SSL Fehler nach Neuinstallation

[thommy]

Moin zusammen,

hab gestern einen neuen "perfekten Server" mit v3.1.11 auf Basis Debian 9 installiert, dazu die Tutorial bez. SSL ( https://www.howtoforge.com/tutorial/securing-ispconfig-3-with-a-free-lets-encrypt-ssl-certificate/) nachgeschoben und danach mit dem Migration-Tool von v3.x alles migriert.

SSL auf der ispConfig-Seite funktioniert reibungslos. Wenn ich aber SSL auf einer der Kundendomains aktiviere, schmeißt mir jeder Browser (Getestet: Chrome, Firefox) einen Fehler "ungültiges Cert" - vermutlich, weil jenes auf web01.serverdomain.tld lautet und nicht auf www.kundendomain.tld

Zwinge ich dann das Joomla auf dieser Domain dazu, SSL zu nutzen, bekomme ich einen 404 - ohne erzwungenes SSL funktioniert das Joomla stressfrei.

Im Log vom Apache2 bin ich nicht fündig geworden - keine Fehlermeldungen bez. dem 404. Weder im Kunden, noch in /var/log/apache

Vielleicht hat ja jemand eine Idee, was da los ist?

 

[Till]

Ich denke mal dass in der betroffenen Seite kein SSL aktiv ist und sie letsencrypt nutzt. Geh mal in die Seiteneinstellungen und sieh nach ob der Haken bei SSL + Letsencrypt gesetzt ist, wenn nicht, setze beide Haken und klicke auf speichern.

 

[thommy]

Die Haken habe ich gesetzt - wenn ich aber nach dem Speichern wieder in die Seiteneinstellungen reingehe, sind beide Haken wieder deaktiviert.

 

[Till]

Dann konnte das LE cert nicht erstellt werden. Die Domain verweist aber schon auf diesen server im dns und ist erreichbar? Weitere Details kannst Du auch it dem debug Mode in ISPConfig rausfinden und über das letsencrypt.log file.

 

[thommy]

letsencrypt.log hat keine Fehler und auch der debug-mode vom ispconfig wirft keine fehler.

Letzter eintrag vom letsencrypt.log ist:

2018-04-14 10:01:34,233:DEBUG:certbot.main:Root logging level set at 30
2018-04-14 10:01:34,234:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2018-04-14 10:01:34,234:DEBUG:certbot.main:certbot version: 0.10.2
2018-04-14 10:01:34,234:DEBUG:certbot.main:Arguments: ['-q']
2018-04-14 10:01:34,235:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#webroot,PluginEntryPoint#null,PluginEntryPoint#manual,PluginEntryPoint#standalone)
2018-04-14 10:01:34,242:INFO:certbot.renewal:Cert not yet due for renewal
2018-04-14 10:01:34,242:DEBUG:certbot.renewal:no renewal failures

Ich hatte vor einer Stunde etwa nochmal das le-cert für die Kundendomain angestoßen... das ispconfig zeigt mir diesen Prozess auch nach 60min noch als "andauernd" an.

DNS für "kundendomain.tld", "*.kundendomain.tld" und "www.kundendomain.tld" zeigt schon auf den neuen Server; ohne SSL funktioniert die webseite auch.

 

[thommy]

was ich in der perfect-server installation grad vermisse, ist SNI..
braucht LE nicht SNI und eine weitere IP für die Kundendomains?

 

[Till]

SNI ist standardmäßig aktiv in jedem apache und Nginx server, dazu muss man weder etwas konfigureren noch installieren.

Ich hatte vor einer Stunde etwa nochmal das le-cert für die Kundendomain angestoßen... das ispconfig zeigt mir diesen Prozess auch nach 60min noch als "andauernd" an.

vielleicht hast Du vom debuggen noch immer den server.sh cronjob auskommentiert?

 

[thommy]

[QUOTE="Till, post: 55057,]
vielleicht hast Du vom debuggen noch immer den server.sh cronjob auskommentiert?[/QUOTE]

stimmt :/

dummerweise hab ich immer noch keinen anhaltspunkt, warum das cert für die Kundendomain nicht angelegt wird. und der DNS zeigt schon auf die neue maschine

 

[Till]

Dann poste doch mal den debug output der angezeigt wird nachdem du letsencrypt deaktiviert hast, gespeichert, und dann wieder aktiviert.

 

[thommy]

16.04.2018-13:28 - DEBUG - Calling function 'check_phpini_changes' from plugin 'webserver_plugin' raised by action 'server_plugins_loaded'.
16.04.2018-13:28 - DEBUG - Found 1 changes, starting update process.
16.04.2018-13:28 - DEBUG - Calling function 'ssl' from plugin 'apache2_plugin' raised by event 'web_domain_update'.
16.04.2018-13:28 - DEBUG - Calling function 'update' from plugin 'apache2_plugin' raised by event 'web_domain_update'.
16.04.2018-13:28 - WARNING - Could not verify domain kundendomain.tld, so excluding it from letsencrypt request.
16.04.2018-13:28 - WARNING - Could not verify domain www.kundendomain.tld, so excluding it from letsencrypt request.
16.04.2018-13:28 - WARNING - Let's Encrypt SSL Cert for: kundendomain.tld could not be issued.
16.04.2018-13:28 - WARNING -
16.04.2018-13:28 - DEBUG - Creating fastcgi starter script: /var/www/php-fcgi-scripts/web23/.php-fcgi-starter
16.04.2018-13:28 - DEBUG - Writing the vhost file: /etc/apache2/sites-available/kundendomain.tld.vhost
16.04.2018-13:28 - DEBUG - Apache status is: running
16.04.2018-13:28 - DEBUG - Calling function 'restartHttpd' from module 'web_module'.
16.04.2018-13:28 - DEBUG - Restarting httpd: systemctl restart apache2.service
16.04.2018-13:28 - DEBUG - Apache restart return value is: 0
16.04.2018-13:28 - DEBUG - Apache online status after restart is: running
16.04.2018-13:28 - DEBUG - Processed datalog_id 383
16.04.2018-13:28 - DEBUG - Remove Lock: /usr/local/ispconfig/server/temp/.ispconfig_lock

"kundendomain.tld" heißt eigentlich anders...
DNS passt jedenfalls.

 

[Till]

Die Domain ist nicht vom server aus erreichbar wie Du im debug.log siehst und daher wird auch kein LE cert ausgestellt. Wenn Der server hinter einen Router steht so dass Domains auf dem Server nicht vom server selbst erreichbar sind, dann schalte den letsencrypt check unter System > server config > web aus.

 

[thommy]

super, danke!

das war der "fehler".