eigenes Zertifikat für Aliasdomain erstellen

[Ciatronical]

Hey,

ich benutze Shopware.
Damit kann man mehrere Shops bzw. Websites mit einer Installation (einer Datenbank) verwalten.

Nun benötigt laut Seitwert jede Domain ein eigenes Zertifikat. Fehlermeldung von Seitwert lautet:
"Das SSL-Zertifikat ist nicht auf die Domain meine-domain.de registriert (sondern auf meine-andere-domain.de)."

Wie kann ich erreichen das für jede Aliasdomain ein eigenes Zertifikat erstellt wird?

"Aliasdomains als Webseite anlegen" ist schon aktiviert - brachte aber keinen Erfolg.

Dank und Gruß
Ronny

 

[Till]

"Aliasdomains als Webseite anlegen" ist schon aktiviert - brachte aber keinen Erfolg.

Doch, genau damit geht das.

 

[Ciatronical]

Ok ich habe SSL/LE in Domain und in Aliasdomain deaktiviert und aktiviert. Leider kein Erfolg.
Debug: Checkbox "Nicht in Let's Encrypt Zertifikat aufnehmen" deaktiviert

30.12.2019-12:28 - DEBUG - Calling function 'check_phpini_changes' from plugin 'webserver_plugin' raised by action 'server_plugins_loaded'.
30.12.2019-12:28 - DEBUG - Found 1 changes, starting update process.
30.12.2019-12:28 - DEBUG - Calling function 'ssl' from plugin 'nginx_plugin' raised by event 'web_domain_update'.
30.12.2019-12:28 - DEBUG - Calling function 'update' from plugin 'nginx_plugin' raised by event 'web_domain_update'.
30.12.2019-12:28 - DEBUG - safe_exec cmd: chattr -i '/var/www/clients/client1/web7' - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: chattr +i '/var/www/clients/client1/web7' - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: df -T '/var/www/clients/client1/web7'|awk 'END{print $2,$NF}' - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: which 'setquota' 2> /dev/null - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: setquota -u 'web7' '0' '0' 0 0 -a &> /dev/null - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: setquota -T -u 'web7' 604800 604800 -a &> /dev/null - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: chattr +i '/var/www/clients/client1/web7' - return code: 0
30.12.2019-12:28 - DEBUG - Verified domain meine-domain.de should be reachable for letsencrypt.
30.12.2019-12:28 - WARNING - Could not verify domain alias-domain.de, so excluding it from letsencrypt request.
30.12.2019-12:28 - DEBUG - Create Let's Encrypt SSL Cert for: meine-domain.de
30.12.2019-12:28 - DEBUG - Let's Encrypt SSL Cert domains:  --domains meine-domain.de
30.12.2019-12:28 - DEBUG - exec: /usr/bin/letsencrypt certonly -n --text --agree-tos --expand --authenticator webroot --server https://acme-v02.api.letsencrypt.org/directory --rsa-key-size 4096 --email postmaster@meine-domain.de  --domains meine-domain.de --webroot-path /usr/local/ispconfig/interface/acme
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Cert not yet due for renewal
Keeping the existing certificate
30.12.2019-12:28 - DEBUG - Let's Encrypt Cert config path is: /etc/letsencrypt/renewal/meine-domain.de-0003.conf.
30.12.2019-12:28 - DEBUG - Let's Encrypt Cert file: /etc/letsencrypt/live/meine-domain.de-0003/fullchain.pem exists.
30.12.2019-12:28 - DEBUG - safe_exec cmd: ln -s '/etc/letsencrypt/live/meine-domain.de-0003/privkey.pem' '/var/www/clients/client1/web7/ssl/meine-domain.de-le.key' - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: ln -s '/etc/letsencrypt/live/meine-domain.de-0003/fullchain.pem' '/var/www/clients/client1/web7/ssl/meine-domain.de-le.crt' - return code: 0
30.12.2019-12:28 - DEBUG - safe_exec cmd: ln -s '/etc/letsencrypt/live/meine-domain.de-0003/chain.pem' '/var/www/clients/client1/web7/ssl/meine-domain.de-le.bundle' - return code: 0
30.12.2019-12:28 - DEBUG - Enable SSL for: meine-domain.de
30.12.2019-12:28 - DEBUG - Add server alias: alias-domain.de
30.12.2019-12:28 - DEBUG - Writing the vhost file: /etc/nginx/sites-available/meine-domain.de.vhost
30.12.2019-12:28 - DEBUG - Writing the PHP-FPM config file: /etc/php/7.2/fpm/pool.d/web7.conf
30.12.2019-12:28 - DEBUG - Calling function 'restartPHP_FPM' from module 'web_module'.
30.12.2019-12:28 - DEBUG - Restarting php-fpm: systemctl reload php7.2-fpm.service
30.12.2019-12:28 - DEBUG - nginx status is: running
30.12.2019-12:28 - DEBUG - Calling function 'restartHttpd' from module 'web_module'.
30.12.2019-12:28 - DEBUG - Checking nginx configuration...
30.12.2019-12:28 - DEBUG - nginx configuration ok!
30.12.2019-12:28 - DEBUG - Restarting httpd: systemctl restart nginx.service
30.12.2019-12:28 - DEBUG - nginx restart return value is: 0
30.12.2019-12:28 - DEBUG - nginx online status after restart is: running
30.12.2019-12:28 - DEBUG - Processed datalog_id 358
30.12.2019-12:28 - DEBUG - Remove Lock: /usr/local/ispconfig/server/temp/.ispconfig_lock
finished.

Was bedeutet "WARNING - Could not verify domain alias-domain.de"

 

[Till]

Deine Aliasdomain konnte nicht verifiziert werden, steht doch im Log. Entweder sie verweist nicht auf den Server oder die URL die Let's encrypt zum verifizieren verwendet wurde umgeleitet bzw. ist vom server aus nicht zu erreichen. Ich habe Dir bereits gestern in Deeinem anderen Thread erklärt wie man das testet, werde das hier also nicht nochmal wiederholen.

 

[Ciatronical]

Ok. Wenn ich dich richtig verstanden habe soll ich testen ob
alias-domain.de/.well-known/acme-challenge/test.txt gelesen werden kann

echo "test" >> /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/test.txt

Mein heimischer Rechner:

wget https://www.alias-domain.de/.well-known/acme-challenge/test.txt
--2019-12-30 17:58:38--  https://www.alias-domain.de/.well-known/acme-challenge/test.txt
Auflösen des Hostnamens www.alias-domain.de (www.alias-domain.de) … meineIPv4, meineIPv6
Verbindungsaufbau zu www.alias-domain.de (www.alias-domain.de)|185.163.117.90|:443 … verbunden.
FEHLER: Keiner der alternativen Namen des Zertifikats stimmt mit dem angefragten Maschinennamen »www.alias-domain.de« überein.
Verwenden Sie »--no-check-certificate«, um zu dem Server www.alias-domain.de eine nicht gesicherte Verbindung aufzubauen.

root@melissa:~/test# wget --no-check-certificate https://www.alias-domain.de/.well-known/acme-challenge/test.txt
--2019-12-30 18:02:02--  https://www.alias-domain.de/.well-known/acme-challenge/test.txt
Auflösen des Hostnamens www.alias-domain.de (www.alias-domain.de) … meineIpv4, meineIPv6
Verbindungsaufbau zu www.alias-domain.de (www.alias-domain.de)|meineIPv4|:443 … verbunden.
WARNUNG: Keiner der alternativen Namen des Zertifikats stimmt mit dem angefragten Maschinennamen »www.alias-domain.de« überein.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 10 [text/plain]
Wird in »test.txt.4« gespeichert.

test.txt.4                                 100%[=====================================================================================>]      10  --.-KB/s    in 0s     

2019-12-30 18:02:02 (634 KB/s) - »test.txt.4« gespeichert [10/10]

less test.txt zeigt "test"

Wie beschrieben: es wird ein Zertifikat erstellt. Es steht statt alias-domain.de meine-andere-domain.de drin. Es hat einfach den falschen Namen.

Ist es vielleicht sinnvoll mal alle Zertifikate manuell zu löschen?
Falls ja, welche Dateien sind das?

 

[Ciatronical]

Kleiner Nachtrag zum besserem Verständnis:
wenn die Checkbox "Nicht in Let's Encrypt Zertifikat aufnehmen" nicht gesetzt ist
steht im Zertifikat unter
Allgemeiner Name: meine-andere-domain.de
Alternative DNS-Name: meine-andere-domain.de, alias-domain.de

Ist die Checkbox "Nicht in Let's Encrypt Zertifikat aufnehmen" gesetzt so steht im Zertifikat:
Allgemeiner Name: meine-andere-domain.de
Alternative DNS-Name: meine-andere-domain.de

Dort soll aber stehen:
Allgemeiner Name: alias-domain.de
Alternative DNS-Name: alias-domain.de

 

[Till]

Dein Test ist falsch, Du musst eget mit http:// verwenden im test und nicht mit https:// also:

wget http://www.alias-domain.de/.well-known/acme-challenge/test.txt

 

[Ciatronical]

Ok. Ich habe die Checkbox http -> https rausgenommen. wget funktioniert

Ist die Checkbox "Nicht in Let's Encrypt Zertifikat aufnehmen" gesetzt so steht im Zertifikat bei
Name: meine-andere-domain.de
Alternative DNS-Name: meine-andere-domain.de

!!!!!Und leider nicht!!!!
Name: alias-domain.de
Alternative DNS-Name: alias-domain.de

Ist sie nicht gesetzt so steht:
Allgemeiner Name: meine-andere-domain.de
Alternative DNS-Name: meine-andere-domain.de, alias-domain.de


Das Problem ist also nicht das kein Zertifikat erstellt wird sondern dass es kein eigenes Zertifikat für die Aliasdomain erstellt wird.
Stattdessen wird die Aliasdomain in das Zertifikat der Hauptdomain übernommen.
(Dort steht unter Alternative DNS-Name: alias-domain.de)

 

[Till]

Und Du bist sicher dass Du eine vhost aliasdomain erstellt hast? Sieht für mich aus alls hättest Du eine normale aliasdomain genommen und eben keine vhost aliasdomain. Denn Vhost Aliasdomains haben keine Checkbox "Nicht in Let's Encrypt Zertifikat aufnehmen ".

 

[Till]

Und vielleicht noch ein weiterer Hinweis, normalerweise nutzt man für Multidomain cms und shops gerade kein eigenes Zertifikat. Ein eigenes cert wird nur genutzt wenn man Zertifikate von mehreren anbietern bereits hat und dies nicht ändern kann, bei z.B. letsencrypt macht dies keinen Sinn da ein LE cert auch mehrere unterschiedliche Domains beinhalten kann. Dies nur so am Rande als Hinweis dafür dass vielleicht Deine ganze Fragestellung nicht wirklichn passend ist bzw. Du nach etwas fragst was nicht die übliche Vorgehensweise ist für ein multidomain system. Man kann aber nattürlcih separate certs nutzen wie ich oben bereits in #2 geschrieben habe, nur macht man dies an sich nicht.