[Automatische Verlängerung von Let's Encrypt-Zertifikat]

So, wieder mehrmals gewartet, am 10.1.2022 wieder das selbe Problem: das Zertifikat für die Website wird im Browser als ungültig dargestellt.

Ich habe jetzt nur den nginx-Server mit "service nginx restart" neu gestartet und das Problem war sofort behoben.

Daraus schließe ich:

• Dass der Froxlor cronjob mit der letsencrypt-Erneuerung ausgeführt wird - da ja nach Server-Neustart das neue Zertifikat sofort aktiv ist.
• Dass der froxlor-cronjob /var/www/froxlor/scripts/froxlor_master_cronjob.php den Server nicht richtig neu startet.

Was kann ich tun um das Problem zu beheben?

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Evil: ok, kann ich mir vorstellen. Da ich das "nebenberuflich" mache bin ich mal zufrieden und lese mich später ein.

Zweiter vHost, ich weiß, aber da hatten wir mal eine Diskussion (https://forum.froxlor.org/index.php?/topic/19573-automatische-verlängerung-von-lets-encrypt-zertifikat/page/3/#comment-43204) bzgl. nicht funktionierendem automatischen Lets Encrypt-Update. Jetzt klappt das, das will ich momentan nimma angreifen.

Danke jedenfalls für die Rückmeldung.

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Und schon gelöst mit:

if ($host = www.domain.com) {
	return 301 https://domain.com$request_uri;
}

Hast Du ev. dazu was zu sagen? Von wegen "if is evil" bei nginx?

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Sicher krieg ist das raus, hab auch schon zig Einträge selbst gemacht. Aber das ist wieder eine neuer Fall, neue Einstellungen. Hör mir zudem lieber zuerst an was Froxlor dazu sagt bevor ich was selber schnitz!

Danke für die Kommunikation, ich versuch das mal. Das muss man mal behirnen, dass durch den gesetzen www-Alias der non-www-vHost aufgerufen wird - und dass ich dann dort die www-domain nochmals verarbeiten kann.

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Jo, hab ich ja gemacht. Zumindest für den Access-Control-Allow-Origin-Header.

Ok, also muss ich doch mitdenken 😄 und einen location-Eintrag in den Einstellungen setzen der mir den www-Aufruf auf non-www umleitet, korrekt?

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Lach... wenn man im nginx-Rennwagen sitzt eher nicht... der spricht nicht htaksessisch!

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Hm, ev. blicke ich nicht ganz durch... die Header kann ich schon einstellen, Problem ist aber ich kann aber beim "Access-Control-Allow-Origin"-Header nur eine Domain einstellen!

Umgehen könnte ich das wenn ich eine Weiterleitung von www.domain.com auf domain.com OHNE zusätzlichen www-vHost schaffen kann, mit Froxlor. Das wird aber nicht gehen, oder?

Wenn ich das script https://domain.com/script.php aufrufe ABER die Seite über https://www.domain.com betrachte schießt mir die CORS-policy den Aufruf ab.

Hm.

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Das hilft mir jetzt nicht weiter. Auf https://developer.mozilla.org/de/docs/Web/HTTP/CORS/Errors/CORSMissingAllowOrigin ist zu lesen dass man auch eine "origin-list" angeben kann:

Zitat

Private APIs sollten niemals "*" verwenden, sondern stattdessen eine spezifische Domain oder eine Liste von Domains. 

Die Referenzseite wurde erst vor kurzem bearbeitet, die Infos scheinen aktuell zu sein. Bloß wo definiert man diese "origin-list"? Wenn man einfach mit Leerzeichen separiert oder mehrere add_header-Anweisungen untereinander einfügt heißt es es darf nur ein Origin definiert werden...

[nginx add_header 'Access-Control-Allow-Origin' - mehrere Domain angeben funktioniert nicht]

Hallo d00p!

Ich möchte den Content-Security-Header "Access-Control-Allow-Origin" mit mehreren Domains setzen. Das geht aber offenbar gar nicht - oder doch? Die Developer-Konsole im Browser sagt "multiple domains not allowed" wenn ich diesen Eintrag einfüge:

add_header Access-Control-Allow-Origin "https://domain.com https://www.domain.com";

Das Blöde ist, dass Skriptaufrufe mit domain.com hardcoded sind, d.h. bei www-Domain Aufruf werden diese von der Content-Security-Policy gekillt.

DIE Lösung wäre es wenn ich eine direkte Weiterleitung von www.domain.com auf domain.com setzen könnte. Dazu müsste ich einen zusätzlichen www-vHost anlegen (momentan läuft nur ein vHost mit www-Alias). Allerdings hatte ich mit dieser Lösung Probleme beim automatischen Update der Lets Encrypt-Zertifikate.

Hab ich mich soweit verständlich ausgedrückt? 😉

Hast Du ev. einen Tipp wie ich das Problem mit Froxlor lösen kann? Einerseits ist das Thema "Access-Control-Allow-Origin multiple Domains nginx" etwas off topic - andererseits nicht, da ich das Problem nur mit Froxlor lösen sollte und nicht etwas zu Fuß schnitzen will.

 

Grüße aus Wien

 

[Lets Encrypt Zertifikat für froxlor vHost wird nicht eingerichtet]

Uff, jetzt erscheinen plötzlich im Ordner root/.acme.sh/[server-domain] die fehlenden Dateien, Zertifikat funktioniert nun.

Offenbar zu wenig lang gewartet. Ich ruf den master-cronjob zunächst immer manuell auf, war wohl zu ungeduldig.

Die Frage hat sich momentan erledigt!

[Lets Encrypt Zertifikat für froxlor vHost wird nicht eingerichtet]

Hallo d00p!

Ich möchte das froxlor-Backend über ein Lets Encrypt-Zertifikat absichern. Die notwendigen Einstellungen in den "Froxlor Virtual Host Einstellungen" habe ich vorgenommen, Häkchen bei "Lets Encrypt verwenden" und "SSL-Weiterleitung" aktiviert.

Der Froxlor-Cronjob wirft aber diese Meldungen aus:

[error] Could not find file '[server-domain].cer' in '/root/.acme.sh/[server-domain]/'
[error] Could not find file 'ca.cer' in '/root/.acme.sh/[server-domain]/'
[error] Could not find file 'fullchain.cer' in '/root/.acme.sh/[server-domain]/'
[error] Could not get Let's Encrypt certificate for [server-domain]:

Im Ordner root/.acme.sh/[server-domain]/ sind nur diese Dateien zu finden:

[server-domain].conf
[server-domain].csr
[server-domain].csr.conf
[server-domain].key

Was mache ich falsch?

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Ja eh. Da ich nur gelegentlich mit Server-Arbeit konfrontiert bin habe ich aus unerfindlichen Gründen nicht die Vorgehensweise vom funktionierenden Server übernommen. Blöd.

Ich werde versuchen vor dem nächsten Zert-Update das mit den Domains zu ändern. Ich sehe mich aber so gegen Mitte März 2021 wieder auf schrill gebürstet im Forum posten...*seufz*

Danke für die Antworten jedenfalls!

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Sorry, hab Dein vorletztes Mail mit den vielen Erklärungen übersehen.

"Nein, ein Alias bedeutet nur, dass der apache vhost nur 1x generiert wird, in erster linie für domain.tld und dann als alias (ServerAlias direktive) auch für www.domain.tld - das impliziert keinen redirect - der vhost reagiert nur auf beide urls".
Der vHost reagiert nur auf beide urls - ja dann - aber dann ist das Ergebnis doch das gleiche wie bei Anlegen einer www-Domain und redirect auf non-www?? So klappt das zumindest auf dem Server wo es keine Zert-Probleme gibt - wo ich auch nur die non-www-Domain angelegt habe.

"auch hier wieder, ssl-redirect heisst: leite http auf https um, NICHT leite www auf non-www" - ja logisch. Was ist meinte ist: wenn ich in den Froxlor-Settings "leite http auf https um" wähle brauche ich das nicht mehr in der htaccess manuell einzustellen.

 

Wichtig ist nur dass bei Aufruf von www und non-www der selbe Inhalt erscheint (aus der selben document-root). Je mehr redirects man sich sparen kann desto besser!

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Ich sehe das "hallo". Der Redirect geift also. Aber was mich trotzdem stutzig macht: Der Froxlor-Mastercronjob führt ja die Let's Encrypt-Anfragen aus, also auch für den FDQN "www.domain.com". Let's Encrypt bekommt aber dank der Weiterleitung "domain.com" präsentiert. Das macht einen Unterschied, oder?

Im Ordner root/.acme.sh liegen jetzt im Ordner "domain.com" keine Zertifikatsdateien. Im Ordner "www.domain.com" sehr wohl. Beim vorigen Zertifikatslauf waren aber auch im Ordner "domain.com" Zertifikatsdateien.

Es ist zum schreien. Aber ich tippe auf den unnötig komplizierten Redirect der da den Hund reinhaut.

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Ah ok, mach ich gleich mal.

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Tja, das ist der Einstellungsdschungel in dem ich nicht ganz durchblicke...

Mein Ziel ist es ja dass die automatische Zertifikatserneuerung funktioniert.

Ok, ich versuch es zu erklären:

• Ich habe die www und die non-www-Domain in Froxlor eingerichtet. Das Ziel war aber IMMER dass die www-Domain zur non-www-Domain umgeleitet wird.
• Ich dachte mir es ist richtig wenn ich auch die www-Domain mit einem Zertifikat absichere, obwohl die auf die non-www-Domain weiterleitet. Ist das richtig? Oder bräuchte die www-Domain gar kein Zertifikat, da die eh auf die non-www-Domain MIT Zertifikat umleitet?
• Bei der non-www-Domain habe ich "Keine Aliasdomain" und "Keine Subdomain einer Hauptdomain" ausgewählt. (keinen www-Alias eingestellt)
• Bei der www-Domain habe ich "Keine Aliasdomain" und ("ist eine Subdomain von") "domain.com" ausgewählt. (dort ist der www-Alias also eingestellt)
• Nochmals die Frage zum FDQN: ist es überhaupt zulässig dass ich ein Zertifikat für "www.domain.com" erstelle UND eines für "domain.com"? Der FDQN ist ja bis auf das "www" gleich. Oder sehe ich das falsch?

Fakt ist: ich habe auf dem Server wo die automatische Zertifikatserneuerung klappt nur die non-www-Domain mit einem www-Alias eingerichtet. Nach meinem Verständnis entspricht der www-Alias einem Redirect zur non-www-Domain. Ist das korrekt? Dann bräuchte ich ja keinen htaccess redirect von www auf non-www. 

Auf dem Server wo die Zertifikatserneuerung funktioniert leite ich in der htaccess nur von http auf https um. Bräuchte ich aber auch nicht, da ich in Froxlor ja die SSL-Weiterleitung in der SSL-Rubrik einstellen kann....help!

Ich kenn mich nicht immer aus was welche Einstellung tut... und kratzen kann man sich ja bekanntlich auch von links oder von rechts.

 

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Hallo d00p!

Mir lässt das keine Ruh. Ich habe was entdeckt: die fragliche Domain auf dem nginx-Server hab ich doppelt eingerichtet: einmal als non-www-Variante, einmal als www-Variante.

Die www-Domain leite ich auf die non-www-Domain um. Bei der www-Domain habe ich auch SSL aktiviert, auch bei der non-www-Variante. Ich blick das nicht ganz durch aber mein Hausverstand flüstert mir leise zu dass ich einen Blödsinn gemacht habe. Ein Zertifikat muss ja einen FDQN haben, www.domain.com und domain.com - der Name ist ja eigentlich gleich oder? Also daher könnte der Murks mit der nicht automatischen Zertifkatsverlängerung herrühren, hm. Was meinst Du?

Hab auch grad auf meinen anderen Server geschaut, da hab ich nur die non-www-Domain angelegt und eine www-Alias dazu - das ist vmtl. die korrekte Lösung.

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Klar. Bis zum nächsten Problem.

Salut

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

A Fünfziger ist unterwegs. Wiegt zwar nicht auf, dass ein Servermensch rund um die Uhr da ist, aber immerhin. Geht sich fast a Stange Zigaretten drum aus!

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Wegen dem Zertifikatsproblem: ich greif das jetzt nicht mehr an, erst wieder in 3 Monaten. Hab keine Zeit dafür nochmal ein paar Stunden mich mit Serverfehlern herum zu quälen, habe mom andere Prioritäten.

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Is ok. Du sag, ich würde mich sehr gern mal erkenntlich zeigen. Du bist praktisch 24/7 da und gibst Hilfestellung. Bist Du gar ein Bot?? 😀

Na im Ernst ich find das einfach super. Gibts ein Spendenkonto oder so?

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Hm, "Eigene Logdatei" und "Zugriffs Logdatei" ist doch das selbe...ah, das heisst die eigene Log-Datei könnte ein User einsehen wenn er sich in Froxlor anmeldet, die Zugriffs-Logdatei am Server nicht, oder?

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Wie kann sowas vorkommen? Zeit für einen Server-Reboot?

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

Dafür heißen meine Logs ab und zu domain-domain.com-access.log und domain-domain.com-error.log anstat domain-access.log und domain-error.log...

[Automatische Verlängerung von Let's Encrypt-Zertifikat]

d00p ich zweifle an meinem Verstand. Habe mehrmals nginx und php7.3-fpm gestartet und jetzt geht wieder alles. Keine Ahnung warum.