kein SSL mehr möglich - kein letsencryprt Fehler

RobertS

New Member
Nachdem ich heute zwei weitere Domains auf meinen neuen Server umgezogen habe, musste ich feststellen, dass auf einmal offensichtlich keine letsencrypt Zertifikate mehr generiert wurden.
Da das ja meist an eigener Blödheit liegt - DNS umstellen vergessen oder sowas banales - hab ich erstmal dort im Log nachgesehen. Dieses war aber "blank".

Um letsencrypt auszuschließen, hab ich dann einfach nur SSL angeklickt um eine privates Zertifikat erstellen zu lassen. Nach Abarbeiten der Änderung wird auch schön brav imAdmin-Interface der Haken "SSL" angezeigt, jedoch wurde weder ein Zertifikat im Filesystem abgelegt, noch die vhost-Datei mit den zusätzlichen Einträgen versehen.

Leider sagt "server.sh" als einzige Meldung auch nur "finished".

ratlos...
 
Zuletzt bearbeitet:

RobertS

New Member
und hier ein Update:
Ich habe jetztmal das Log-Level des Servers auf debug hochgedreht und siehe da...

ganz egal obich den SSL-Haken setze oder nicht, im Log (Zeile 5) steht immer - DEBUG - SSL Disabled

18.07.2019-14:48 - DEBUG - Calling function 'check_phpini_changes' from plugin 'webserver_plugin' raised by action 'server_plugins_loaded'. 18.07.2019-14:48 - DEBUG - Found 1 changes, starting update process. 18.07.2019-14:48 - DEBUG - Calling function 'ssl' from plugin 'nginx_plugin' raised by event 'web_domain_update'. 18.07.2019-14:48 - DEBUG - Calling function 'update' from plugin 'nginx_plugin' raised by event 'web_domain_update'. 18.07.2019-14:48 - DEBUG - SSL Disabled. www.xyz.de 18.07.2019-14:48 - DEBUG - Writing the vhost file: /etc/nginx/sites-available/www.robert-home.de.vhost 18.07.2019-14:48 - DEBUG - nginx status is: running 18.07.2019-14:48 - DEBUG - Calling function 'restartHttpd' from module 'web_module'. 18.07.2019-14:48 - DEBUG - Checking nginx configuration... 18.07.2019-14:48 - DEBUG - nginx configuration ok! 18.07.2019-14:48 - DEBUG - Restarting httpd: systemctl restart nginx.service 18.07.2019-14:48 - DEBUG - nginx restart return value is: 0 18.07.2019-14:48 - DEBUG - nginx online status after restart is: running 18.07.2019-14:48 - DEBUG - Processed datalog_id 473 18.07.2019-14:48 - DEBUG - Remove Lock: /usr/local/ispconfig/server/temp/.ispconfig_lock finished.
 

Till

Administrator
Laut dem Log hast Du aber nicht die Let's encrypt checkbox angeklickt gehabt, oder? Denn sonst würde da was von LE drin stehen.
 

RobertS

New Member
Update2:
  1. Domain neu angelegt
  2. SSL, Letsencryt und Weiterleitung auf http -> https aktiviert
  3. servers.sh aufgerufen
  4. Ergebnis: ssl ist aktiviert, Letsencrypt Zertifikat wird erstellt, alles funktioniert
Aber:
Nachdem irgendwas anderes gemacht wurde, z.B: WordPress aus einem ispconfig Paket installiert, wird beim Aufruf von server.sh SSL wieder deaktiviert.
Die Zertifikate bleiben jedoch bestehen, lediglich SSL wird deaktiviert (SSL Haken in der GUI bleibt aktiv), und die Konfiguration wird um die SSL eInträge bereinigt, der Umleitungseintrag bleibt allerding enthalten
 
Zuletzt bearbeitet:

RobertS

New Member
@Till:

sorry, hat sich wohl überscnitten...

Ja, 3.1.14p1, Debian 9, alles aktuell
Bis heute morgen lief ja alles, seither kein Update, keine Installation von Software, gar nichts...

Laut dem Log hast Du aber nicht die Let's encrypt checkbox angeklickt gehabt, oder? Denn sonst würde da was von LE drin stehen.
Korrekt, ich wollte die zur Verfügung stehenden Letsencrypt Versuche nicht sinnlos verbraten und erstmal ein privates Zertifikat erzeugen
 

Till

Administrator
Hier die Bedingungen aus dem Code dass er nicht SSL Disabled ausgibt:

if($domain!='' && $data['new']['ssl'] == 'y' && @is_file($crt_file) && @is_file($key_file) && (@filesize($crt_file)>0) && (@filesize($key_file)>0)) {

Übersetzt:

Domain muss gesetzt sein in Tabelle web_domain für die website, Feld ist domain oder ssl_domain
Das Feld 'ssl' in der Tabelle web_domain muss 'y' enthalten
SSL und key file müssen existieren, entweder als /var/www/domain.tld/ssl/domain.crt und key oder domain-le.crt und key wobei die -le varianten symlinks auf ads LE ssl cert und key sein müssen und diese nicht leer sein fürfen. Prüf das bitte mal, insbesondere welche Dateien es im ssl Ordner gibt, die Ausgabe von:

ls -la /var/www/domain.tld/ssl/

wäre hilfreich.

Und hast Du unter System > server config > web die checkbox relative symlinks an oder aus, default und empfohlener wert ist dass sie nicht gesetzt ist.
 

RobertS

New Member
OK, dann wollen wir mal:

Für die Domain www.robert-home.de:
Table: web_domain
domain: www.robert-home.de
ssl_domain: www.robert-home.de
ssl: n

Code:
dir -l /var/www/www.robert-home.de/ssl/
total 0
lrwxrwxrwx 1 root root 55 Jul 18 16:37 www.robert-home.de-le.bundle -> /etc/letsencrypt/live/www.robert-home.de-0001/chain.pem
lrwxrwxrwx 1 root root 59 Jul 18 16:37 www.robert-home.de-le.crt -> /etc/letsencrypt/live/www.robert-home.de-0001/fullchain.pem
lrwxrwxrwx 1 root root 57 Jul 18 16:37 www.robert-home.de-le.key -> /etc/letsencrypt/live/www.robert-home.de-0001/privkey.pem

und zu guter Letzt: relative symlinks ist aus
 

RobertS

New Member
Frage die vielleicht andere auch ineressiert: Gibt es innerhalb von ispconfig denn eine Möglichkeit für eine Domain oder halt auch global temporär auf die staging Instanz von Letscrypt zu wechseln? Dann hätte man mehr Versuche "frei"?
 

Till

Administrator
Das ist garnicht notwendig da ispconfig bei erneuter Aktivierung das bestehende cert nutzt, LE bekommt davon garnichts mit.

Dann schau mal bitte ob es die 3 dateien /etc/letsencrypt/live/www.robert-home.de-0001/chain.pem wirklich gibt und ob sie nicht leer sind. Eine Idee, hast Du vielleicht was an der php.ini gemacht seitdem es nicht mehr geht? Nicht dass Du da ein open_basedir für das shell PHP gesetzt hast oder so?
 

RobertS

New Member
so, hat was gedauert, da ich noch einen Termin hatte:

Die drei Dateien unter /etc/letsencrypt/live/www.robert-home.de-0001 sind Symlinks auf (von hier aus) ../../archive/www/www.robert-home.de-0001. Es gibt sie, aber bis auf die cert1.pem sind sie alle leer.

Bei einer anderen Domain mit dem gleichen Phänomen sind sie jedoch nicht leer und auch aktuell von heute.

In dem jetzigen Setup habe ich keine einzige relevante config manuell geändert.
 

RobertS

New Member
noch ein Update:
ssl, sowie ssl_letsencrypt auf "y" gesetzt (direkt in der db) und server.sh aufgerufen. https ging sofort.
Dann für die Domain PHP aktiviert, server.sh gestartet und wieder ist ssl auf disabled, allerdings in der db immer noch auf "y".

Ich setzte gerade paralell einen neuen Server auf...
 

Till

Administrator
Ok, ich muss mal einen Testserver mit Nginx hier auf die neue Version updaten. Du hattest das ja auch bei self-signed certs, oder?
 

RobertS

New Member
ja, hatte ich auch...
Aber wie gesagt - gestern noch alles OK, heute alles Mist, ohne irgendeine bewusste Änderung.

Ich hab jetzt schon den neuen Server am Start, exact gleiche Konfiguration.
Debian 9 aktualisiert
ispconfig mit Installer drauf
zusätzliche PGP-Versionen installiert

Mal sehen, was der jetzt macht
 

RobertS

New Member
na wenigstens ist das Problem reproduzierbar - die neue Installation verhält sich genauso.
Es gehen schon keine Self-signed Zertifikate.

siehe auch PM
 

Till

Administrator
Ich kann es hier bislang nicht reproduzieren, ssl ist aktiv und bleibt aktiv wenn ich eine website ändere. Schreib Bitte mal die exakten Schritte wie man es mit einem selbstsignierten cert reproduzieren kann.
 

Till

Administrator
Die Schritte die ich genommen habe sind:

  1. neue website angelegt mit ssl angeklickt.
  2. auf dem ssl reiter selbstsigniertes cert angelegt.
  3. ssl geht in der site.
  4. seiteneinstellung geändert, in meinem fall cgi aktiviert und gespeichert.
  5. ssl weiter aktiv (haken ist an, ssl steht im nginx vhost und ssl cert files sind nicht leer)
 

Werbung

Top