Fujikatoma Posted July 2, 2016 Posted July 2, 2016 Hallo, ich habe das Problem dass das Let's Encrypt Zertifikat abgelaufen ist und nicht erneuert wird. Der Conejob wird alle 5 Minuten ausgeführt, ist dieser Fehler bekannt oder weis evtl weite Schritte um dem Problem nachzugehen ?
Lexl Posted August 3, 2016 Posted August 3, 2016 Hallo, meine Zertifikate wurde auch nicht erneuert. Ich weiß zwar, wie ich sie wieder aktiviere (in dem ich HTTPS Weiterleitung deaktiviere und auf den nächsten Let's encrypt durchlauf warte), aber hier trotzdem eine Verständnisfrage: Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas? Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird? Folgenden Fehler bekomme ich im System Log angezeigt: Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171} Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/ Sollte nicht so etwas dazu generiert werden? RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0 Danke!
d00p Posted August 4, 2016 Posted August 4, 2016 Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas? Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird? Nein musst du beides nicht - funktioniert eigentlich wunderbar hier bei mir, seit monaten Folgenden Fehler bekomme ich im System Log angezeigt: Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171} Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/ Sollte nicht so etwas dazu generiert werden? RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0 nein, wozu ein redirect, du hast doch einen globalen alias...
OliverRahner Posted August 29, 2016 Posted August 29, 2016 Da stehts doch: Too many currently pending authorization Let's Encrypt ist "überfordert"...da können wir leider nix machen Das stimmt leider nicht... urn:acme:error:rateLimited bedeutet, dass man eins von LetsEncrypt's Rate Limits getroffen hat (siehe https://letsencrypt.org/docs/rate-limits/). Auszug aus dem Link: Note that having a large number of pending authorizations is generally the result of a buggy client. If you’re hitting this rate limit frequently you should double-check your client code. Ich habe mir die Implementierung von Let's Encrypt in Froxlor noch nicht im Detail angeschaut. Aber irgendwo scheinen Challenges angefragt zu werden, die dann nicht validiert werden. Und wenn dann die 300 Stück aufgelaufen sind, macht Let's Encrypt dicht.
d00p Posted August 29, 2016 Posted August 29, 2016 Das passiert halt, wenn z.B. die challenges nicht erreichbar sind - falsche config, prüfe doch einfach vorher ob der Alias aus der acme.conf die du einbinden musst auch funktioniert
OliverRahner Posted August 29, 2016 Posted August 29, 2016 Tut sie, das habe ich jetzt extra nochmal geprüft. Aber selbst wenn das nicht funktionieren würde, dürfte das dieses Problem nicht verursachen. Natürlich gäbe es dann kein neues Zertifikat, aber die Authorization wäre nicht mehr "pending" sondern "failed" und würde nicht zum Rate Limit beitragen. /EDIT Deine Anmerkung hat mir aber geholfen, das Problem zu finden. class.lescript.php prüft erst, ob der Token erreichbar ist. Wenn nicht, bricht das Script für sich ab, ohne den Prozess bei Let's Encrypt sauber zu beenden. Beenden heißt in dem Fall, den Challenge Request abzusenden, auch wenn das Script vorher schon weiß, dass er fehlschlägt. Das heißt letztendlich war wahrscheinlich sogar eine Fehlkonfiguration auf dem Server Schuld an dem Ganzen. Dadurch, dass die Authorizations offen blieben, führt ein Beheben des Problems nicht dazu, dass es sofort wieder läuft, sondern man muss erst darauf warten, dass die Authorizations ablaufen.
d00p Posted July 3, 2016 Posted July 3, 2016 Was steht denn in der System-Log dazu? Bei mir funktioniert das renew wunderbar.
Fujikatoma Posted July 8, 2016 Author Posted July 8, 2016 Could not get Let's Encrypt certificate for domain.com: No challenges received for domain.com. Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many currently pending authorizations.","status":429}
d00p Posted July 9, 2016 Posted July 9, 2016 Da stehts doch: Too many currently pending authorization Let's Encrypt ist "überfordert"...da können wir leider nix machen
Fujikatoma Posted July 9, 2016 Author Posted July 9, 2016 Da stehts doch: Too many currently pending authorization Let's Encrypt ist "überfordert"...da können wir leider nix machen Also ein problem seitens Let's Encrypt ?
Question
Fujikatoma
Hallo,
ich habe das Problem dass das Let's Encrypt Zertifikat abgelaufen ist und nicht erneuert wird.
Der Conejob wird alle 5 Minuten ausgeführt, ist dieser Fehler bekannt oder weis evtl weite Schritte um dem Problem nachzugehen ?
10 answers to this question
Recommended Posts
Archived
This topic is now archived and is closed to further replies.