Let´s Encrypt für Panel nach Update 3.1 auf 3.2 geht nicht mehr

die-andis

Member
Guten Abend,

ich hatte unter ISPConfig 3.1 (soweit ich mir erinnere) LE4ISPC im Einsatz. Hat soweit immer funktioniert. Nach dem Update auf 3.2.1 hab ich den LE4ISPC Remover benutzt und gehofft nach einem ispconfig_update die Umstellung auf die eingaute Let´s Encrypt Funktion für das Backend zu bekommen.

Leider kommt immer folgende Meldung

Create new ISPConfig SSL certificate (yes,no) [no]: yes

Checking / creating certificate for server.xxxx.de
Using certificate path /etc/letsencrypt/live/server.xxxx.de
Server's public ip(s) (94.xxx.186.xxx, 2a01:xxx:c2c:1375::1) not found in A/AAAA records for server.xxxx.de: 127.0.1.1
Ignore DNS check and continue to request certificate? (y,n) [n]:

ich habe folgende DNS-Records:
A server.xxxx.de 94.xxx.186.xxx 3600
AAAA server.xxxx.de 2a01:xxx:c2c:1375::1 3600
A localhost.xxxx.de 127.0.01 3600

Habt ihr einen Rat für mich?

Danke und Gruß
Andreas
 

Till

Administrator
Schau mal in die /etc/hosts datei auf dem Server, nicht dass Du den Hostnamen dort bei IP 127.0.1.1 eingetrágen hast obwohl er bei 94.xxx.186.xxx stehen müsste.
 

die-andis

Member
da war natürlich 127.... gestanden. Danke!

Jetzt kommt folgende Meldung:

Create new ISPConfig SSL certificate (yes,no) [no]: yes

Checking / creating certificate for server.xxx.de
Using certificate path /etc/letsencrypt/live/server.xxx.de
Using apache for certificate validation
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Missing command line flag or config entry for this setting:
Please choose an account
Choices: ['server.xxx.de@2019-07-21T00:46:04Z (0e5d)', 'server.xxx.de@2019-07-21T00:48:01Z (f584)']
Issuing certificate via certbot failed. Please check log files and make sure that your hostname can be verified by letsencrypt
Could not issue letsencrypt certificate, falling back to self-signed.
Generating RSA private key, 4096 bit long modulus (2 primes)

in /var/log/letsencrypt/letsencrypt.log steht folgendes:

2021-01-02 15:06:27,326:DEBUG:certbot.main:certbot version: 0.40.0
2021-01-02 15:06:27,327:DEBUG:certbot.main:Arguments: ['--agree-tos', '--non-interactive', '--expand', '--rsa-key-size', '4096', '--server', 'https://acme-v02.api.letsencr>
2021-01-02 15:06:27,327:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#manual,PluginEntryPoint#null,PluginEntryPoint#standalone,PluginEntryPoint#w>
2021-01-02 15:06:27,337:DEBUG:certbot.log:Root logging level set at 20
2021-01-02 15:06:27,338:INFO:certbot.log:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2021-01-02 15:06:27,339:DEBUG:certbot.plugins.selection:Requested authenticator webroot and installer None
2021-01-02 15:06:27,340:DEBUG:certbot.plugins.selection:Single candidate plugin: * webroot
Description: Place files in webroot directory
Interfaces: IAuthenticator, IPlugin
Entry point: webroot = certbot.plugins.webroot:Authenticator
Initialized: <certbot.plugins.webroot.Authenticator object at 0x7f2a2c04f970>
Prep: True
2021-01-02 15:06:27,340:DEBUG:certbot.plugins.selection:Selected authenticator <certbot.plugins.webroot.Authenticator object at 0x7f2a2c04f970> and installer None
2021-01-02 15:06:27,340:INFO:certbot.plugins.selection:plugins selected: Authenticator webroot, Installer None
2021-01-02 15:06:27,351:DEBUG:certbot.log:Exiting abnormally:
Traceback (most recent call last):
File "/usr/bin/letsencrypt", line 11, in <module>
load_entry_point('certbot==0.40.0', 'console_scripts', 'certbot')()
File "/usr/lib/python3/dist-packages/certbot/main.py", line 1382, in main
return config.func(config, plugins)
File "/usr/lib/python3/dist-packages/certbot/main.py", line 1249, in certonly
le_client = _init_le_client(config, auth, installer)
File "/usr/lib/python3/dist-packages/certbot/main.py", line 607, in _init_le_client
acc, acme = _determine_account(config)
File "/usr/lib/python3/dist-packages/certbot/main.py", line 515, in _determine_account
acc = display_ops.choose_account(accounts)
File "/usr/lib/python3/dist-packages/certbot/display/ops.py", line 84, in choose_account
code, index = z_util(interfaces.IDisplay).menu(
File "/usr/lib/python3/dist-packages/certbot/display/util.py", line 503, in menu
self._interaction_fail(message, cli_flag, "Choices: " + repr(choices))
File "/usr/lib/python3/dist-packages/certbot/display/util.py", line 466, in _interaction_fail
raise errors.MissingCommandlineFlag(msg)
certbot.errors.MissingCommandlineFlag: Missing command line flag or config entry for this setting:
Please choose an account
Choices: ['server.xxx.de@2019-07-21T00:46:04Z (0e5d)', 'server.xxx.de@2019-07-21T00:48:01Z (f584)']
 

Till

Administrator
Du hast scheinbar 2 LE Konten in certbot, Du musst eines davon löschen, das was nicht verwendet wird.
 

die-andis

Member
ok das Problem hab ich mit "certbot unregister" gelöst.

Das Panel selbst funktioniert jetzt und ist per Let´s Encrypt verschlüsselt. Beim Mail klappt es noch nicht.

Im Verzeichnis /etc/letsencrypt/live gibt es mehrere Ordner. Der mit der Endung -0003 ist der neueste.

server.xxx.de
server.xxx.de-0003

Ich hab jetzt schon alle Symlinks auf die Dateien im 0003 Ordner umgestellt. Aber Dovecot/Postfix wollen das Zertifikat nicht nutzen.
 

die-andis

Member
Hat vielleicht jemand noch Ideen? Ich komme nicht weiter.

Das Panel hat das LE Zertifikat. Aber Email und FTP nicht. :-(
 

die-andis

Member
so hab jetzt mal recherchiert. So auf den ersten Blick sieht das für mich alles nachvollziehbar aus.

/usr/local/ispconfig/interface/ssl
lrwxrwxrwx 1 root root 58 Feb 1 02:13 ispserver.crt -> /etc/letsencrypt/live/server.xxxx.de/fullchain.pem
-rwxr-x--- 1 root root 1671 Jan 5 21:44 ispserver.csr
lrwxrwxrwx 1 root root 56 Feb 1 02:13 ispserver.key -> /etc/letsencrypt/live/server.xxxx.de/privkey.pem
lrwxrwxrwx 1 root root 56 Feb 1 02:07 ispserver.key.secure -> /etc/letsencrypt/live/server.xxxx.de/privkey.pem
-rwxr-x--- 1 root root 7066 Feb 1 02:13 ispserver.pem

/etc/letsencrypt/live
tdrwx------ 2 root root 4096 Feb 1 02:13 server.xxxx.de
drwx------ 2 root root 4096 Feb 1 02:00 server.xxxx.de-0004

/etc/letsencrypt/live/server.xxxx.de
lrwxrwxrwx 1 root root 51 Feb 1 02:11 cert.pem -> ../../archive/server.xxxx.de-0004/cert1.pem
lrwxrwxrwx 1 root root 52 Feb 1 02:12 chain.pem -> ../../archive/server.xxxx.de-0004/chain1.pem
lrwxrwxrwx 1 root root 56 Feb 1 02:12 fullchain.pem -> ../../archive/server.xxxx.de-0004/fullchain1.pem
lrwxrwxrwx 1 root root 54 Feb 1 02:13 privkey.pem -> ../../archive/server.xxxx.de-0004/privkey1.pem

/etc/letsencrypt/live/server.xxxx.de-0004
lrwxrwxrwx 1 root root 51 Feb 1 02:00 cert.pem -> ../../archive/server.xxxx.de-0004/cert1.pem
lrwxrwxrwx 1 root root 52 Feb 1 02:00 chain.pem -> ../../archive/server.xxxx.de-0004/chain1.pem
lrwxrwxrwx 1 root root 56 Feb 1 02:00 fullchain.pem -> ../../archive/server.xxxx.de-0004/fullchain1.pem
lrwxrwxrwx 1 root root 54 Feb 1 02:00 privkey.pem -> ../../archive/server.xxxx.de-0004/privkey1.pem

/etc/letsencrypt/archive/server.xxxx.de-0004
-rw------- 1 root root 2208 Feb 1 02:00 cert1.pem
-rw------- 1 root root 1586 Feb 1 02:00 chain1.pem
-rw------- 1 root root 3794 Feb 1 02:00 fullchain1.pem
-rw------- 1 root root 3272 Feb 1 02:00 privkey1.pem

/etc/postfix
lrwxrwxrwx 1 root root 48 Feb 1 02:13 smtpd.cert -> /usr/local/ispconfig/interface/ssl/ispserver.crt
lrwxrwxrwx 1 root root 48 Feb 1 02:13 smtpd.key -> /usr/local/ispconfig/interface/ssl/ispserver.key

/etc/postfix/main.cf
# TLS parameters
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes

/etc/dovecot/dovecot.conf
ssl_cert = </etc/postfix/smtpd.cert
ssl_key = </etc/postfix/smtpd.key
ssl_dh = </etc/dovecot/dh.pem <===== diese Datei ist leer
 

die-andis

Member
oh es wird wärmer! ;)

Das Problem ist wohl in der /etc/dovecot/dovecot.conf der Eintrag
ssl_dh = </etc/dovecot/dh.pem

Die Datei /etc/dovecot/dh.pem ist leer.

Ersetze ich in der dovecot.conf diesen Eintrag mit ssl_dh = </usr/share/dovecot/dh.pem und starte Dovecot neu dann klappt der verschlüsselte Zugriff auf die Mails.

Problem ist jetzt nur, ein ispconfig_update.sh -> ändert die dovecot.conf wieder auf den ursprünglichen Wert. Damit geht es dann wieder nicht mehr.

Ich bin mir jetzt nicht sicher was die Lösung ist.

Symlink /etc/dovecot/dh.pem auf usr/share/dovecot/dh.pem oder was anderes? Muss ja wahrscheinlich auch einen Grund geben warum die dh.pem in /etc/dovecot/ leer ist.
 

Till

Administrator
Symlink /etc/dovecot/dh.pem auf usr/share/dovecot/dh.pem oder was anderes?

Versuch mal einen symlink, wenn der nicht hilft, einfach die Datei kopieren.

Muss ja wahrscheinlich auch einen Grund geben warum die dh.pem in /etc/dovecot/ leer ist.

Die Datei wird vom ISPConfig installer angelegt, wenn sie nicht bereits existiert. Warum das nicht geklappt hat in Deinem Fall weiß ich nicht.
 

Werbung

Top