SSL für Domain wird nicht erstellt

[lord_icon]

ich bin auf Debian 11 und auf der neuesten ISPConfig.

Die ISPConfig-Verwaltungs-Domain => da klappt das SSL Zertifikat.
Das wurde aber am 16 May erzeugt. Da war ich noch Debian 10 und mind. 2 Jahres altes ISP Config.
Hab das dann mal Testweise deaktiviert und nach 1-2 min wieder aktiviert... in der Hoffnung, dass ich ein neues SSL Zertifikat bekomme. Scheint aber nicht so. Solange ein gültiges da ist, wird das wohl wieder rangezogen. Somit kann ich nicht sagen, ob ggf. das Upgrade den Fehler verursacht bzw. generell noch geht.

Neue Domain(domain.local) angelegt und SSL aktiviert.
Kurz danach gab es 2 Mails:
ispconfig-domain.de - 23.05.2022-20:31 - WARNING - Let's Encrypt SSL Cert for: domain.local could not be issued. ispconfig-domain.de - 23.05.2022-20:31 - WARNING - /opt/eff.org/certbot/venv/bin/certbot certificates --domains domain.local --domains [URL='http://www.eigenheimwelt.de']www.domain.local[/URL]

cat /var/log/letsencrypt/letsencrypt.log 2022-05-23 20:32:09,513:DEBUG:certbot._internal.main:certbot version: 1.2.0 2022-05-23 20:32:09,513:DEBUG:certbot._internal.main:Arguments: ['--domains', 'ispconfig-domain.de', '--domains', 'www.ispconfig-domain.de'] 2022-05-23 20:32:09,513:DEBUG:certbot._internal.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#apache,PluginEntryPoint#manual,PluginEntryPoint#nginx,PluginEntryPoint#null,PluginEntryPoint#standalone,PluginEntryPoint#webroot) 2022-05-23 20:32:09,538:DEBUG:certbot._internal.log:Root logging level set at 20 2022-05-23 20:32:09,539:INFO:certbot._internal.log:Saving debug log to /var/log/letsencrypt/letsencrypt.log 2022-05-23 20:32:09,559:DEBUG:urllib3.connectionpool:Starting new HTTP connection (1): r3.o.lencr.org:80 2022-05-23 20:32:09,692:DEBUG:urllib3.connectionpool:http://r3.o.lencr.org:80 "POST / HTTP/1.1" 200 503 2022-05-23 20:32:09,695:DEBUG:certbot._internal.ocsp:OCSP response for certificate /etc/letsencrypt/live/ispconfig-domain.de-0001/cert.pem is signed by the certificate's issuer. 2022-05-23 20:32:09,703:DEBUG:certbot._internal.ocsp:OCSP certificate status for /etc/letsencrypt/live/ispconfig-domain.de-0001/cert.pem is: OCSPCertStatus.GOOD 2022-05-23 20:32:09,710:DEBUG:urllib3.connectionpool:Starting new HTTP connection (1): r3.o.lencr.org:80 2022-05-23 20:32:09,841:DEBUG:urllib3.connectionpool:http://r3.o.lencr.org:80 "POST / HTTP/1.1" 200 503 2022-05-23 20:32:09,843:DEBUG:certbot._internal.ocsp:OCSP response for certificate /etc/letsencrypt/live/ispconfig-domain.de/cert.pem is signed by the certificate's issuer. 2022-05-23 20:32:09,844:DEBUG:certbot._internal.ocsp:OCSP certificate status for /etc/letsencrypt/live/ispconfig-domain.de/cert.pem is: OCSPCertStatus.GOOD cat /var/log/ispconfig/cron.log Mo 23. Mai 20:31:02 CEST 2022 Saving debug log to /var/log/letsencrypt/letsencrypt.log Mo 23. Mai 20:31:02 CEST 2022 Plugins selected: Authenticator webroot, Installer None Mo 23. Mai 20:31:03 CEST 2022 Obtaining a new certificate Mo 23. Mai 20:31:04 CEST 2022 Performing the following challenges: Mo 23. Mai 20:31:04 CEST 2022 http-01 challenge for domain.local Mo 23. Mai 20:31:04 CEST 2022 http-01 challenge for www.domain.local Mo 23. Mai 20:31:04 CEST 2022 Waiting for verification... Mo 23. Mai 20:31:06 CEST 2022 Challenge failed for domain domain.local Mo 23. Mai 20:31:09 CEST 2022 Challenge failed for domain www.domain.local Mo 23. Mai 20:31:09 CEST 2022 http-01 challenge for domain.local Mo 23. Mai 20:31:09 CEST 2022 http-01 challenge for www.domain.local Mo 23. Mai 20:31:09 CEST 2022 Cleaning up challenges Mo 23. Mai 20:31:09 CEST 2022 Some challenges have failed. Mo 23. Mai 20:31:17 CEST 2022 finished server.php. Mo 23. Mai 20:32:02 CEST 2022 Saving debug log to /var/log/letsencrypt/letsencrypt.log Mo 23. Mai 20:32:02 CEST 2022 Plugins selected: Authenticator webroot, Installer None Mo 23. Mai 20:32:03 CEST 2022 Renewing an existing certificate

Soo... 3:30 is wieder aufstehen angesagt... ich verschwinde mal in der Hoffnung, dass einer eine Idee hat.
Danke

 

[Till]

Dafür gibt es das FAQ, jeden Schritt nacheinander durchgehen und prüfen:

Let's Encrypt Fehler FAQ (Checkliste)

Es gibt viele Threads, die sich mit Problemen bei der Erstellung von SSL-Zertifikaten mit Let's Encrypt befassen, deshalb beginne ich hier eine FAQ. Bitte lies den ganzen Beitrag, wenn du Probleme hast. Warum erstellt Letsencrypt kein SSL-Zertifikat? Let's Encrypt verifiziert deinen Server...

forum.howtoforge.de

LE certificate bekommst Du ja nur für echte Domains (also z.B. .de Domains von der DENIC) die im DNS auf diesen server zeigen und aus dem Internet erreichbar sind, denn das ist es was LE prüft, ein Server von LE versucht aus dem netz die Domain auf deinem system zu erreichen. also mit ... irgendwas.local geht es nicht, da bekommst Du kein LE cert.

 

[lord_icon]

Moin Till....

Danke für den Link. Der hat (teilweise) geholfen.

Ich hab seit gestern Abend keine Änderung mehr am System vorgenommen. Gester, kurz vor zu Bett gehen hatte ich es nochmal über ISPConfig versucht mit SSL. Fehlschlag.

Jetzt um ca. 3:50 hab ich "certbot-auto" auf der Shell manuell ausgeführt und das klappte.
Ich hab jetzt eine Vermutung. Den A-Record hab ich ja gestern so gegen 19:00 auf den neuen Server umgebogen. Meine TTL lautet 300. Also 5min. Vermutlich hält sich Let's Encrypt nicht an diesen Wert sodass die Domain noch auf den alten Server zeigte. Blöd, dass das Let's Encrypt nicht genau so sagt (wenn es das Probem tatsächlich war).

Option 2: ISPConfig hat ein Problem (?)

Edit: hmmm.... ich hab über "certbot-auto" das Zertifikat erfolgreich generiert. Generiert ISPConfig über einen anderen Befehl das SSL-Zertifikat?
Die Warnung ist aber leicht beunruhigend. Wird nicht mehr unterstützt.... es gibt keine Updates mehr etc.
Nuja... schau ich mir wohl heute Abend mal genauer an. Auf zur Arbeit ^^

certbot-auto --help
Your system is not supported by certbot-auto anymore.
certbot-auto and its Certbot installation will no longer receive updates.
You will not receive any bug fixes including those fixing server compatibility
or security problems.
Please visit https://certbot.eff.org/ to check for other alternatives.

 

[Till]

Edit: hmmm.... ich hab über "certbot-auto" das Zertifikat erfolgreich generiert.

Keine gute Idee, niemals manuell certbot oder certbot-auto auf ISPConfig Systemen nutzen, denn Certbot zerstört wenn es nicht mit exakt richtigen Parametern aufgerufen wird die Konfiguration von ISPConfig und macht es in Teilen unbrauchbar. Daher steht es auch nicht in der FAQ drin dass Du es nutzen kannst. ISPConfig nutzt zwar auch Certbot und seit ISPConfig 3.2 acme.sh stattdessen, aber wenn Du es nicht mit den exakt selben Parametern aufrufst die ISPConfig nutzt, ist nachher die config kaputt da certbot Fehler beim editieren der config files macht, Websites lassen sich dann unter Umständen nicht mehr updaten und renewals werden nicht funktionieren. Außerdem wurde certbot-auto auch durch certbot via snap ersetzt, worauf Dich ja auch die Meldung hinweist.

Also am Besten alles rückgängig machen was certbot da gemacht hat wenn Du den server weiter nutzen willst und dann weiter mit der FAQ. ich vermute entweder Deine Domain zeigte noch nicht auf den neuen Server, oder aber Du bist hinter einem NAT Router so dass sich Domains vom server aus nicht erreichen lassen und musst wie in der FAQ beschrieben den Let's encrypt check deaktivieren.