Lets Encrypt SSL

[Rayman]

Hallo Leute,
ich bräuchte bitte mal eure Hilfe.
Ich habe einen KVM und auf dem läuft ISPConfig, soweit so gut.
Nun sollten auf diesen mehrere unterschiedliche Domains laufen zB: test.at, test1.at, test2.at, test3.at...
Wenn ich bei diesen Domains SSL aktiviere, bekomme ich bei allen:

"Diese Verbindug ist nicht sicher"
test1.at verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für folgende Namen: test.at, www.test.at Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

Hat jemand eine Idee was ich falsch mache?
Es spielt dabei keine Rolle, ob ich bei der Domain Konfiguration im ISP die IP Adresse auswähle (wenn dann bei allen Domains) oder den * verwende...

Vielen Dank schon mal, lg

 

[methos]

Es ist aber schon das lets encrypt Zertifikat hinterlegt und kein selbstsigniertes oder?

Kommt beim Aufruf der unterschiedlichen Domains immer das selbe Zertifikat?

 

[Rayman]

ja, das Zertifikat ist in den jeweiligen Verzeichnissen vorhanden (Lets Encrypt SSL mit ISPConfig angelegt), und es wird bei jeder Domain auf das Zertifikat der ersten Domain verwiesen

 

[Till]

Wenn Du den Fehler akzeptierst im browser, bekommst Du dann die richtige webseite angezeigt, oder eine andere?

 

[methos]

Könnte es evtl. sein, das er die config gar nicht richtig geladen hat und deswegen immer der erste ssl vhost angezeigt wird?
Hast du das schon mal geprüft?

 

[Rayman]

bei der test1.at schon, bei der test2.at bekomme ich einen 404... ha ich noch nicht herausgefunden warum...
zB die test1.at zeigt ins web3 und die test2.at zeigt ins web2 (es waren mal subdomains angelegt jedoch gelöscht, daher hat test1.at die höhere web(3) nummer)...

 

[Rayman]

Könnte es evtl. sein, das er die config gar nicht richtig geladen hat und deswegen immer der erste ssl vhost angezeigt wird?
Hast du das schon mal geprüft?

wie kann ich das prüfen? laut IPSConfig wurde alles abgeschlossen..

 

[Rayman]

in den logfiles sehe ich folgende Meldung:
11/Sep/2020:10:36:25 +0000] "HEAD /.well-known/acme-challenge/__test2_at_1599820585 HTTP/1.1" 404 293 "-" "Wget/1.18 (linux-gnu)"

bei test3 ist folgende Log Meldung:
[11/Sep/2020:11:56:30 +0000] "GET / HTTP/1.1" 301 559 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:55.0) Gecko/20100101 Firefox/55.0"


blick da gar nicht mehr durch.... vermutlich besser, ich schmeiß ISPConfig runter und konfiguriere Apache manuell... ^^

 

[methos]

ISPConfig macht eigentlich schon einen guten Job ;-)
Ich hab nginx im Einsatz und es könnte z.b. sein, das unter /etc/nginx/sites-available/ config files von Domains liegen die eine Endung .err haben.
Anpassungen wie nginx Direktiven oder sowas hast du ja nicht gemacht oder?

 

[Rayman]

ISPConfig macht eigentlich schon einen guten Job ;-)
Ich hab nginx im Einsatz und es könnte z.b. sein, das unter /etc/nginx/sites-available/ config files von Domains liegen die eine Endung .err haben.
Anpassungen wie nginx Direktiven oder sowas hast du ja nicht gemacht oder?

nein, da habe ich keine Änderungen gemacht

 

[Till]

1) Schau ins Verzeichnis /etc/apache2/sites-available/ ob da Dateien mit .err Dateiendung sind.
2) hast Du die let's encrypt checkbox und die SSL Checkbox angehakt bei der entsprechenden website und dann gespeichert? wenn Du dann nach 1 Minute, also wenn der rote Punkt im oberen menü nicht mehr da ist, nachschaust, sind die beiden haken dann noch gesetzt?
3) Hast Du vielleicht mal certbot auf der shell für eine der webseiten manuell genutzt? Denn dann kann die Seite in ISPConfig niht mehr funktionieren, da certbot die config kaputt macht wenn man es manuell mit apache option verwendet.
4) https://www.howtoforge.com/community/threads/lets-encrypt-error-faq.74179/

und wie @methos schon schribe. let#s encrypt in ISPConfig funktioniert weinwandfrei, es handelt sich hier um ein Problem mit deinem Servers etup und kein allgemeines Problem mit ISPConfig oder let's encrypt.

 

[Rayman]

1) Schau ins Verzeichnis /etc/apache2/sites-available/ ob da Dateien mit .err Dateiendung sind.

nein, da sind nur die conf und vhost dateien

2) hast Du die let's encrypt checkbox und die SSL Checkbox angehakt bei der entsprechenden website und dann gespeichert? wenn Du dann nach 1 Minute, also wenn der rote Punkt im oberen menü nicht mehr da ist, nachschaust, sind die beiden haken dann noch gesetzt?

hmm, bei test2.at und test3.at waren beide Lets Encrypt SSL´s nicht mehr angehackt....
hab das nochmal gespeichert, einmal mit * und einmal mit der IP Adresse
mit * selbes Ergebnis und mit der IP Adresse hat es nun scheinbar funktioniert....

3) Hast Du vielleicht mal certbot auf der shell für eine der webseiten manuell genutzt? Denn dann kann die Seite in ISPConfig niht mehr funktionieren, da certbot die config kaputt macht wenn man es manuell mit apache option verwendet.

nein, habe ich bewusst nicht gemacht

4) https://www.howtoforge.com/community/threads/lets-encrypt-error-faq.74179/

und wie @methos schon schribe. let#s encrypt in ISPConfig funktioniert weinwandfrei, es handelt sich hier um ein Problem mit deinem Servers etup und kein allgemeines Problem mit ISPConfig oder let's encrypt.

 

[Rayman]

ich habe keine Erlärung wo der Fehler war, aber scheinbar funktioniert es nun, nachdem ich überall anstelle des * die IP Adresse eingetragen habe...

Vielen Dank an alle, die versucht haben mir zu helfen und schönes Wochenende... LG

 

[matz]

Interessant. Ich habe nämlich IMMER die IP-Adressen (IPv4 und IPv6) des Servers angegeben, deine Probleme hatte ich noch nicht, deshalb schaute ich in diesen Thread. Ich werde es mal bei Gelegenheit testen ob ich bei * statt IP-Adresse auch diese Probleme bekomme. Nutze übrigens Nginx.

 

[Till]

Es funktioniert sowohl mit * als auch mit Ip, das macht keinen Unterschied. ich evrmute mal dass die Domains im DNS noch nicht so auf die neue IP zeigtem, dasss LE sie erkannt hat und deshalb kein cert ausgestellt wurde, denn ind em Fall passiert genau das was er beschrieben hat, die hakten bei LE und SSL werden dann wieder deaktiviert.

 

[matz]

Ok, das macht Sinn. Ich habe die Verbreitung der DNS-Einträge immer abgewartet. Dass LE eine real existierende Domain braucht liegt ja auf der Hand.