Certificate problem (gelöst)

Wh1sper

Member
Guten Morgen.
Mein derzeit gültiges Cert für ispconfig war gestern abgelaufen.
Ich habe ispconfig_update.sh --force
durchlaufen lassen und das Zertifikat neu installieren lassen, auch für Postfix.
Doch das ist ja jetzt ein selbsterstelltes Zertifikat.
Funktioniert das nicht mit lets encrypt?
Eigentlich dachte ich, dass das Lets encrypt der serverdomain benutzt wird, das ist gültig und wird automatisch erneuert.
Wo muss ich schrauben?
ispconfig ist neueste stable
 
Zuletzt bearbeitet:

Wh1sper

Member
Ok, in /var/log/ispconfig/acme.log
steht eine Menge dazu,
i
Code:
[Thu 06 Oct 2022 08:12:02 AM CEST] Running cmd: setdefaultca
[Thu 06 Oct 2022 08:12:02 AM CEST] Changed default CA to: https://acme-v02.api.letsencrypt.org/directory
[Thu 06 Oct 2022 08:12:02 AM CEST] Lets find script dir.
[Thu 06 Oct 2022 08:12:02 AM CEST] _SCRIPT_='/root/.acme.sh/acme.sh'
[Thu 06 Oct 2022 08:12:02 AM CEST] _script='/root/.acme.sh/acme.sh'
[Thu 06 Oct 2022 08:12:02 AM CEST] _script_home='/root/.acme.sh'
[Thu 06 Oct 2022 08:12:02 AM CEST] Using config home:/root/.acme.sh
[Thu 06 Oct 2022 08:12:02 AM CEST] Running cmd: issue
[Thu 06 Oct 2022 08:12:02 AM CEST] _main_domain='rootgemeinschaft.de'
[Thu 06 Oct 2022 08:12:02 AM CEST] _alt_domains='no'
[Thu 06 Oct 2022 08:12:02 AM CEST] Using config home:/root/.acme.sh
[Thu 06 Oct 2022 08:12:02 AM CEST] default_acme_server='https://acme-v02.api.letsencrypt.org/directory'
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Thu 06 Oct 2022 08:12:02 AM CEST] DOMAIN_PATH='/root/.acme.sh/rootgemeinschaft.de'
[Thu 06 Oct 2022 08:12:02 AM CEST] Le_NextRenewTime='1665168618'
[Thu 06 Oct 2022 08:12:02 AM CEST] _saved_domain='rootgemeinschaft.de'
[Thu 06 Oct 2022 08:12:02 AM CEST] _saved_alt='www.rootgemeinschaft.de,nextcloud.rootgemeinschaft.de,webmail.rootgemeinschaft.de'
[Thu 06 Oct 2022 08:12:02 AM CEST] _normized_saved_domains='nextcloud.rootgemeinschaft.de,rootgemeinschaft.de,webmail.rootgemeinschaft.de,www.rootgemeinschaft.de,'
[Thu 06 Oct 2022 08:12:02 AM CEST] _normized_domains='no,rootgemeinschaft.de,'
[Thu 06 Oct 2022 08:12:02 AM CEST] Domains have changed.
[Thu 06 Oct 2022 08:12:02 AM CEST] Using ACME_DIRECTORY: https://acme-v02.api.letsencrypt.org/directory
[Thu 06 Oct 2022 08:12:02 AM CEST] _init api for server: https://acme-v02.api.letsencrypt.org/directory
[Thu 06 Oct 2022 08:12:02 AM CEST] GET
[Thu 06 Oct 2022 08:12:02 AM CEST] url='https://acme-v02.api.letsencrypt.org/directory'
[Thu 06 Oct 2022 08:12:02 AM CEST] timeout=
[Thu 06 Oct 2022 08:12:02 AM CEST] _CURL='curl --silent --dump-header /root/.acme.sh/http.header  -L '
[Thu 06 Oct 2022 08:12:02 AM CEST] ret='0'
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_KEY_CHANGE='https://acme-v02.api.letsencrypt.org/acme/key-change'
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_NEW_AUTHZ
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_NEW_ORDER='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_NEW_ACCOUNT='https://acme-v02.api.letsencrypt.org/acme/new-acct'
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_REVOKE_CERT='https://acme-v02.api.letsencrypt.org/acme/revoke-cert'
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_AGREEMENT='https://letsencrypt.org/documents/LE-SA-v1.3-September-21-2022.pdf'
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_NEW_NONCE='https://acme-v02.api.letsencrypt.org/acme/new-nonce'
[Thu 06 Oct 2022 08:12:02 AM CEST] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Thu 06 Oct 2022 08:12:02 AM CEST] _on_before_issue
[Thu 06 Oct 2022 08:12:02 AM CEST] _chk_main_domain='rootgemeinschaft.de'
[Thu 06 Oct 2022 08:12:02 AM CEST] _chk_alt_domains
[Thu 06 Oct 2022 08:12:02 AM CEST] Le_LocalAddress
[Thu 06 Oct 2022 08:12:02 AM CEST] d='rootgemeinschaft.de'
[Thu 06 Oct 2022 08:12:02 AM CEST] Check for domain='rootgemeinschaft.de'
[Thu 06 Oct 2022 08:12:02 AM CEST] _currentRoot='/usr/local/ispconfig/interface/acme'
[Thu 06 Oct 2022 08:12:02 AM CEST] d
[Thu 06 Oct 2022 08:12:02 AM CEST] _saved_account_key_hash is not changed, skip register account.
[Thu 06 Oct 2022 08:12:02 AM CEST] Read key length:4096
[Thu 06 Oct 2022 08:12:02 AM CEST] Creating domain key
[Thu 06 Oct 2022 08:12:02 AM CEST] Using config home:/root/.acme.sh
[Thu 06 Oct 2022 08:12:02 AM CEST] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Thu 06 Oct 2022 08:12:02 AM CEST] Domain key exists, do you want to overwrite the key?
[Thu 06 Oct 2022 08:12:02 AM CEST] Add '--force', and try again.
[Thu 06 Oct 2022 08:12:02 AM CEST] Create domain key error.
[Thu 06 Oct 2022 08:12:02 AM CEST] pid
[Thu 06 Oct 2022 08:12:02 AM CEST] No need to restore nginx, skip.
[Thu 06 Oct 2022 08:12:02 AM CEST] _clearupdns
[Thu 06 Oct 2022 08:12:02 AM CEST] dns_entries
[Thu 06 Oct 2022 08:12:02 AM CEST] skip dns.
[Thu 06 Oct 2022 08:12:02 AM CEST] _on_issue_err
[Thu 06 Oct 2022 08:12:02 AM CEST] Please check log file for more details: /var/log/ispconfig/acme.log
[Thu 06 Oct 2022 08:13:19 AM CEST] Running cmd: upgrade
[Thu 06 Oct 2022 08:13:19 AM CEST] Using config home:/root/.acme.sh
[Thu 06 Oct 2022 08:13:19 AM CEST] default_acme_server='https://acme-v02.api.letsencrypt.org/directory'
[Thu 06 Oct 2022 08:13:19 AM CEST] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Thu 06 Oct 2022 08:13:19 AM CEST] GET
[Thu 06 Oct 2022 08:13:19 AM CEST] url='https://api.github.com/repos/acmesh-official/acme.sh/git/refs/heads/master'
[Thu 06 Oct 2022 08:13:19 AM CEST] timeout=
[Thu 06 Oct 2022 08:13:19 AM CEST] _CURL='curl --silent --dump-header /root/.acme.sh/http.header  -L '
[Thu 06 Oct 2022 08:13:19 AM CEST] ret='0'
[Thu 06 Oct 2022 08:13:19 AM CEST] Already uptodate!
[Thu 06 Oct 2022 08:13:19 AM CEST] Upgrade success!
[Thu 06 Oct 2022 08:13:19 AM CEST] Running cmd: setdefaultca
[Thu 06 Oct 2022 08:13:19 AM CEST] Changed default CA to: https://acme-v02.api.letsencrypt.org/directory
Wie kann ich das wieder auf den Normalfall, also lets encrpt umstellen?
 

Till

Administrator
Scheint so als ob Let's encrypt kein cert für die Domain ausgestellt hat, in dem Fall wird dann ein selbstsigniertes cert verwendet. Was stand denn genau in der Ausgabe beim Update? Und prüf die DNS records, denn LE stellt nur ein cert aus wenn es Deinen server unter der Domain erreicht. Und denk daran dass der Server Hostname immer eine subdomain sein muss, laut dem log scheinst Du keine subdomain zu verwenden.
 

Wh1sper

Member
Ups subdomain... Hatte ich noch nie. habe jetzt eine gesetzt. und getestet
Soll ich nun ispconfig_update.sh --force erneut ausführen und probieren, müsste ja nun gehen. das derzeitige Cert für rootgemeinschaft.de ist noch gültig, wird dann wohl erneurt.
Fehler:
Code:
ISPConfig Port [8080]:

Create new ISPConfig SSL certificate (yes,no) [no]: yes

Checking / creating certificate for rootgemeinschaft.de
Using certificate path /root/.acme.sh/rootgemeinschaft.de
Using apache for certificate validation
acme.sh is installed, overriding certificate path to use /root/.acme.sh/rootgemeinschaft.de
[Thu 06 Oct 2022 10:40:20 AM CEST] Domain key exists, do you want to overwrite the key?
[Thu 06 Oct 2022 10:40:20 AM CEST] Add '--force', and try again.
[Thu 06 Oct 2022 10:40:20 AM CEST] Create domain key error.
[Thu 06 Oct 2022 10:40:20 AM CEST] Please check log file for more details: /var/log/ispconfig/acme.log
Issuing certificate via acme.sh failed. Please check that your hostname can be verified by letsencrypt
Could not issue letsencrypt certificate, falling back to self-signed.
Generating a RSA private key
.................++++
...............................................++++
was hat es mit dem Domain key exists, do you want to overwrite the key? --force
auf sich?

edit: Habe jetzt den server hostname auf isp.rootgemeinscchaft.de gesetzt, probiert, Fehler, dann wieder zurück. nun hat update --force und Cert geklappt.
Scheint jetzt wieder i.o. zu sein.
danke
 
Zuletzt bearbeitet:

Till

Administrator
Die subdomain muss im DNS existieren und auf den server zeigen. Das Problem wenn Du eine Domain anstatt subdomain als Hostname hast ist dass dann Probleme mit dem LE cert bekommst falls Du eine website mit dem selben namen anlegen solltest, das renewal geht dann nicht, und auch Probleme mit Emails, daher rate ich immer zu einer subdomain.
 

Werbung

Top