Jump to content
Froxlor Forum
  • 0

Let's Encrypt Zertifikate werden nicht erneuert


Fujikatoma

Question

Posted

Hallo,

ich habe das Problem dass das Let's Encrypt Zertifikat abgelaufen ist und nicht erneuert wird.

Der Conejob wird alle 5 Minuten ausgeführt, ist dieser Fehler bekannt oder weis evtl weite Schritte um dem Problem nachzugehen ?

10 answers to this question

Recommended Posts

Posted

Hallo,

 

meine Zertifikate wurde auch nicht erneuert. Ich weiß zwar, wie ich sie wieder aktiviere (in dem ich HTTPS Weiterleitung deaktiviere und auf den nächsten Let's encrypt durchlauf warte), aber hier trotzdem eine Verständnisfrage:

 

Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas?

Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird?

 

Folgenden Fehler bekomme ich im System Log angezeigt:

Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171}

Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/

 

Sollte nicht so etwas dazu generiert werden?

RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0

Danke!

Posted

Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas?

Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird?

Nein musst du beides nicht - funktioniert eigentlich wunderbar hier bei mir, seit monaten

 

Folgenden Fehler bekomme ich im System Log angezeigt:

Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171}
Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/

 

Sollte nicht so etwas dazu generiert werden?

RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0

 

nein, wozu ein redirect, du hast doch einen globalen alias...

Posted

Da stehts doch: Too many currently pending authorization

 

Let's Encrypt ist "überfordert"...da können wir leider nix machen

Das stimmt leider nicht... 

urn:acme:error:rateLimited

bedeutet, dass man eins von LetsEncrypt's Rate Limits getroffen hat (siehe https://letsencrypt.org/docs/rate-limits/).

 

Auszug aus dem Link:

 

Note that having a large number of pending authorizations is generally the result of a buggy client. If you’re hitting this rate limit frequently you should double-check your client code.

 

Ich habe mir die Implementierung von Let's Encrypt in Froxlor noch nicht im Detail angeschaut. Aber irgendwo scheinen Challenges angefragt zu werden, die dann nicht validiert werden. Und wenn dann die 300 Stück aufgelaufen sind, macht Let's Encrypt dicht.

Posted

Das passiert halt, wenn z.B. die challenges nicht erreichbar sind - falsche config, prüfe doch einfach vorher ob der Alias aus der acme.conf die du einbinden musst auch funktioniert

Posted

Tut sie, das habe ich jetzt extra nochmal geprüft.

 

Aber selbst wenn das nicht funktionieren würde, dürfte das dieses Problem nicht verursachen.

Natürlich gäbe es dann kein neues Zertifikat, aber die Authorization wäre nicht mehr "pending" sondern "failed" und würde nicht zum Rate Limit beitragen.

 

/EDIT

Deine Anmerkung hat mir aber geholfen, das Problem zu finden.

class.lescript.php prüft erst, ob der Token erreichbar ist. Wenn nicht, bricht das Script für sich ab, ohne den Prozess bei Let's Encrypt sauber zu beenden. Beenden heißt in dem Fall, den Challenge Request abzusenden, auch wenn das Script vorher schon weiß, dass er fehlschlägt.

Das heißt letztendlich war wahrscheinlich sogar eine Fehlkonfiguration auf dem Server Schuld an dem Ganzen. Dadurch, dass die Authorizations offen blieben, führt ein Beheben des Problems nicht dazu, dass es sofort wieder läuft, sondern man muss erst darauf warten, dass die Authorizations ablaufen.

Posted

Could not get Let's Encrypt certificate for domain.com: No challenges received for domain.com. Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many currently pending authorizations.","status":429}

Posted

Da stehts doch: Too many currently pending authorization

 

Let's Encrypt ist "überfordert"...da können wir leider nix machen

Posted

Da stehts doch: Too many currently pending authorization

 

Let's Encrypt ist "überfordert"...da können wir leider nix machen

Also ein problem seitens Let's Encrypt ?

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...