Keine Erzeugung eines Virtual Host für TLS/SSL

[deepblue]

Hallo,

nach der Hinterlegung einer neuen Web-Domin in ISPConfig 3.3.0p3 mit aktiviertem SSL/SuEXEC/PHP-FPM und Umleitung HTTP->HTTPS wird der Virtual Host für TLS/SSL nicht erstellt (Letsencrypt Cert ist ebenfalls aktiviert)

<VirtualHost *:443>
</VirtualHost>

Im Backend meldet ISPConfig das an der Domain SSL aktiviert ist.

Die Website auf der Domain per HTTP aufrufbar.

Bei der Fehlersuche konnten wir in folgenden Logs keinen Hinweis finden:

• /var/log/ispconfig/ispconfig.log
• /var/log/ispconfig/acme.log
• /var/log/php8.x-fpm.log

Im Journal sind ebenfalls keine Auffälligkeiten zu finden.

Am Apache2 Webserver sind folgende Module aktiv:

Loaded Modules:
 core_module (static)
 so_module (static)
 watchdog_module (static)
 http_module (static)
 log_config_module (static)
 logio_module (static)
 version_module (static)
 unixd_module (static)
 access_compat_module (shared)
 actions_module (shared)
 alias_module (shared)
 auth_basic_module (shared)
 auth_digest_module (shared)
 authn_core_module (shared)
 authn_file_module (shared)
 authz_core_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgid_module (shared)
 dav_module (shared)
 dav_fs_module (shared)
 deflate_module (shared)
 dir_module (shared)
 env_module (shared)
 fcgid_module (shared)
 filter_module (shared)
 headers_module (shared)
 http2_module (shared)
 include_module (shared)
 mime_module (shared)
 mpm_prefork_module (shared)
 negotiation_module (shared)
 passenger_module (shared)
 proxy_module (shared)
 proxy_fcgi_module (shared)
 proxy_http_module (shared)
 python_module (shared)
 reqtimeout_module (shared)
 rewrite_module (shared)
 setenvif_module (shared)
 socache_shmcb_module (shared)
 ssl_module (shared)
 status_module (shared)
 suexec_module (shared)

Wie können wir weiter bei der Fehlersuche vorgehen ?

Vielen Dank.

C.

 

[Till]

Let's Encrypt Fehler FAQ (Checkliste)

Es gibt viele Threads, die sich mit Problemen bei der Erstellung von SSL-Zertifikaten mit Let's Encrypt befassen, deshalb beginne ich hier eine FAQ. Bitte lies den ganzen Beitrag, wenn du Probleme hast. Warum erstellt Letsencrypt kein SSL-Zertifikat? Let's Encrypt verifiziert deinen Server...

forum.howtoforge.de

 

[deepblue]

die Debug Ausagbe ergibt für mich keine neuen Erkentnisse :

setquota: Setze Inodegnadenfrist auf /dev/sda1 nicht, denn das weiche Limit ist nicht überschritten.
PHP Deprecated:  Function mysqli_ping() is deprecated since 8.4, because the reconnect feature has been removed in PHP 8.2 and this functi

Ein manuelles Ausstellen des Certs funktioniert dagegen einwandfrei:

acme.sh --issue -d geheime-domain.de -d www.geheime-domain.de --webroot /usr/local/ispconfig/interface/acme/
....
[Mo 13. Okt 16:16:39 CEST 2025] Success
[Mo 13. Okt 16:16:39 CEST 2025] Verification finished, beginning signing.
[Mo 13. Okt 16:16:39 CEST 2025] Let's finalize the order.
[Mo 13. Okt 16:16:39 CEST 2025] Le_OrderFinalize='https://acme-staging-v02.api.letsencrypt.org/acme/finalize/234590073/27861841633'
[Mo 13. Okt 16:16:40 CEST 2025] Order status is 'processing', let's sleep and retry.
[Mo 13. Okt 16:16:40 CEST 2025] Sleeping for 3 seconds then retrying
[Mo 13. Okt 16:16:44 CEST 2025] Polling order status: https://acme-staging-v02.api.letsencrypt.org/acme/order/234590073/27861841633
[Mo 13. Okt 16:16:44 CEST 2025] Downloading cert.
[Mo 13. Okt 16:16:45 CEST 2025] Le_LinkCert='https://acme-staging-v02.api.letsencrypt.org/acme/cert/2caae3c3161925620dca7e4213a5ada704f4'
[Mo 13. Okt 16:16:45 CEST 2025] Cert success.

....
[Mo 13. Okt 16:16:45 CEST 2025] Your cert is in: /root/.acme.sh/geheime-domain.de_ecc/geheime-domain.de.cer
[Mo 13. Okt 16:16:45 CEST 2025] Your cert key is in: /root/.acme.sh/geheime-domain.de_ecc/geheime-domain.de.key
[Mo 13. Okt 16:16:45 CEST 2025] The intermediate CA cert is in: /root/.acme.sh/geheime-domain.de_ecc/ca.cer
[Mo 13. Okt 16:16:45 CEST 2025] And the full-chain cert is in: /root/.acme.sh/geheime-domain.de_ecc/fullchain.cer

So wie es aussieht, löst das Setzten der SSL Option im Backend keine http01 Challenge aus. Das "leere" Protokoll in /var/log/ispconfig/acme.log untermauert das.

Im Brower erscheint die Fehlermeldung:
"Folgende Änderungen wurden noch nicht auf alle Server übernommen"

Wo kann ich nach der Fehlerursache weitersuchen ?

Nachtrag: Wir haben ISPConfig unter PHP 8.3 laufen:

• (PHP8.3-fpm) am Apache (php8.3-fpm.conf) aktiviert
• CLI aktiviert (update-alternatives --config php)

VG,
C.

 

[deepblue]

Das Ausführen des Test-Scriptes

wget -q -O htf-common-issues.php "http://gitplace.net/pixcept/ispconfig-tools/raw/stable/htf-common-issues.php" && php -q htf-common-issues.php

lieferte auch keine neuen Erkenntnisse bzw. Fehlermeldungen.

 

[deepblue]

Nach dem Neustart des Server's und dem Entfernen && Setzten der SSL/LE Option wurde der <VirtualHost *:443></VirtualHost> korrekt erzeugt und das Zertifikat korrekt ausgestellt

Ich bin ratlos ?

 

[Till]

Nach dem Neustart des Server's und dem Entfernen && Setzten der SSL/LE Option wurde der <VirtualHost *:443></VirtualHost> korrekt erzeugt und das Zertifikat korrekt ausgestellt

Ich bin ratlos ?

Dann ist der Grund sehr einfach: Die Domain oder eine der Subdomains zeigte noch nicht auf den Servern zum Zeitpunkt, als Du es davor aktiviert hattest.

Und bitte bei Fragen immer den kompletten Debug-Output posten, auch wenn Dir die Angaben dort vielleicht nichts sagen, kann man ihm immer exakt entnehmen, warum SSL nicht aktiviert wurde.

 

[deepblue]

Das ist falsch, da die manuelle Ausführung von acme.sh das gewünschte Zertifikat bereits lieferte, wie ich bereits in Post https://forum.howtoforge.de/threads/keine-erzeugung-eines-virtual-host-fuer-tls-ssl.13939/post-66468 dargelegt hatte.

Erst nach dem Neustart des Servers und dem dem Zurücksetzen von PHP 8.4 auf PHP 8.3 funktionierte ISPConfig bzgl. der Erstellung des VHostes und der LE Challenge korrekt.

 

[Till]

Das ist falsch, da die manuelle Ausführung von acme.sh das gewünschte Zertifikat bereits lieferte, wie ich bereits in Post https://forum.howtoforge.de/threads/keine-erzeugung-eines-virtual-host-fuer-tls-ssl.13939/post-66468 dargelegt hatte.

Dein manuelles Ausführen besagt leider diesbezüglich nichts und steht auch nicht im Widerspruch zu dem, was ich gepostet hatte. Auch Worte fett schreiben hilft da nicht. Denn Du hast acme.sh ausgeführt, nachdem es in ISPConfig fehlgeschlagen war. Es können schon Sekunden an Unterschied reichen. Und wenn Du den debug Output nicht vollständig postest, kann man Dir halt auch nicht helfen.

Des Weiteren wird PHP 8.4 noch nicht unterstützt als System default Version und wird auch in keiner von ISPConfig unterstützten Linux-Version als Default-PHP-Version verwendet.