Jump to content
Froxlor Forum
  • 0

[error] xyz.de :: empty certificate file! Cannot create ssl-directives


Leider bekomme ich immer eine Fehlermeldung im Cronjob, wenn ich ein Zertifikat mit Let's Encrypt erstellen möchte.

In Chrome erhalte ich bei Aufruf der Domain: ERR_SSL_PROTOCOL_ERROR


Meine Configuration in Froxlor sieht wie folgt aus:






Share this post

Link to post
Share on other sites

7 answers to this question

Recommended Posts

  • 1

So, funktioniert nun.

Man muss das SSL Redirect erst deaktivieren, dann das Zertifikat erstellen mit

php /var/www/froxlor/scripts/froxlor_master_cronjob.php --force
/usr/bin/php5 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug 

und anschließend wieder den SSL Redirect aktivieren.


Vielleicht hilft es ja dem ein oder anderem. 

Share this post

Link to post
Share on other sites
  • 0

also erstens, solltest du schon fehlermeldungen präsentieren, diese sind wenn was ned geht im Debug vom Crontab zu finden oder gar in den LogFiles... (welche gerade unbekannt)


des weiteren wärst du dann auf den fehler gestoßen, dass du kein IP Certifikat hast (oder wie man das nennt)... daher nun folgendes um dein Problem zu lösen...



Ich bin folgender maßen vorgegangen...


1. => mkdir /etc/apache2/ssl

2. => openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt



Country Name (2 letter code) [AU]:US
State or Province Name (full name) [some-State]:New York
Locality Name (eg, city) []:NYC
Organization Name (eg, company) [internet Widgits Pty Ltd]:Awesome Inc
Organizational Unit Name (eg, section) []:Dept of Merriment
Common Name (e.g. server FQDN or YOUR name) []:example.com
Email Address []:webmaster@awesomeinc.com

die Werte nur mit deiner Adresse angeben...

3. => Die Daten in Froxlor anpassen....



SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key


cronjob starten mit dem zusatz "--force" und dann kurz warten...

Share this post

Link to post
Share on other sites
  • 0

Vielen Dank schon mal. - Ich glaube, ich habe den Fehler nun gefunden:

# 35_froxlor_ssl_vhost_xxx.me.conf
# Created 13.04.2016 08:48
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.

# Domain ID: 202 (SSL) - CustomerID: x - CustomerLogin: xxx
# no ssl-certificate was specified for this domain, therefore no explicit vhost is being generated
# 35_froxlor_ssl_vhost_xxx.com.conf
# Created 13.04.2016 08:48
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.

# Domain ID: 224 (SSL) - CustomerID: x - CustomerLogin: xxx
<VirtualHost x.x.xx.xx:443>
  ServerName xxx.com
  ServerAlias *.xxx.com
  ServerAdmin hello@xxx.com
  SSLEngine On
  SSLProtocol ALL -SSLv2 -SSLv3
  SSLHonorCipherOrder On
  SSLVerifyDepth 10
  SSLCertificateFile /etc/apache2/ssl/xxx.com.crt
  SSLCertificateKeyFile /etc/apache2/ssl/xxx.com.key
  DocumentRoot "/var/customers/webs/xxx/www_xxx_com/www_xxx_com/"
  FastCgiExternalServer /var/www/php-fpm/xxx/xxx.com/ssl-fpm.external -socket /var/lib/apache2/fastcgi/xxx-xxx.com-php-fpm.socket -idle-timeout 120
  <Directory "/var/customers/webs/xxx/www_xxx_com/www_xxx_com/">
    <FilesMatch "\.php$">
      SetHandler php5-fastcgi
      Action php5-fastcgi /fastcgiphp
      Options +ExecCGI
    Require all granted
    AllowOverride All
  Alias /fastcgiphp /var/www/php-fpm/xxx/xxx.com/ssl-fpm.external
  Alias /awstats "/var/customers/webs/xxx/awstats/xxx.com"
  Alias /awstats-icon "/usr/share/awstats/icon/"
  ErrorLog "/var/customers/logs/xxx-error.log"
  CustomLog "/var/customers/logs/xxx-access.log" combined

Es sieht so aus, als würde kein Zertifikat erstellt werden und die Datei wird nicht geupdated. Was kann man hier dagegen tun? Auf der .me Domain bleibt die Datei leer und bei der .com funktioniert es einwandfrei.

Could not get Let's Encrypt certificate for xxx.me: Please check http://www.xxx.me/.well-known/acme-challenge/dHNHFo7QOiGsdGvbj9dOjbXLtrMr4DmBI8vbjBMCskc - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/www.xxx.me\/.well-known\/acme-challenge\/dHNHFo7QOiGsdGvbj9dOjbXLtrMr4DmBI8vbjBMCskc): failed to open stream: php_network_getaddresses: getaddrinfo failed: Name or service not known","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":154}

Share this post

Link to post
Share on other sites
  • 0

Edit: aktiviere allow_furl_open in der php.ini der domain


Edit 2: die Meldung von LE sagt: getaddrinfo failed: Name or service not known


Mal den DNS deiner .me domain prüfen falls mein erster Hinweis nicht funktioniert

Share this post

Link to post
Share on other sites
  • 0

allow_url_fopen ist aktiviert.

DNS funktioniert auch einwandfrei.


So langsam weiß ich leider nicht weiter. Gibt's noch was, was ich checken könnte?  :wacko:

Share this post

Link to post
Share on other sites
  • 0



file_get_contents(http:\/\/www.xxx.me\/.well-known\/acme-challenge\/dHNHFo7QOiGsdGvbj9dOjbXLtrMr4DmBI8vbjBMCskc): failed to open stream: php_network_getaddresses: getaddrinfo failed: Name or service not known


Was anderes kann ich dir dazu auch nicht sagen....DNS resolved wohl nicht

Share this post

Link to post
Share on other sites
  • 0

SSL Redirect musst du zwar nicht deaktivieren, das kann Froxlor handlen in dem er den temporär deaktiviert, aber dafür bräuchte man halt Geduld 2x die cron-runs abzuwarten ohne rumzuspielen ;)


Das funktioniert bei mir alles wunderbar.

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By d00p
      Dear Froxlor Community,
      I am proud to finally release the stable version of a new API based froxlor. Due to massive internal improvements and changes in the core (almost 600 commits since users are now able to list/create/edit/delete resources and entities of froxlor via API (requires activation of api-usage in the settings and a user based API-key). The froxlor frontend itself uses the API backend too.
      Froxlor now uses composer to include some of its requirements like phpMailer, Logger, IdnaConvert and TwoFactorAuth libraries. All required files will be included in the official tarball so you do not need to worry about installing and using composer (only if you are using / testing the git-master, see https://github.com/Froxlor/Froxlor/wiki/Install-froxlor-from-git-sources).
      Most important changes:
      froxlor now requires at least php-7.0 or newer, php-5.6 is no longer supported because of its EOL almost a year ago you can access data via API, for more information see https://api.froxlor.org/doc/. An example can be found here: https://github.com/Froxlor/Froxlor/tree/master/doc/example PHPUnit tested API backend with MySQL 5.6, 5.7 and 8 as well as MariaDB 10.3 and 10.4, see https://travis-ci.com/Froxlor/Froxlor compatibility for MySQL8 2FA (two-factor-authentication) for admins/resellers/customers (email or authenticator app) all froxlor-database tables will automatically be converted to the InnoDB engine added support for Debian 10 (buster) and Ubuntu 18.04 (bionic beaver) implemented Let's Encrypt via acme.sh - Note: all your current Let's Encrypt certificates will be removed and re-created due to another structure customizable error/access log handling for webserver (format, level, pipe-to-script, etc.) deprecated Debian 7 (wheezy) and Ubuntu 14.04 (trusty tahr) support dropped support for Ubuntu 12.04 (precise pangolin) dropped ticketsystem Changes in 0.10.1:
      allow/disallow API access on a per-customer base add explicit tlsv1.3 ciphersuite setting fixed wrong behaviour in Ftps.add() if customer is newly created and setting customer.ftpatdomain is true added expiration date to SSL certificates loaded via API request fixed wrong return in Certificates.get() if given domain does not have a certificate allow setting http2 flag for (sub)domains in customer view, fixes #725 Changes in 0.10.2:
      force Let's Encrypt ACMEv2 API, fixed #728 added default-ssl-vhost settings and optionally allow including of non-ssl default-vhost settings, fixes #727 implemented DomainZones.listing() to return custom stored dns entries removed API Parameter use_default_ssl_ipandport_if_empty from Domains.add() added API Parameter dont_use_default_ssl_ipandport_if_empty to Domains.add() fix registration and termination date to flip between empty-value and 0000-00-00 Download: 0.10.2

      Note: Debian packages are available as of 21th of October 2019 - Note that there are no packages for oldoldstable (jessie) anymore
      Attention: The auto-update feature is currently not working correctly for updaters from 0.9.x due to the archive taking a bit longer to extract and froxlor trying to redirect too soon thus leading to an internal server error. A quick reload does "fix" the problem. To avoid that please use the manual update options, see https://github.com/Froxlor/Froxlor/wiki

      Visit http://www.froxlor.org or join our IRC channel #froxlor on irc.freenode.net for support, help, participation or just a chat

      Thank you,
    • By peterpan
      I have a domain equipped with a certificate from LE. The cert is valid another 2 months. Now I added a domain as an alias of the existing domain, but the certificate isn't updated to have the new domain as its SAN.
      How do I trigger getting a new and updated certificate? Should I delete the existing one?
      Thanks for helping out.
    • By d00p
      Dear Froxlor Commuity,
      finally - the first release candidate of our new API based version 0.10.0! A lot of work has gone into this, many internal changes (you might miss any frontend-changes, but be patient...) most importantly the API backend which not only is used by froxlor frontend itself but can also be uses from within your website/scripts/etc.
      Froxlor now uses composer to include some of its requirements like phpMailer, Logger, IdnaConvert and TwoFactorAuth libraries.
      Here are some of the new features besides API that found their way in:
      - 2FA / TwoFactor Authentication for accounts - MySQL8 compatibility - new implementation of Let's Encrypt (acme.sh) - customizable error/access log handling for webserver (format, level, pipe-to-script, etc.) - lots and lots of bugfixes and small enhancements You can see all changes on Github at https://github.com/Froxlor/Froxlor/compare/
      Download: 0.10.0-rc2

      Note: There will be no Debian packages for release-candidates.

      Visit http://www.froxlor.org or join our IRC channel #froxlor on irc.freenode.net.

      Thank you,
    • By LukasH
      [Dieses Problem hat sich gelöst, ich hab mich doch tatsächlich verlesen, im Einsatz ist nur die .de, die .com ist nur eine Weiterleitung, klar funktioniert die nicht]
      Dann habe ich noch ein weiteres Problem und zwar habe ich eine neue Subdomain angelegt, beim versuch ein SSL Zertifikat zu ziehen kommen nun nur die folgenden Fehlermeldungen:
      [Lets Encrypt self-check] Please check http://www.mail.hoerth.eu/.well-known/acme-challenge/_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate Could not get Let's Encrypt certificate for mail.hoerth.eu: Verification ended with error: {"identifier":{"type":"dns","value":"www.mail.hoerth.eu"},"status":"invalid","expires":"2018-06-15T12:01:38Z","challenges":[{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/SXa_3IeDJd19Xg3oVtLd0iaj3H2lKBN_fzM1cZPtguc\/5014287643","token":"mOYe0nDwOyTxrfZc83fmpBVeL1vZesbZrV-t_nkRdZ0"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:dns","detail":"DNS problem: NXDOMAIN looking up A for www.mail.hoerth.eu","status":400},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/SXa_3IeDJd19Xg3oVtLd0iaj3H2lKBN_fzM1cZPtguc\/5014287644","token":"_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI","keyAuthorization":"_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI.JriXbK73HFGeqTSIPL3Qg0VCDy2Qt0n4wrUZon9dCEM","validationRecord":[{"url":"http:\/\/www.mail.hoerth.eu\/.well-known\/acme-challenge\/_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI","hostname":"www.mail.hoerth.eu","port":"80"}]}],"combinations":[[0],[1]]} Ich habe dann mal nachgesehen und der Token existiert defintiv nicht - klar findet ihn Lets Encrypt also nicht, was ist denn gerade bei mir Los?
    • By jonny87
      Guten Morgen liebe Community,
      ich hab schon gesucht hier, aber nicht wirklich was passendes gefunden, darum mach ich jetzt hier nochmal nen Thread auf. Ich nutz Froxlor nun erfolgreich seit über einem Jahr auf zwei Servern, es funktioniert soweit auch alles mit LetsEncrypt und den Zertifikaten.
      Jetzt hab ich nur folgendes Problem, bzw. ist dies möglich, da ich mehrere Kunden über Froxlor auf zwei Servern verwalte, muss ich natürlich auch E-Mails verwalten, und zwar verschlüsselt. Kann man das über Froxlor machen? Sprich, dass die Kunden ihre Emails über
      imap.kunde1.de & smtp.kunde1.de sowie imap.kunde2.de & smtp.kunde2.de usw. abrufen können. 
      Momentan muss man ja bzw. so hat es mein Admin gemacht, ein Zertifikat für alle hinterlegen, welches auch nicht automatisch per Script geupdatet wird?! -> Ist das so richtig?
      Oder müssen alle Kunden ihre E-Mails per imap.hauptdomain.de abrufen? 

  • Create New...