ISP-Config kein ssl

w3bservice

Member
Hallo,
Ich benutze CentOS8 (RockyLinux) ISP-Config 3.2.7p1.
Letsencrypt über python3-certbot. Nachdem kein renew der Zertifikate gemacht wurde, habe ich kurzerhand acme.sh installiert.
da sich die Webs nicht aktuallieren lassen wollten, habe ich die Erstellung der Zertifikate per Hand angestossen.
"acme.sh --issue --dns dns_hetzner -d 'DOMAIN.de' --server letsencrypt --force."
Wenn ich jetzt ein neues Web anlege wird eine vhost erstellt die ungefähr 2 kB ist und nur den Virtualhost :80 enthält. ISP-Config selbst erstellt unter /root/acme.sh/DOMAIN.de/DOMAIN.de.conf DOMAIN.de.csr DOMAIN.csr.conf DOMAIN.de.key.
Im DNS ist folgendes eingetragen "@ IN CAA 0 issue "letsencrypt.org""

Code:
# /usr/local/ispconfig/server/server.sh
/usr/bin/which: no acme.sh in (/usr/local/ispconfig/server/scripts)
/usr/bin/which: no acme.sh in (/usr/local/ispconfig/server/scripts)
[Mo 14. Mär 10:49:13 CET 2022] www.domain.de:Verify error:Invalid response from http://www.domain.de/.well-known/acme-challenge/sodkbMU4RqpMqKPFhUenfT4O0cJOYqDxsjD5h1Mdlyc [176.9.19.231]: 403
[Mo 14. Mär 10:49:13 CET 2022] Please check log file for more details: /var/log/ispconfig/acme.log
[Mo 14. Mär 10:49:13 CET 2022] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 3
finished server.php.


# usr/bin/which acme.sh
/usr/bin/acme.sh

Apache-Konfiguration:
cat /etc/httpd/conf/sites-available/domain.de.vhost

<Directory /var/www/domain.de>
                AllowOverride None
                                Require all denied
                </Directory>

<VirtualHost *:80>


                                                                        DocumentRoot /var/www/domain.de/web

                ServerName domain.de
                ServerAlias www.domain.de
                ServerAdmin webmaster@domain.de


                ErrorLog /var/log/ispconfig/httpd/domain.de/error.log

                Alias /error/ "/var/www/domain.de/web/error/"
                ErrorDocument 400 /error/400.html
                ErrorDocument 401 /error/401.html
                ErrorDocument 403 /error/403.html
                ErrorDocument 404 /error/404.html
                ErrorDocument 405 /error/405.html
                ErrorDocument 500 /error/500.html
                ErrorDocument 502 /error/502.html
                ErrorDocument 503 /error/503.html


                <Directory /var/www/domain.de/web>
                                # Clear PHP settings of this website
                                <FilesMatch ".+\.ph(p[345]?|t|tml)$">
                                                SetHandler None
                                </FilesMatch>
                                Options +SymlinksIfOwnerMatch
                                AllowOverride All
                                                                Require all granted
                                                                <Files ~ '.php[s3-6]{0,1}$'>
                                                                                                Require all denied
                                                                                </Files>
                </Directory>
                <Directory /var/www/clients/client1/web7/web>
                                # Clear PHP settings of this website
                                <FilesMatch ".+\.ph(p[345]?|t|tml)$">
                                                SetHandler None
                                </FilesMatch>
                                Options +SymlinksIfOwnerMatch
                                AllowOverride All
                                                                Require all granted
                                                                <Files ~ '.php[s3-6]{0,1}$'>
                                                                                Require all denied
                                                                        </Files>
                </Directory>




                # suexec enabled
                <IfModule mod_suexec.c>
                        SuexecUserGroup web7 client1
                </IfModule>



                # add support for apache mpm_itk
                <IfModule mpm_itk_module>
                        AssignUserId web7 client1
                </IfModule>

                <IfModule mod_dav_fs.c>
                # Do not execute PHP files in webdav directory
                        <Directory /var/www/clients/client1/web7/webdav>
                                <ifModule mod_security2.c>
                                        SecRuleRemoveById 960015
                                        SecRuleRemoveById 960032
                                </ifModule>
                                <FilesMatch "\.ph(p3?|tml)$">
                                        SetHandler None
                                </FilesMatch>
                        </Directory>
                        DavLockDB /var/www/clients/client1/web7/tmp/DavLock
                        # DO NOT REMOVE THE COMMENTS!
                        # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
      # WEBDAV BEGIN
                        # WEBDAV END
                </IfModule>




</VirtualHost>
 
Zuletzt bearbeitet:

Till

Administrator
Von certbot auf cme.sh auf bestehendem system umzustellen ist generell keine gute Idee, ad die beiden nicht kompatibel sind. Es wäre besser gewesen wenn Du geschaut hättest warum certbot kein renew machen kann und das problem behoben hättest.

da sich die Webs nicht aktuallieren lassen wollten, habe ich die Erstellung der Zertifikate per Hand angestossen.
"acme.sh --issue --dns dns_hetzner -d 'DOMAIN.de' --server letsencrypt --force."

Wenn sich webs nicht aktualisieren lassen, dann hat das einen Grund und den musst Du finden. manuell acme.sh aufzurufen bringt dich nicht weiter denn manuell erstellte Zertifikate werden nicht gefunden und daher auch nicht verwendet. Am Besten fängst Du damit an die manuell erstellten certs zu löschen, dann aktivierst Du Let's encrypt in der website in ISPConfig und sollte certbot kein Cert erstellen können, dann schaust Du warum das der fall ist und behebst den Fehler. Hier die Checkliste:

 

w3bservice

Member
Es hat mir eine gewisse Zeit verschafft , da ich zu der Zeit im Krankenhaus war und an den Armen mehrmals operiert wurde, das ist der Hintergrund warum das manuelle acme.sh ins Spiel kam. Jetzt ist das überstanden, und wollte das Provisorium beräumen. Das werden lange Nächte......
 

Till

Administrator

Was zu erwarten ist wenn er kein LE cert hat. Und nochmal, den Grund findest Du indem Du dem let#s Encrypt FAQ folgst, und zwar jedem Schritt von Anfang bis zum Ende:

 

w3bservice

Member
den Grund findest Du indem Du dem let#s Encrypt FAQ folgs
Das war nicht das Problem. mod_security hat die kommunikation weg gebissen, die passende rule anpassen, und schon geht es. im letzten Jahre waren die Server von Hetzner unter beschuss. daraufhin habe ich ich mod_security mit Fail2ban konfiguriert. Und noch ein bisschen GeoIP mit rein. Dann war Ruhe. Naja mit den Zertifikaten auch;)
Danke für Deine Hilfe
 

Werbung

Top