pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » Letsencrypt will nicht :*( » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Letsencrypt will nicht :*(
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Letsencrypt will nicht :*( Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Irgendwie will das letsencrypt bei mir nicht funktionieren...

* in der serverkonfiguration aktiviert
* beim endkundenangebot aktiviert

wenn ich nun aufrufe:

/opt/pdadmin/bin/letsencrypt www.meineseite.tld

bekomme ich letztlich
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
... .. .
IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: www.meineseite.tld
   Type:   connection
   Detail: Fetching
   http://www.meineseite.tld/.well-known/acme-challenge/Os7CdQ0qfxr_JitIbyxsRPub0PWygaxtzq3fDDGFUDY:
   Timeout

   Domain: meineseite.tld
   Type:   connection
   Detail: Fetching
   http://meineseite.tld/.well-known/acme-challenge/taUwXVDw-1k4_3qzG0xeJgUsDlKfDifZpv0nzCOm3jw:
   Timeout
... .. . 





In meiner VirtualHost scheint alles korrekt

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
<VirtualHost ip:80>
ServerName [URL]www.meineseite.tld[/URL]
DocumentRoot /home/mnseitl/www.meineseite.tld
ServerAlias meineseite.tld
ServerAlias [URL]www.meineseite.tld.mein.server.tld[/URL]
ServerAlias meineseite.tld.mein.server.tld
ServerAdmin [EMAIL]webmaster@meineseite.tld[/EMAIL]
SetEnv QMAILUSER postmaster
SetEnv QMAILHOST meineseite.tld
Alias /pda-ssl-validation-files /opt/pdadmin/etc/ssl-validation
SetEnv PHP5_VERSION 7.2.0
SetEnv RLIMIT_CPU 12
SetEnv RLIMIT_NPROC 32
SetEnv RLIMIT_AS 512000000
SetEnv RLIMIT_NOFILE 100
ScriptAlias /cgi-sys/ /usr/local/pd-admin2/cgi-sys/
AddHandler cgiwrap .pl .cgi
Action cgiwrap /cgi-sys/cgiwrap/home/mnseitl/www.meineseite.tld/
   ProxyFCGIBackendType GENERIC
    <FilesMatch ".+\.ph(p[3457]?|t|tml)$">
       SetHandler "proxy:unix:/service/FPM-mnseitl/socket|fcgi://localhost"
    </FilesMatch>
    <FilesMatch ".+\.phps$">
        # Deny access to raw php sources by default
        # To re-enable it's recommended to enable access to the files
        # only in specific virtual host or directory
        Require all denied
    </FilesMatch>
    # Deny access to files without filename (e.g. '.php')
    <FilesMatch "^\.ph(p[3457]?|t|tml|ps)$">
        Require all denied
    </FilesMatch>
   <LocationMatch /php-fpm-status-mnseitl>
       SetHandler "proxy:unix:/service/FPM-mnseitl/socket|fcgi://localhost"
   </LocationMatch>


Alias /.well-known/acme-challenge/ /opt/pdadmin/etc/ssl-validation/.well-known/acme-challenge/
Header set Strict-Transport-Security "max-age=15768000
</VirtualHost>

Jemand eine Idee? :*(
19.04.2018 15:16 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

@sumeragi vielen Dank für Deinen Beitrag. HAbe jetzt einen neuen Thread erstellt siehe hier smile

Und:
Erfolg habe ich mit folgendem Befehl gehabt
code:
1:
2:
[root@myserver ~]# cd /opt/pdadmin/bin/
[root@myserver bin]# ./certbot-auto certonly --webroot -w /opt/pdadmin/etc/ssl-validation/ --rsa-key-size 4096 -d myserver.domain.tld

Wieso will "letsencrypt" da nicht mitspielen wenn doch der certbot anscheinend keine probleme hat...
19.04.2018 15:17 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich hatte glaube ich mal einen vergleichbaren Fehler weil die betroffene Domain einen ipv6 (AAAA) Eintrag hatte.
Letsencrypt versuchte daraufhin offenbar die Verifizierungsdatei über ipv6 abzuholen, was aus für dieses Thema nicht relevanten Gründen nicht funktioniert hat.

Kannst Du derlei Gründe ausschließen?

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
20.04.2018 08:33 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Sumeragi
Mitglied


Dabei seit: 19.07.2016
Beiträge: 120

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von tbc233
Ich hatte glaube ich mal einen vergleichbaren Fehler weil die betroffene Domain einen ipv6 (AAAA) Eintrag hatte.
Letsencrypt versuchte daraufhin offenbar die Verifizierungsdatei über ipv6 abzuholen, was aus für dieses Thema nicht relevanten Gründen nicht funktioniert hat.

Kannst Du derlei Gründe ausschließen?


Dies kann man in den Log Files sehen. Einfach Mal nach greppen:

code:
1:
grep -B5 -RE "addressUsed" /var/log/letsencrypt
20.04.2018 09:11 Sumeragi ist offline E-Mail an Sumeragi senden Homepage von Sumeragi Beiträge von Sumeragi suchen Nehme Sumeragi in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi,
und Danke für eure Beiträge.

Selbstverständlich habe ich mir die Fehlermeldung durchgelesen und auch sichergestellt das es DNS-Technisch definitiv funktionieren müsste. Wenn ich die Links selbst aufrufe klappt es ja auch.. zumindest eine "test.txt" im erwarteten verzeichniss kann ich aufrufen - Die Datei die von letsencrypt angelegt werden müsste ist halt nicht da.

An sich sollte es ja gehen, schliesslich funktioniert der aufruf mit dem "certbot" (siehe mein letzter Post) ja ohne weiteres.

Was übersehen wir? :*(
23.04.2018 09:54 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Sumeragi
Mitglied


Dabei seit: 19.07.2016
Beiträge: 120

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von webby
Was übersehen wir? :*(


Zitat:
Original von webby
Die Datei die von letsencrypt angelegt werden müsste ist halt nicht da.

Zitat:
Original von webby
code:
1:
2:
[root@myserver ~]# cd /opt/pdadmin/bin/
[root@myserver bin]# ./certbot-auto certonly --webroot -w /opt/pdadmin/etc/ssl-validation/ --rsa-key-size 4096 -d myserver.domain.tld

Geht es hierbei um den Server Hostnamen oder um irgendeine Domain auf dem Server? Für den Server Hostnamen nutzt die letsencrypt binary nämlich /usr/local/pd-admin2/htdocs/ als Webroot.

Ich kann natürlich verstehen, dass man bei Problemen nicht gerne die echte Domain, sowie die Konfig der Domain / des Servers posten möchte - dies macht es für Dritte aber auch sehr schwierig alles genauer unter die Lupe zu nehmen. Daher kann man nur raten...

Die Fehlermeldung ist aber ein Timeout. In der Regel steht dies in Zusammenhang mit dem DNS. Daher würde ich hier noch einmal alles prüfen.
23.04.2018 12:51 Sumeragi ist offline E-Mail an Sumeragi senden Homepage von Sumeragi Beiträge von Sumeragi suchen Nehme Sumeragi in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Der Hinweis bzgl. des Dir "/usr/local/pd-admin2/htdocs/" ist interessant - wusste ich nicht smile ... finde in der httpd.conf aber auch keinen hinweis diesbezüglich... hmm..

ungeachtet dessen, DNS technisch ist alles wunderbar. Wieso hier ein Timeout kommt ist mir noch immer nicht klar... insbesondere da es ja mit certbot ohne weiteres funktioniert (zuletzt für ein Zertifikat für den Server - richtig)

Meine Vermutung war/ist das letsencrypt hier die abzufragende Datei nicht anlegt (kann?) und es deshalb zur Meldung kommt... falls "timout" hier tatsächlich "timout" heisst, weil der Server an sich nicht antwortet, muss das Problem wohl an anderer stelle sein...

Wenn der Kunde mich wieder an das System bestellt, werde ich mal schauen was sich ich sonst noch so finde und würde mich ggf. noch einmal melden.

Erst einmal vielen Dank!
24.04.2018 12:11 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Sumeragi
Mitglied


Dabei seit: 19.07.2016
Beiträge: 120

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von webby
Meine Vermutung war/ist das letsencrypt hier die abzufragende Datei nicht anlegt (kann?) und es deshalb zur Meldung kommt... falls "timout" hier tatsächlich "timout" heisst, weil der Server an sich nicht antwortet, muss das Problem wohl an anderer stelle sein...


Wird eine Datei nicht gefunden, meldet der certbot dies auch mit einem 404 Fehler. Bei aktivem Verzeichnisschutz gäbe es zum Beispiel einen 401 Fehler. Da liefert der Dienst schon ziemlich präzises Feedback.

Wenn das Problem nur bei dieser Domain Auftritt und nur dort reproduzierbar ist, dürfte es jedenfalls kein allgemeines Problem sein. Vielleicht findet sich ja noch die Lösung u dem Problem.
25.04.2018 01:16 Sumeragi ist offline E-Mail an Sumeragi senden Homepage von Sumeragi Beiträge von Sumeragi suchen Nehme Sumeragi in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich habe heute mal meinen Server auf 0.312 aktualisiert und anschliessend erneut versucht wie folgt ein Zertifikat zu beantragen
code:
1:
#> /opt/pdadmin/bin/letsencrypt www.eine.tld

und siehe da es hat auf anhieb funktioiniert...

NOCH EIN WICHTIGER HINWEIS:
Domains müssen offenbar als "Haupt-Domain" eingetragen sein. Mit "Co-Domains" funktioniert das anscheinend nicht...

Der Vollständigshalber die nun vorhandenen einträge aus der httpd.conf
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
<VirtualHost ip:80>
ServerName www.meineseite.tld
DocumentRoot /home/mnseitl/qmi-cms
ServerAlias meineseite.tld
ServerAlias meinalias.tld ... .. .
ServerAlias www.meinalias.tld ... .. .
ServerAlias www.meineseite.tld.mein.server.tld
ServerAlias meineseite.tld.mein.server.tld
ServerAdmin webmaster@meineseite.tld
SetEnv QMAILUSER postmaster
SetEnv QMAILHOST meineseite.tld
Alias /pda-ssl-validation-files /opt/pdadmin/etc/ssl-validation
SetEnv PHP5_VERSION 5.3.29
SetEnv RLIMIT_CPU 12
SetEnv RLIMIT_NPROC 32
SetEnv RLIMIT_AS 512000000
SetEnv RLIMIT_NOFILE 100
ScriptAlias /cgi-sys/ /usr/local/pd-admin2/cgi-sys/
<Directory /opt/pdadmin/etc/phpfcgi/mnseitl>
SetHandler fastcgi-script
Options +ExecCGI
</Directory>
ScriptAlias /php-fcgi/ /opt/pdadmin/etc/phpfcgi/mnseitl/
<Directory /home/mnseitl/qmi-cms>
Action php-fastcgi /php-fcgi/starter/
AddHandler php-fastcgi .fphp .php .php5 .php4 .phtml
</Directory>

Alias /.well-known/acme-challenge/ /opt/pdadmin/etc/ssl-validation/.well-known/acme-challenge/
</VirtualHost>

<VirtualHost ip:443>
UseCanonicalName off
ServerName www.meineseite.tld
DocumentRoot /home/mnseitl/qmi-cms
ServerAlias meineseite.tld
ServerAlias meinalias.tld ... .. .
ServerAlias www.meinalias.tld ... .. .
ServerAlias www.meineseite.tld.mein.server.tld
ServerAlias meineseite.tld.mein.server.tld
ServerAdmin webmaster@meineseite.tld
SetEnv QMAILUSER postmaster
SetEnv QMAILHOST meineseite.tld
Alias /pda-ssl-validation-files /opt/pdadmin/etc/ssl-validation
SetEnv PHP5_VERSION 5.3.29
SetEnv RLIMIT_CPU 12
SetEnv RLIMIT_NPROC 32
SetEnv RLIMIT_AS 512000000
SetEnv RLIMIT_NOFILE 100
ScriptAlias /cgi-sys/ /usr/local/pd-admin2/cgi-sys/
<Directory /opt/pdadmin/etc/phpfcgi/mnseitl>
SetHandler fastcgi-script
Options +ExecCGI
</Directory>
ScriptAlias /php-fcgi/ /opt/pdadmin/etc/phpfcgi/mnseitl/
<Directory /home/mnseitl/qmi-cms>
Action php-fastcgi /php-fcgi/starter/
AddHandler php-fastcgi .fphp .php .php5 .php4 .phtml
</Directory>
SSLEngine on
SSLCertificateFile /opt/pdadmin/sslcerts/www.meineseite.tld-cert
SSLCertificateKeyFile /opt/pdadmin/sslcerts/www.meineseite.tld-key
SSLCertificateChainFile /opt/pdadmin/sslcerts/www.meineseite.tld-cacert
SetEnvIf User-Agent ".*MSIE.*" \
    nokeepalive ssl-unclean-shutdown \
    downgrade-1.0 force-response-1.0
Alias /.well-known/acme-challenge/ /opt/pdadmin/etc/ssl-validation/.well-known/acme-challenge/
</VirtualHost>
08.05.2018 12:49 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » Letsencrypt will nicht :*(

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de