SSL Zertifikat erneuert sich nicht

DerNorden

New Member
Hi,

mein Server hat die Zertifikate nicht erneuert.

Ich scheine auch eine alte Certbot Version auf meinem System zu haben. Um genau zu sein die Version 0.10.2.

Wie kann und sollte ich dieses aktualisieren um dann auch ein neues Zertifikat erstellen zu lassen?

Viele Grüße
 
Das Phänomen habe ich ich seit gestern auch. Zuerst kam das Zertifikat abgelaufen wäre. Also in ISP erneuert. Klappte zwar wurde aber wegen angeblich falschen Datum nicht anerkannt. Dann ISP Update auf neuste Version gemacht und nun bleibt beim Generieren des Zertifkat SSL Request leer.
 

Till

Administrator
@mrairbrush Certbot hat überhaupt nichts mit dem CSR Feld zu tun. Um es genau zu sagen, wenn Du Certbot bzw. Let's encrypt nutzt, müssen die Felder CSR, Cert und Key auf dem SSL Reiter leer sein, denn diese stehen im Konflikt mit certbot, solltest Du dort ein cert generieren, kannst Du Let's encrypt in dem web nicht mehr nutzen, das war aber schon immer so.

Zu der ursprünglichen Frage dieses Threads, wie man Certbot aktualisiert steht auf der Certbot Homepage, siehe: https://certbot.eff.org/ Das ist je nach Distribution anders, steht dort aber alles im detail beschrieben. installation von Certbot erfordert jetzt leider die Nutzung von Snap, alte certbot Versionen funktionieren seit Abschaltung des v1 interface von Let's encrypt nicht mehr.
 

Till

Administrator
Lies mal bitte meine Antwort oben bis zum Ende, es nervt echt wenn man die Antwort immer mehrfach wiederholen muss weil einige Leute nur den ersten Satz lesen anstatt mal einen Post bis zum Ende zu lesen. Habe oben geschrieben warum es nicht mehr geht und warum dies nichts mit ISPConfig zu tun hat, also nochmal:

"alte certbot Versionen funktionieren seit Abschaltung des v1 interface von Let's encrypt nicht mehr. "

und ich habe auch geschrieben, was Du dagegen tun kannst:

"wie man Certbot aktualisiert steht auf der Certbot Homepage, siehe: https://certbot.eff.org/ Das ist je nach Distribution anders, steht dort aber alles im detail beschrieben. "

So wie Du schriebst gibt es einen Fehler bei ISP.
Richtig, es gibt einen Fehler in ISPConfig und der hat rein garnichts mit Let's encrypt SSL zu tun. Der Fehler in ISPConfig ist das man derzeit wenn man ein externes neues (nicht verlängerung!) SSL Zertifikat bei einer SSL Authority wie Comodo kaufen möchte, auf deren CSR Generatoren zurückgreifen muss. Du siehst also, hat nichts im geringsten mit Let's Encrypt oder renewal Problemen zu tun.
 
Danke. Scheitert leider schon an der Installation von snapd
Warum einfach wenn es auch schwer geht. :)

Some index files failed to download. They have been ignored, or old ones used instead.
 

Till

Administrator
Da war meine Frage nicht genau genug, ich meinet welches OS und welche Version. Du brauchst vermutlich Debian 9 oder 10 um Snap zu installieren.
 

logifech

Active Member
Ich würde tatsächlichbesser auf ACME.SH updaten, auch wenn es einiges an Arbeit wahrscheinlich wird (Certbot und ACME.sh sind nicht kompatibel). Denke wenn man alle vorhanden Daten von Certbot löscht und dann ACME.sh installiert und einmal ISPConfig im update modus drüber laufen lässt und die Services neukonfiguriert sollte es gehen oder @Till ?
 

Till

Administrator
Denke wenn man alle vorhanden Daten von Certbot löscht und dann ACME.sh installiert und einmal ISPConfig im update modus drüber laufen lässt und die Services neukonfiguriert sollte es gehen oder @Till ?
Leider nein, das reicht nicht, da acme.sh und certbot komplett unterschiedlich funktionieren. acme.sh kopiert certs in das ssl verzeichnis während certbot mit symlinks arbeitet. hattest Du jetzt vorher certbot und installierst acme.sh, dann versucht acme.sh die certs über die noch existierenden symlinks in die certbot verzeichnisse zu kopieren, was zu allen möglichen fehlern am Ende führt. Ich würde derzeit nicht umstellen, man müsste alle ssl dirs der webseiten manuell bereinigen etc. und auch die Umstellung beim ispconfig cert selbst macht massive Probleme, hatte da die letzten Tage mehrere im englischen Forum die sich nicht an die nicht umstellen Empfehlung gehalten haben oder aus Versehen umgestellt hatten und dann ihr komplettes setup abgeschossen haben. Also besser nicht umstellen. Wir arbeiten daran dass ISPConfig zumindest je nach aktuellem client versucht SSL cert Reste des anderen clients zu entfernen, das wird vermutlich in 3.2.6 drin sein, aber leicht wird die Umstellung auch dann nicht.

Das certbot so schlecht mit Altinstallationen umgeht ist mehr als ärgerlich und für mich auch völlig unverständlich. Wie kann es sein dass der offizielle client des größten free SSL cert providers sich nur noch per snap installieren lässt und keine Updates mehr für eine 'normale' Installation anbietet? Certbot ist nur ein python shell script und nicht mehr. Aber certbot hat leider eine lange Historie an Problemen, es ist meiner meinung nach die Software Komponente in ISPConfig für die wir die meisten Workarounds um diverse Bugs und Seltsamkeiten einbauen mussten bis hin zu Suchfunktionen für passende certs, da auch da kein Verlass auf certbot ist. daher auch die Umstellung auf acme.sh bei neuinstallationen. Acme.sh ist einfach zu installieren, da es im Grunde keine Installation benötigt, keine dependencies hat, muss nur bash installierts ein, und seit langen stabil gepflegt wird.
 

logifech

Active Member
Danke für die Aufklärung @Till , ich verstehe es auch nicht das man um Certbot in einer halbwegs akzeptablen Version nutzen zu können absofort Snap installieren muss. Ich bin so oder so kein Freund von Ubuntu und Canonical. Ich habe mein neues ISPConfig Cluster von Anfang an mit acme.sh installiert und noch nie Probleme gehabt, im Gegenteil.
 

Till

Administrator
Naja, Debian 8 ist doch eh EOL, müsstest Du doch sowieso mal updaten, unabhängig von den Certbot Problemen :)
 
Schon klar. Irgend etwas geht bei Updates meist schief. Muss aber wohl an der Zertifizierungsstelle liegen, sind immerhin das letzte Glied in der Kette.
 
Blöderweise finde ich den Link gerade nicht zur Updateanleitung von Debian 8.xx >>>
Browser geschlossen und Seite nicht gespeichert.
 

Werbung

Top
Unsere Website wird durch die Anzeige von Online-Werbung für unsere Besucher ermöglicht.
Bitte ziehe es in Betracht, uns zu unterstützen, indem du deinen Werbeblocker deaktivierst.