Probleme mit lets encrypt

[ramrod]

Hallo,
hab aktuell Probleme bei der Erneuerung und beim Anlegen von neuen Zertifikaten.
Es geht um ein Debian 9 mit ISPConfig 3.1.11, certbot 0.10.2-1 und nginx 1.13.3

Sobald ich ein renew manuell anzustoßen mit
certbot renew --nginx
erhalte ich:

Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. Attempting to renew cert from /etc/letsencrypt/renewal/xxx.xx.conf produced an unexpected error: Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.. Skipping.

/etc/letsencrypt/renewal/xxx.xx.conf

# renew_before_expiry = 30 days version = 0.10.2 cert = /etc/letsencrypt/live/xxx.xx./cert.pem privkey = /etc/letsencrypt/live/xxx.xx./privkey.pem chain = /etc/letsencrypt/live/xxx.xx./chain.pem fullchain = /etc/letsencrypt/live/xxx.xx./fullchain.pem archive_dir = /etc/letsencrypt/archive/xxx.xx. # Options used in the renewal process [renewalparams] account = 4f9cfd2c6f478eb4e6984fd0a7352f7b authenticator = webroot rsa_key_size = 4096 installer = None [[webroot_map]] www.xxx.xx. = /usr/local/ispconfig/interface/acme xxx.xx. = /usr/local/ispconfig/interface/acme

Die FAQ https://www.howtoforge.com/community/threads/lets-encrypt-error-faq.74179/ hat hier leider nichts gebracht.

Folgendes spuckt ISP bei der nochmaligen Aktivierung über die GUI aus:

Cert is due for renewal, auto-renewing... Renewing an existing certificate Performing the following challenges: http-01 challenge for xxx.xx http-01 challenge for www.xxx.xx Using the webroot path /usr/local/ispconfig/interface/acme for all unmatched domains. Waiting for verification... Cleaning up challenges Unable to clean up challenge directory /usr/local/ispconfig/interface/acme/.well-known/acme-challenge Failed authorization procedure. www.xxx.xx (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://www.xxx.xx/.well-known/acme-challenge/OrCGZRJQBTYXMxUnQxi7ls6dvzRo5-T9l_Kwt2TjDDk: Connection refused, xxx.xx (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://xxx.xx/.well-known/acme-challenge/wGqyWyig_Bvistx74ISbexaiFpje60vfROb8jFQ5cgA: Connection refused finished.

Hat jemand einen Rat?

 

[Till]

Lege mal im Verzeichnis /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/ eine testdatei ab, egal was. z.B.:

touch /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/meintest.txt

Jetzt püfe ob Du sie erreichen kanns mit:

http://xxx.xx/.well-known/acme-challenge/meintest.txt

geht das nicht, dann kann LE das SSL cert nicht authentifizieren. Gründe können sein dass die Domain nicht existiert oderdass Du irgendwelche custm rewrite Regeln utzt welche den Pfad verbiegen so dass der Aufruf nicht mehr geht.

 

[ramrod]

Hallo Till,
das hatte ich gestern spät Nachts bereits versucht. Eine test Datei kann ich da ohne Probleme aufrufen.

 

[alhazred]

Vielleicht ist das die Ursache/Lösung? TLS-SNI-01 (klick)

 

[robotto7831a]

Eher unwahrscheinlich. Ich habe gestern noch erfolgreich mit ISPConfig ein Zertifikat ausgestellt.

 

[Till]

ISPConfig nutzt nur webroot auth, daher sollte die TLS-SNI-01 Abschaltung ISPConfig Systeme nicht betreffen.

Hallo Till,
das hatte ich gestern spät Nachts bereits versucht. Eine test Datei kann ich da ohne Probleme aufrufen.

Vielleicht ein IPv4 / IPv6 Problem? Also dass z.B. nur IPv4 geht und LE vielleicht verushcht sich per IPv6 zu verbinden? Oder DNS problem (split brain), teste mal die records mit intodns.com.