Fujikatoma Posted July 2, 2016 Share Posted July 2, 2016 Hallo, ich habe das Problem dass das Let's Encrypt Zertifikat abgelaufen ist und nicht erneuert wird. Der Conejob wird alle 5 Minuten ausgeführt, ist dieser Fehler bekannt oder weis evtl weite Schritte um dem Problem nachzugehen ? Link to comment Share on other sites More sharing options...
Lexl Posted August 3, 2016 Share Posted August 3, 2016 Hallo, meine Zertifikate wurde auch nicht erneuert. Ich weiß zwar, wie ich sie wieder aktiviere (in dem ich HTTPS Weiterleitung deaktiviere und auf den nächsten Let's encrypt durchlauf warte), aber hier trotzdem eine Verständnisfrage: Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas? Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird? Folgenden Fehler bekomme ich im System Log angezeigt: Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171} Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/ Sollte nicht so etwas dazu generiert werden? RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0 Danke! Link to comment Share on other sites More sharing options...
d00p Posted August 4, 2016 Share Posted August 4, 2016 Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas? Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird? Nein musst du beides nicht - funktioniert eigentlich wunderbar hier bei mir, seit monaten Folgenden Fehler bekomme ich im System Log angezeigt: Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171} Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/ Sollte nicht so etwas dazu generiert werden? RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0 nein, wozu ein redirect, du hast doch einen globalen alias... Link to comment Share on other sites More sharing options...
OliverRahner Posted August 29, 2016 Share Posted August 29, 2016 Da stehts doch: Too many currently pending authorization Let's Encrypt ist "überfordert"...da können wir leider nix machen Das stimmt leider nicht... urn:acme:error:rateLimited bedeutet, dass man eins von LetsEncrypt's Rate Limits getroffen hat (siehe https://letsencrypt.org/docs/rate-limits/). Auszug aus dem Link: Note that having a large number of pending authorizations is generally the result of a buggy client. If you’re hitting this rate limit frequently you should double-check your client code. Ich habe mir die Implementierung von Let's Encrypt in Froxlor noch nicht im Detail angeschaut. Aber irgendwo scheinen Challenges angefragt zu werden, die dann nicht validiert werden. Und wenn dann die 300 Stück aufgelaufen sind, macht Let's Encrypt dicht. Link to comment Share on other sites More sharing options...
d00p Posted August 29, 2016 Share Posted August 29, 2016 Das passiert halt, wenn z.B. die challenges nicht erreichbar sind - falsche config, prüfe doch einfach vorher ob der Alias aus der acme.conf die du einbinden musst auch funktioniert Link to comment Share on other sites More sharing options...
OliverRahner Posted August 29, 2016 Share Posted August 29, 2016 Tut sie, das habe ich jetzt extra nochmal geprüft. Aber selbst wenn das nicht funktionieren würde, dürfte das dieses Problem nicht verursachen. Natürlich gäbe es dann kein neues Zertifikat, aber die Authorization wäre nicht mehr "pending" sondern "failed" und würde nicht zum Rate Limit beitragen. /EDIT Deine Anmerkung hat mir aber geholfen, das Problem zu finden. class.lescript.php prüft erst, ob der Token erreichbar ist. Wenn nicht, bricht das Script für sich ab, ohne den Prozess bei Let's Encrypt sauber zu beenden. Beenden heißt in dem Fall, den Challenge Request abzusenden, auch wenn das Script vorher schon weiß, dass er fehlschlägt. Das heißt letztendlich war wahrscheinlich sogar eine Fehlkonfiguration auf dem Server Schuld an dem Ganzen. Dadurch, dass die Authorizations offen blieben, führt ein Beheben des Problems nicht dazu, dass es sofort wieder läuft, sondern man muss erst darauf warten, dass die Authorizations ablaufen. Link to comment Share on other sites More sharing options...
d00p Posted July 3, 2016 Share Posted July 3, 2016 Was steht denn in der System-Log dazu? Bei mir funktioniert das renew wunderbar. Link to comment Share on other sites More sharing options...
Fujikatoma Posted July 8, 2016 Author Share Posted July 8, 2016 Could not get Let's Encrypt certificate for domain.com: No challenges received for domain.com. Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many currently pending authorizations.","status":429} Link to comment Share on other sites More sharing options...
d00p Posted July 9, 2016 Share Posted July 9, 2016 Da stehts doch: Too many currently pending authorization Let's Encrypt ist "überfordert"...da können wir leider nix machen Link to comment Share on other sites More sharing options...
Fujikatoma Posted July 9, 2016 Author Share Posted July 9, 2016 Da stehts doch: Too many currently pending authorization Let's Encrypt ist "überfordert"...da können wir leider nix machen Also ein problem seitens Let's Encrypt ? Link to comment Share on other sites More sharing options...
d00p Posted July 9, 2016 Share Posted July 9, 2016 Ja, genau das habe ich doch gesagt Link to comment Share on other sites More sharing options...
Question
Fujikatoma
Hallo,
ich habe das Problem dass das Let's Encrypt Zertifikat abgelaufen ist und nicht erneuert wird.
Der Conejob wird alle 5 Minuten ausgeführt, ist dieser Fehler bekannt oder weis evtl weite Schritte um dem Problem nachzugehen ?
Link to comment
Share on other sites
10 answers to this question
Recommended Posts
Archived
This topic is now archived and is closed to further replies.