Let's Encrypt klemmt

Tian

New Member
Hallo,

leider besteht bei mir das Probelm, dass Lets Encrypt auf dem NGINX klemmt. Beim Apache geht es. Es werden auch Zertifikate generiert, nur nicht eingebunden und das Feld ist in ISPC auch nicht angekreuzt.
 

stefan_sick

New Member
Hi, ähnliches Problem, deswegen poste ich keinen neuen Thread.
Server läuft schon seit Jahren stabil - mittlerweile Debian 9 mit aktuellem ispconfig und nginx.
Letzte signifikante Veränderung war Debian 8 auf 9 Upgrade im März. Seitdem keine Probleme -auch LE Zertifikate wurden erneuert.
Allerdings ist jetzt das Zertifikat des Servers selbst ausgelaufen und wird nicht mehr automatisch erneuert. Daran hängen neben der ispconfig Admin Oberfläche auch mail und ftp. Also kritisch für die Funktionalität des Servers.

Die FAQ Anleitung https://www.faqforge.com/linux/debugging-ispconfig-3-server-actions-in-case-of-a-failure/ habe ich befolgt ohne eine Fehlerquelle zu finden. Wenn ich im Debug Modus das Skript server.sh manuell starte, ist der Output lediglich "Finished".

Das hier ist der Inhalt des fraglichen renewal Skripts:

Code:
# renew_before_expiry = 30 days
version = 0.10.2
archive_dir = /etc/letsencrypt/archive/ws01.cetas.pro
cert = /etc/letsencrypt/live/ws01.cetas.pro/cert.pem
privkey = /etc/letsencrypt/live/ws01.cetas.pro/privkey.pem
chain = /etc/letsencrypt/live/ws01.cetas.pro/chain.pem
fullchain = /etc/letsencrypt/live/ws01.cetas.pro/fullchain.pem

# Options used in the renewal process
[renewalparams]
account = 6f23..................................
authenticator = webroot
rsa_key_size = 4096
installer = None
[[webroot_map]]
ws01.cetas.pro = /usr/local/ispconfig/interface/acme

Bin für jede Hilfe dankbar :)
 
Zuletzt bearbeitet:

stefan_sick

New Member
PS: wie hier empfohlen
habe ich ispconfig gestern auf git-stable aktualisiert. Hat nicht geholfen.
 

stefan_sick

New Member
Der entscheidende Fehler ist wohl:

Code:
2019-05-20 03:01:22,427:DEBUG:certbot.reporter:Reporting to user: The following errors were reported by the server:

Domain: ws01.cetas.pro
Type:   unauthorized
Detail: Invalid response from http://ws01.cetas.pro/.well-known/acme-challenge/GrPSVaz-ujTWNf06xmbg18MXxmYiaUA5aA1OyxJN1qw [2a01:488:67:1000:523:ffcd:0:1]: "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body bgcolor=\"white\">\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>"

To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.
 

Till

Administrator
Hast Du ws01.cetas.pro als website in ispconfig angelegt, oder hattest Du das cert komplett manuell auf der shell erstellt?

Du kannst die acme challenge mal so testen:

touch /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/test.txt

Du solltest dann im Browser die test.txt Datei so aufrufen können:


denn .well-known/acme-challenge/ aller URL's ist global auf das verzeichnis /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/ gemapped auf ISPConfig servern
 

Till

Administrator
Versuch mal folgendes:

  1. stell sicher dass ein aktueller certbot installiert ist.
  2. Aktualisiere ispconfig auf git-stable (nicht git-master) mit dem ispconfig_update.sh befehl.
  3. in der website ws01.cetas.pro den haken bei letsencrypt und ssl raus nehmen, speichern, haken bei ssl und letsencrypt wieder setzen und erneut speichern.
 
Welche IPv6 ist denn in ISPconfig der Website zugewiesen?
2a01:488:67:1000:523:ffcd:0:1
Firefox zeigt mir die Domain leider nur über IPv4?
 

stefan_sick

New Member
@Till
gestern alles erfolglos probiert. Heute hat mir Hr. Schaal geholfen. Zertifikat erneuert, aber mir ist nicht klar, was falsch lief. Der Server zeigt noch Fehler zB beim Restart der Services.

@hilfswicht
Richtig, die IPv6 ist nur der ws01.cetas.pro zugewiesen, nicht aber den anderen Domains auf dem Server.
 

suther

Member
Da ich auch seit dem letzten Update massive Probleme mit letsencrypt habe, möchte ich mich hier an den Thread mal mit anhängen.

Eine seltsame Sache die mir aufgefallen ist: Die Letsencrypt-Configs (in /etc/letsencrypt/reneval werden alle mit einem Fehler erzeugt.
In der Zeile webroot_path steht nämlich ganz am Ende ein ,
Sieht dann so aus :
Code:
webroot_path = /usr/local/ispconfig/interface/acme,

Kann mir jemand ein Tipp geben, wo die configs generiert werden, damit ich den Fehler dauerhaft beheben kann?

Davon abgesehen werden die Zertifikate in meinem Apache auch nicht mehr eingebunden...
 

Till

Administrator
Die configs generiert certbot selbst, nicht ispconfig. Certbot hat aber leider in den letzten versionen diverse Fehler für die wir dann immer workarounds einbauen mussten. Daher zur Zeit am Besten imemr auf ISPConfig git-stable updatenm, das ist 3.1.13p1 plus bugfixes für 3.1.14
 

suther

Member
Also Version 3.1.13p1 hab ich drauf. Wie spiele ich die Bugfixes für 3.1.14 ein?
 
Zuletzt bearbeitet:

Werbung

Top