Let's Encrypt Zertifikate werden nicht erneuert

[Fujikatoma]

Hallo,

ich habe das Problem dass das Let's Encrypt Zertifikat abgelaufen ist und nicht erneuert wird.

Der Conejob wird alle 5 Minuten ausgeführt, ist dieser Fehler bekannt oder weis evtl weite Schritte um dem Problem nachzugehen ?

[Lexl]

Hallo,

 

meine Zertifikate wurde auch nicht erneuert. Ich weiß zwar, wie ich sie wieder aktiviere (in dem ich HTTPS Weiterleitung deaktiviere und auf den nächsten Let's encrypt durchlauf warte), aber hier trotzdem eine Verständnisfrage:

 

Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas?

Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird?

 

Folgenden Fehler bekomme ich im System Log angezeigt:

Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171}

Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/

 

Sollte nicht so etwas dazu generiert werden?

RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0

Danke!

[d00p]

Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas?

Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird?

Nein musst du beides nicht - funktioniert eigentlich wunderbar hier bei mir, seit monaten

 

Folgenden Fehler bekomme ich im System Log angezeigt:

Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171}

Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/

 

Sollte nicht so etwas dazu generiert werden?

RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0

 

nein, wozu ein redirect, du hast doch einen globalen alias...

[OliverRahner]

Da stehts doch: Too many currently pending authorization

 

Let's Encrypt ist "überfordert"...da können wir leider nix machen

Das stimmt leider nicht... 

urn:acme:error:rateLimited

bedeutet, dass man eins von LetsEncrypt's Rate Limits getroffen hat (siehe https://letsencrypt.org/docs/rate-limits/).

 

Auszug aus dem Link:

 

Note that having a large number of pending authorizations is generally the result of a buggy client. If you’re hitting this rate limit frequently you should double-check your client code.

 

Ich habe mir die Implementierung von Let's Encrypt in Froxlor noch nicht im Detail angeschaut. Aber irgendwo scheinen Challenges angefragt zu werden, die dann nicht validiert werden. Und wenn dann die 300 Stück aufgelaufen sind, macht Let's Encrypt dicht.

[d00p]

Das passiert halt, wenn z.B. die challenges nicht erreichbar sind - falsche config, prüfe doch einfach vorher ob der Alias aus der acme.conf die du einbinden musst auch funktioniert

[OliverRahner]

Tut sie, das habe ich jetzt extra nochmal geprüft.

 

Aber selbst wenn das nicht funktionieren würde, dürfte das dieses Problem nicht verursachen.

Natürlich gäbe es dann kein neues Zertifikat, aber die Authorization wäre nicht mehr "pending" sondern "failed" und würde nicht zum Rate Limit beitragen.

 

/EDIT

Deine Anmerkung hat mir aber geholfen, das Problem zu finden.

class.lescript.php prüft erst, ob der Token erreichbar ist. Wenn nicht, bricht das Script für sich ab, ohne den Prozess bei Let's Encrypt sauber zu beenden. Beenden heißt in dem Fall, den Challenge Request abzusenden, auch wenn das Script vorher schon weiß, dass er fehlschlägt.

Das heißt letztendlich war wahrscheinlich sogar eine Fehlkonfiguration auf dem Server Schuld an dem Ganzen. Dadurch, dass die Authorizations offen blieben, führt ein Beheben des Problems nicht dazu, dass es sofort wieder läuft, sondern man muss erst darauf warten, dass die Authorizations ablaufen.

[d00p]

Was steht denn in der System-Log dazu? Bei mir funktioniert das renew wunderbar.

[Fujikatoma]

Could not get Let's Encrypt certificate for domain.com: No challenges received for domain.com. Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many currently pending authorizations.","status":429}

[d00p]

Da stehts doch: Too many currently pending authorization

 

Let's Encrypt ist "überfordert"...da können wir leider nix machen

[Fujikatoma]

Da stehts doch: Too many currently pending authorization

 

Let's Encrypt ist "überfordert"...da können wir leider nix machen

Also ein problem seitens Let's Encrypt ?

[d00p]

Ja, genau das habe ich doch gesagt