Jump to content
Froxlor Forum
  • 0

Let's Encrypt Zertifikate werden nicht erneuert


Fujikatoma

Question

10 answers to this question

Recommended Posts

Hallo,

 

meine Zertifikate wurde auch nicht erneuert. Ich weiß zwar, wie ich sie wieder aktiviere (in dem ich HTTPS Weiterleitung deaktiviere und auf den nächsten Let's encrypt durchlauf warte), aber hier trotzdem eine Verständnisfrage:

 

Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas?

Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird?

 

Folgenden Fehler bekomme ich im System Log angezeigt:

Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171}

Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/

 

Sollte nicht so etwas dazu generiert werden?

RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0

Danke!

Link to comment
Share on other sites

Muss ich https redirect deaktivieren, damit Let's encrypt die Zertifikate erneuern kann oder übersehe ich hier etwas?

Den .well-known/acme-challenge/ alias hab ich aktiv (und wird auch von den domains geöffnet). Muss ich diesen Pfad aus dem HTTPS forwarding ausnehmen damit der beim erneuern nicht weitergeleitet wird?

Nein musst du beides nicht - funktioniert eigentlich wunderbar hier bei mir, seit monaten

 

Folgenden Fehler bekomme ich im System Log angezeigt:

Could not get Let's Encrypt certificate for lexl.at: Please check http://lexl.at/.well-known/acme-challenge/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/lexl.at\/.well-known\/acme-challenge\/G7PBRzmo3gQ9DgkPi15M3aD8mVP4-zZ21c3cApiAJys): failed to open stream: operation failed","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171}
Sieht nach dem gleichen Problem aus wie hier beschrieben: https://forum.froxlor.org/index.php/topic/13477-apache-letsencrypt-und-generierung-von-28-froxlor-ssl-vhost-mysitecomconf/

 

Sollte nicht so etwas dazu generiert werden?

RedirectMatch 301 ^(?!/\.well-known/acme-challenge/).* https://mydomain.example$0

 

nein, wozu ein redirect, du hast doch einen globalen alias...

Link to comment
Share on other sites

Da stehts doch: Too many currently pending authorization

 

Let's Encrypt ist "überfordert"...da können wir leider nix machen

Das stimmt leider nicht... 

urn:acme:error:rateLimited

bedeutet, dass man eins von LetsEncrypt's Rate Limits getroffen hat (siehe https://letsencrypt.org/docs/rate-limits/).

 

Auszug aus dem Link:

 

Note that having a large number of pending authorizations is generally the result of a buggy client. If you’re hitting this rate limit frequently you should double-check your client code.

 

Ich habe mir die Implementierung von Let's Encrypt in Froxlor noch nicht im Detail angeschaut. Aber irgendwo scheinen Challenges angefragt zu werden, die dann nicht validiert werden. Und wenn dann die 300 Stück aufgelaufen sind, macht Let's Encrypt dicht.

Link to comment
Share on other sites

Tut sie, das habe ich jetzt extra nochmal geprüft.

 

Aber selbst wenn das nicht funktionieren würde, dürfte das dieses Problem nicht verursachen.

Natürlich gäbe es dann kein neues Zertifikat, aber die Authorization wäre nicht mehr "pending" sondern "failed" und würde nicht zum Rate Limit beitragen.

 

/EDIT

Deine Anmerkung hat mir aber geholfen, das Problem zu finden.

class.lescript.php prüft erst, ob der Token erreichbar ist. Wenn nicht, bricht das Script für sich ab, ohne den Prozess bei Let's Encrypt sauber zu beenden. Beenden heißt in dem Fall, den Challenge Request abzusenden, auch wenn das Script vorher schon weiß, dass er fehlschlägt.

Das heißt letztendlich war wahrscheinlich sogar eine Fehlkonfiguration auf dem Server Schuld an dem Ganzen. Dadurch, dass die Authorizations offen blieben, führt ein Beheben des Problems nicht dazu, dass es sofort wieder läuft, sondern man muss erst darauf warten, dass die Authorizations ablaufen.

Link to comment
Share on other sites

Could not get Let's Encrypt certificate for domain.com: No challenges received for domain.com. Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many currently pending authorizations.","status":429}

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...