnliches nicht stimmt, dann kann es ain dass LE kein cert erstellt und falls dann auch das selbsterstellte cert wegen falscher Angaben nicht erstellt werden kann, hast Du halt garkein cert.

Vermutlich habe ich Dich oben falsch versanden, Du meinst mit der Fehlermeldung nicht ISPConfig, sondern eine website? Ich hatte es auf ISPConfig bezogen da Du etwas über die Installation geschrieben hast, die ja aber nichts mit dem website SSL zu tun hat.

Also wenn es um eine website geht, dann hast Du ein Problem mit http vs. https, hatte ich oben ja bereits erläutert. Dann musst Du schauen ob das SSL ecrt für die Website ausgestellt wurde und ob in der vhost Datei der Abschnitt für SSL drin ist, auch ob Du ssl haken in website gsesetzt hast. Siehe Let's Encrypt Fehler FAQ thread für eine Checkliste.

 

[etron770]

Ich habe keine Ahnung wo das hakt es ist nichts auf dem Server ich kann ihn auch nochmal neu erstellen ...
Bei einem neu aufsetzten Server hat bisher alles funktoniert.
nachdem auf dem alten Server diese Domains den selben Fehler hatten, könnte es doch ein DNS Problem sein nur ist mir nicht klar wo




Nur noch zur sicherheit:
Die Zertifikate sind vorhanden, acme erstellt sie auch neu - also stimmen DNS Records

<Directory /var/www/mydomain.de>
                AllowOverride None
                                Require all denied
                </Directory>

<VirtualHost xx.yy.zz.57:80>


------------    gekürzt



</VirtualHost>


<VirtualHost xx.yy.zz.57:443>

---- gekürzt


  <IfModule mod_ssl.c>
                SSLEngine on
                SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
                # SSLCipherSuite         ..... gelkürzt
                SSLHonorCipherOrder     on
                # <IfModule mod_headers.c>
                # Header always add Strict-Transport-Security "max-age=15768000"
                # </IfModule>
                SSLCertificateFile /var/www/clients/client1/web936/ssl/mydomain.de-le.crt
                SSLCertificateKeyFile /var/www/clients/client1/web936/ssl/mydomain.de-le.key
                                  SSLUseStapling on
                  SSLStaplingResponderTimeout 5
                  SSLStaplingReturnResponderErrors off
                      </IfModule>

                <Directory /var/www/mydomain.de/web>
                                # Clear PHP settings of this website
                                <FilesMatch ".+\.ph(p[345]?|t|tml)$">
                                                SetHandler None
                                </FilesMatch>
                                Options +SymlinksIfOwnerMatch
                                AllowOverride All
                                                                Require all granted
                                                </Directory>
                <Directory /var/www/clients/client1/web936/web>
                                # Clear PHP settings of this website
                                <FilesMatch ".+\.ph(p[345]?|t|tml)$">
                                                SetHandler None
                                </FilesMatch>
                                Options +SymlinksIfOwnerMatch
                                AllowOverride All
                                                                Require all granted

 

[etron770]

Gegentest DNS Problem:
Ich ändere die IP im DNS Record einer funktionierenden Seite aud den neuen Serve.
Lege mit IsPpconfig die Webseite an und es kommt Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Also Server Problem.
Ich lösche ihn nochmal starte das ISP-config Script und dann haben wir einen aussageräftigen Zustand

 

[etron770]

Server ist am Master eingetragen rufe ich https://sudomain.myserver.de auf kommt Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG
bei http://sudomain.myserver.de kommt die default Apache Seite

• Server mit Proxmox debian-11-standard_11.6-1_amd64.tar.zst erstellt
• Server mit

wget -O - https://get.ispconfig.org | sh -s -- --use-ftp-ports=40110-40210 --unattended-upgrades --lang=de --no-dns --no-ntp --monit --ssh-harden --interactive --monit-alert-email=mail@mymail.de --ssh-port=2320 --no-quota

neu aufgesetzt

• /root/.ssh/authorized_keys und /etc/ssh/sshd_config angepasst
• keine weiteren Änderungen durchgeführt

Do you want to create SSL certs for your server? (y,n) [y]:

Checking / creating certificate for sudomain.myserver.de
Using certificate path /etc/letsencrypt/live/sudomain.myserver.de
Using apache for certificate validation
acme.sh is installed, overriding certificate path to use /root/.acme.sh/sudomain.myserver.de
Symlink ISPConfig SSL certs to Postfix? (y,n) [y]:

Symlink ISPConfig SSL certs to Pure-FTPd? Creating dhparam file may take some time. (y,n) [y]:

Configuring Apps vhost
chattr: Die Operation ist nicht erlaubt while setting flags on /var/www/php-fcgi-scripts/apps/.php-fcgi-starter
Configuring DBServer
Installing ISPConfig crontab
no crontab for getmail
Detect IP addresses
Restarting services ...
Installation completed.
[INFO] Adding PHP version(s) to ISPConfig.
[INFO] Checking all services are running.
[INFO] mysql: OK
[INFO] clamav-daemon: FAILED
[WARN] clamav-daemon seems not to be running! (/lib/os/class.ISPConfigDebianOS.inc.php:2247)
[INFO] postfix: OK
[INFO] bind9: OK
[INFO] pureftpd: OK
[INFO] apache2: OK
[INFO] rspamd: OK
[INFO] redis-server: OK
[INFO] dovecot: OK
[INFO] monit: OK
[INFO] Installation ready.

 

[Till]

Server ist am Master eingetragen rufe ich https://sudomain.myserver.de auf kommt Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG
bei http://sudomain.myserver.de kommt die default Apache Seite

Ist das der Server Hostname?

 

[etron770]

Ist das der Server Hostname?

ja der Server Hostname ist subdomain.mydomain.de
Das ist bei allen meinen Servern so
mail.mydomain.de
web.mydomain.de
usw.

 

[Till]

Ok, das erklärt alles. Wäre gut gewesen wenn Du das gleich erwähnt hättest dass es nicht um eine Website oder ISPconfig vhost geht, denn hier legt dann kein Fehler vor. Der Server Hostname hat eine besondere Bedeutung im Apache, daher wählt man ihn so dass man ihn nicht als website anlegt, da Apache ihn sonst auf den default vhost des systems routet und da der system vhost nicht als ssl existiert per default, muss es da einen Fehler geben. Dein Setup ist also vollkommen in Ordnung und verhält sich so wie es zu erwarten ist.

Wenn Du ssl Abfragen die an den default vhost gehen auch abfangen willst, musst Du den default-ssl vhost von Debian aktivieren:

a2ensite default-ssl

 

[etron770]

Gegentest DNS Problem:
Ich ändere die IP im DNS Record einer funktionierenden Seite aud den neuen Serve.
Lege mit IsPpconfig die Webseite an und es kommt Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Also Server Problem.
Ich lösche ihn nochmal starte das ISP-config Script und dann haben wir einen aussageräftigen Zustand

Das war bei beidem so, Webseiten und beim Server Vhost.
Ich weiß nicht, was da beim ersten Erstellen schiefgelaufen ist, zumal ich schon einen weiteren Server problemlos mit dem automatisierten Setup aufgesetzt habe. - Übrigens eine Super-Idee, vorher habe ich mir selbst ein Script zusammengestellt, das war aber unkonfigurierbar.
Eigentlich können wir alle Kommentare löschen außer deinem letzten, der ist sicher hilfreich für manche und müsste ganz oben stehen.

 

[etron770]

Und bei Redmine kommt dieser Fehler, wenn in der /etc/apache2/sites-available/redmine.conf
auf einem ipv4/ipv6 Server nur der Port für IPV4 eingetragen ist und man zusätzlich noch an einem IPV4/IPV6 System sitzt

Das dürfte auch der ursprüngliche Fehler gewesen sein, da ich erst nach dem Erstellen des Systems den IPV6 Support aktiviert hatte. Die Webseiten aber nur die IPV4 direktiven drin hatten und ich kein Update bei ISpConfig durchgeführt hatte.
Deshalb hat auch die Seite funktioniert, die ich vom anderen Server zum Testen verschoben hatte.
Beim zweiten Aufsetzen war dann IPV6 komplett aktiviert und ISPconfig hat gleich die richtigen Einträge konfiguriert.
SSL_ERROR_RX_RECORD_TOO_LONG ist dann eine ziemlich irreführender Fehlermeldung ...