Warum speichert letsencrypt an 2 Orten?

[fw114]

Das mag sich gerade ein bissel nach einer doofen Frage anhören, aber
ich ziehe gerade auf den neuen Server um.

aber weder in /var/log/letsencrypt/letsencrypt.log

noch in /etc/letsencrypt/live

habe ich Einträge von den SSL Domains!

Ich habe eine(!) Domain die korrekt so liegt wie ich das kenne.
Bei der 2 die ich gerade eingerichtet habe > nichts !
( Im Browser wird die 2 Domain korrekt via Letsencrypt als abgesichert angezeigt)

Was is hier los ? Was übersehe ich ?
Nix in den Logfiles trotz Debug

Keine Fehler bei
/usr/local/ispconfig/server/server.sh

Bin gerade etwas ratlos.
/usr/local/ispconfig/server/server.sh 13.01.2025-20:59 - DEBUG [z php fpm incron reload plugin.inc:31] - You must install incron in order to use this plugin 13.01.2025-20:59 - DEBUG [plugins.inc:155] - Calling function 'check_phpini_changes' from plugin 'webserver_plugin' raised by action 'server_plugins_loaded'. 13.01.2025-20:59 - DEBUG [server:184] - Found 1 changes, starting update process. 13.01.2025-20:59 - DEBUG [plugins.inc:118] - Calling function 'ssl' from plugin 'apache2_plugin' raised by event 'web_domain_update'. 13.01.2025-20:59 - DEBUG [plugins.inc:118] - Calling function 'update' from plugin 'apache2_plugin' raised by event 'web_domain_update'. 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: chattr -i '/var/www/clients/clientX/webX' - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: chattr +i '/var/www/clients/clientX/webX' - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: df -T '/var/www/clients/clientX/webX'|awk 'END{print $2,$NF}' - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: which 'setquota' 2> /dev/null - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: setquota -u 'webX' '0' '0' 0 0 -a &> /dev/null - return code: 0 setquota: Setze Blockgnadenfrist auf /dev/sda1 nicht, denn das weiche Limit ist nicht überschritten. setquota: Setze Inodegnadenfrist auf /dev/sda1 nicht, denn das weiche Limit ist nicht überschritten. 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: setquota -T -u 'webX' 604800 604800 -a &> /dev/null - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: chattr +i '/var/www/clients/clientX/webX' - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: which 'apache2ctl' 2> /dev/null - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2089] - Trying to use Systemd to restart service 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: systemctl is-enabled 'apache2' 2>&1 - return code: 0 13.01.2025-20:59 - DEBUG [letsencrypt.inc:436] - Create Let's Encrypt SSL Cert for: xxxxx.de 13.01.2025-20:59 - DEBUG [letsencrypt.inc:437] - Let's Encrypt SSL Cert domains: 13.01.2025-20:59 - DEBUG [system.inc:1826] - exec: R=0 ; C=0 ; /root/.acme.sh/acme.sh --issue -d xxxxx.de -d www.xxxx.de -w /usr/local/ispconfig/interface/acme --always-force-new-domain-key --keylength 4096; R=$? ; if [ $R -eq 0 -o $R -eq 2 ] ; then /root/.acme.sh/acme.sh --install-cert -d xxxx.de -d www.xxxxx.de --key-file '/var/www/clients/clientX/webX/ssl/xxxxx.de-le.key' --fullchain-file '/var/www/clients/clientX/webX/ssl/xxxxxxx.de-le.crt' --reloadcmd 'systemctl force-reload apache2.service' --log '/var/log/ispconfig/acme.log'; C=$? ; fi ; if [ $C -eq 0 ] ; then exit $R ; else exit $C ; fi 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: which 'apache2ctl' 2> /dev/null - return code: 0 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: which 'apache2ctl' 2> /dev/null - return code: 0 13.01.2025-20:59 - DEBUG [apache2 plugin.inc:1831] - Enable SSL for: torsalex.de 13.01.2025-20:59 - DEBUG [apache2 plugin.inc:1892] - Writing the vhost file: /etc/apache2/sites-available/xxxxxx.de.vhost 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: which 'apache2ctl' 2> /dev/null - return code: 0 13.01.2025-20:59 - DEBUG [apache2 plugin.inc:3464] - Writing the PHP-FPM config file: /etc/php/8.3/fpm/pool.d/web6.conf 13.01.2025-20:59 - DEBUG [services.inc:56] - Calling function 'restartPHP_FPM' from module 'web_module'. 13.01.2025-20:59 - DEBUG [system.inc:2089] - Trying to use Systemd to restart service 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: systemctl is-enabled 'php8.3-fpm' 2>&1 - return code: 0 13.01.2025-20:59 - DEBUG [web module.inc:316] - Restarting php-fpm: systemctl reload php8.3-fpm.service 13.01.2025-20:59 - DEBUG [apache2 plugin.inc:2010] - Apache status is: running 13.01.2025-20:59 - DEBUG [services.inc:56] - Calling function 'restartHttpd' from module 'web_module'. 13.01.2025-20:59 - DEBUG [system.inc:2089] - Trying to use Systemd to restart service 13.01.2025-20:59 - DEBUG [system.inc:2436] - safe_exec cmd: systemctl is-enabled 'apache2' 2>&1 - return code: 0 13.01.2025-20:59 - DEBUG [web module.inc:246] - Restarting httpd: systemctl restart apache2.service 13.01.2025-20:59 - DEBUG [apache2 plugin.inc:2013] - Apache restart return value is: 0 13.01.2025-20:59 - DEBUG [apache2 plugin.inc:2024] - Apache online status after restart is: running 13.01.2025-20:59 - DEBUG [modules.inc:240] - Processed datalog_id 218 13.01.2025-20:59 - DEBUG [server:224] - Remove Lock: /usr/local/ispconfig/server/temp/.ispconfig_lock finished server.php.

 

[fw114]

OK , habe gerade die Certs in

/var/www/kunde/ssl

gefunden.

Warum habe ich einmal in /etc/letsencrypt/live

und einmal in /var/www/kunde/ssl

Letsencrypt Zertifikate ?

Was mache ich falsch ?

 

[Till]

Scheinbar hast Du manuell noch certbot installiert, das aber von ISPConfig nicht genutzt wird, denn dein Systenm nutzt acme.sh. Acme.sh liegt in /root/.acme.sh und es kopiert zertifikate direkt in die Webseite, /etc/letsencrpyt wird dann garnicht verwendet.

 

[Till]

Da Du schreibst dass Du den Server umziehst, vermutlich hast Du da einen Fehler gemacht denn für einen umzug darfst Du nicht den Let's Encrypt client wechseln, nutzt Dein altes System Certbot, musst Du auch auf dem neuen System Certbot verwenden, oder es gibt ein Durcjeinander bei den LE Zertifikaten und sie könnend ann nicht umgezogen werden. Wenn Du den auto-installer verwendest, dann kannst Du den LE client angeben.

 

[fw114]

OK, kann ich den Certbot einfach deinstallieren ?

 

[fw114]

Da Du schreibst dass Du den server umziehst, vermutlich hast Du da einen fehler gemacht denn für einen umzug darfst Du nicht den Let's Encrypt client wechseln, nutzt Dein altes System certbot, musst Du auch auf dem neuen system certbot verwenden. Wenn Du den auto-installer verwendest, dann kannst Du den LE client angeben.

Ja der alte nutzt Certbot. Der neue ist eigentlich nach dem Best Sever HowTo aufgesetzt.

Wie bekomme ich denn am besten die Domains von Cerbot weg. Dann würde ich das "eben" manuell neue Certs machen, da das auf dem Server nicht soviele sind.
Die eben von Hand neu machen, is kein Problem.

 

[Till]

Das ist schwer zu sagen, er hätte garnicht erst installiert sein dürfen, jetzt hast Du im worst case eimn gemisch aus Zertifikaten und wenn Du einen Client ntfernst, startet der web server nicht mehr. Du müsstest vor der deinstallation von certbot prüfen dass keine webseite mehr auf eines der Zertifikate verweist.

 

[fw114]

Also ...
KEINE Gewähr, dass es bei anderen auch so läuft, da der Server neu ist und nur 2 Domains mit Certbot umgezogen wurden!

In den Webseiten von ISPconfig , SSL und Letsencrypt haken raus. Speichern. Warten bis er fertig ist.
Dann Certbot Deinstallieren.
Dann löschen der Certs in
/etc/letsencrpyt/live
/etc/letsencrpyt/archive
/etc/letsencrpyt/renewal

Dann haken wieder rein bei SSL und Letsencrypt.
Die Certs werden neu erstellt, bzw. neu kopiert wenn bereits vorhanden.
Done.