Jump to content
Froxlor Forum
  • 0
ninopi

LetsEncrypt - Subdomains verschlüsseln

Question

Hi, ich hab Eure tolle LetsEncrypt Funktion getestet und find sie echt mega gelungen. Erleichtert einem wirklich die Arbeit und gibt einem Zeit für wichtigeres :-) 

Jetzt ist da nur eine kleine Sache die noch nicht so rund läuft.

Ich weiß nicht, ob das an einer Setting liegt oder bis dato noch nicht möglich ist aber eben schon in der GUI steht. 

Wenn ich eine Subdomain anlege und da LetsEncrypt nutzen möchte, vergibt er mit kein Zertifikat. Bei den Main-Domains gabs da keine Probleme. 

Müsste da dann ja auch so gehen - oder?

Danke schon vorab für Info oder Hilfe?

Share this post


Link to post
Share on other sites

25 answers to this question

Recommended Posts

  • 1

Du sollst doch den .well-known Ordner nicht bei den Kunden manuell erstellen...Oh man. Was treibst du denn bitte da? Sorry, bei sonem gefummel kann ich dir nicht helfen...mach es bitte so wie es gedacht ist, dann funktioniert das auch.

Share this post


Link to post
Share on other sites
  • 0

Zeigt die SubDomain denn auf deinen Server? Ist die denn ohne SSL auch richtig erreichbar?

Du kannst den Cronjob auch mal manuell aufrufen:

/usr/bin/php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug

durch den Debug Parameter kriegt man da ne menge mit.

  • Like 1

Share this post


Link to post
Share on other sites
  • 0

Ja, Subdomain wird normal richtig aufgelöst. Aktuell zeigt sie eben eine Warnmeldung, weils Zertifkat nicht gültig ist.

Ja, habs schon manuell angestoßen, aber werde es mal noch debugen.

 

Update: 

Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many invalid authorizations recently.","status":429}

 

Share this post


Link to post
Share on other sites
  • 0

Okay, du bist erstmal bei LE geblockt. LE Cron deaktivieren und bissel abwarten, für ne Stunde oder so. Genaue Zeiten findest du in der LE Doku.

Danach nochmal Debug ausführen und guggen was passiert.

Share this post


Link to post
Share on other sites
  • 0

Okey, aber der blockt ja einen nicht einfach so. 

Aber ich lass mich mal wieder entblocken und probiers dann nochmal.

Share this post


Link to post
Share on other sites
  • 0

Nein, natürlich nicht. Aber wenn du nicht mehr geblockt bist und das ganze mit --debug ausführst, siehst du was schief läuft. Wenn du den Cron weiter laufen lässt, dann wird der LE Block mit pech immer wieder von vorn angefangen.

Share this post


Link to post
Share on other sites
  • 0

oder vielleicht erstmal die TESTING api nutzen BIS es funktioniert? Genau dafür gibt es sowas, damit man eben nicht geblockt wird...

Share this post


Link to post
Share on other sites
  • 0

Das spuckt er aus: 

Please check http://SUBDOMAIN/.well-known/acme-challenge/YOlUAD7XfOm6-HH-Xg9gY5jAPhbcuByg5-yrE64C7Y - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/SUBDOMAIN\/.well-known\/acme-challenge\/YOlUAHD7XfOm6-HH-Xg9gY5jAPhbcuByg5-yrE64C7Y): failed to open stream: HTTP request failed! HTTP\/1.1 404 Not F                                           ound\r\n","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":232}


 

Share this post


Link to post
Share on other sites
  • 0

Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge"
<Directory "/var/www/froxlor/.well-known/acme-challenge">
 Order allow,deny
 Allow from all
</Directory>
 

Share this post


Link to post
Share on other sites
  • 0

Was für ein Ordner in welchem Pfad denn?

Share this post


Link to post
Share on other sites
  • 0

Da erledigt normal der tasks Cronjob...laufen denn die froxlor cronjobs bei dir auch?

Share this post


Link to post
Share on other sites
  • 0

Also im Root-Verzeichnis klappt das mit der HTML-Datei. Wenn ich aber auf ein Roundcube oder phpmyadmin Verzeichnis verweisen möchte bzw darin die Ordner/Dateien erstellen möchte, fehlen mir die Berechtigungen. Vermutlich auch das Problem.

Share this post


Link to post
Share on other sites
  • 0

Hä? Was haben Roundcube oder phpmyadmin verzeichnisse mit der LE Domain Validierung zu tun? Sorry - so kann ich echt nur schwer helfen...

Share this post


Link to post
Share on other sites
  • 0

Aaaahja....du weisst aber schon das Zertifikate auf domainbasis vergeben werden...und nicht pro Verzeichnis?!

Share this post


Link to post
Share on other sites
  • 0

Okey, aber das würde ja trotzdem heißen, dass wenn ich eine Subdomain auf Customer/XY verweise und da auch manuell einen :well-known... erstellen kann, die Dateien/Ordnerpfade nach Ausführung des LE-Scripts dort erstellt sein müssten. Hat es so ja auf den Hauptdomains auch gemacht.

Share this post


Link to post
Share on other sites
  • 0

1.) Hab die Ordnerpfade nur zu Testzwecken erstellt, weil du oben geschrieben hast, ich sollte die URL checken. Wenn aber Froxlor kein Pfad ./well-known-Pfad erstellt, würde ich nun gerne von dir eine bessere Alternative hören um deine Anweisungen zu befolgen. 

und...

2.) Du musst mir natürlich bei dem Problem definitiv nicht helfen, aber solche Bemerkungen, die einen als Depp hinstellen, könntest du dir auch sparen. Weil dadurch kommen wir bzw. ich auch nicht weiter. Immerhin bist du der "Lead Developer" und weißt wie Froxlor tickt und zu ticken hat.  

Share this post


Link to post
Share on other sites
  • 0

1) ich wollte das du den alias testest, ich gehe davon aus, das du alles entsprechend der Vorgaben konfiguriert hast.

2) dann drück dich bitte deutlicher aus. Deine Antworten bisher erweckten numal eher den Eindruck das du nicht so ganz weisst und verstehst was du tust. Das soll dich nicht blosstellen, nur kann ich nunmal nicht so leicht helfen wenn gewisse Grundlagen der serveradministration fehlen.

Share this post


Link to post
Share on other sites
  • 0

Hi,

@ninopi d00p war doch ganz korrekt. Nur glaube ich hast du leider nicht ganz verstanden wie es funktioniert und daher hat er mehrmals versucht zu helfen aber du hast darauf nicht richtig reagiert.

 

Versuche doch einfach mal bitte im Verzeichnis /var/www/froxlor/.well-known/acme-challenge/ eine test.html Datei anzulegen und diese dann über deine Subdomain http://SUBDOMAIN/.well-known/acme-challenge/test.html aufzurufen.

Weißt du was ein Apache Alias ist? Den hast da da oben geposted. Der sagt, dass wenn man http://SUBDOMAIN/.well-known/acme-challenge/ aufruft im Verzeichnis /var/www/froxlor/.well-known/acme-challenge/ landet.

Daher musst/sollst/darfst du .well-known NICHT im DocumentRoot deiner Subdomain anlegen. Das gehört da nicht hin und wird auch durch den Alias übersteuert. Bei weiteren Verständnis-Problemen lies dir einfach mal die Apache Dokumentation bzgl. Aliases durch. Das kann durchaus Licht ins Dunkel bringen.

 

Grüße

Chris :)

  • Like 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


  • Similar Content

    • By oedwards0088
      Hello,
      I am hoping someone on here has experienced an odd issue with SSL/HTTPS when using the webmail URL, in my case, https://my.froxlorserver.com/webmail. I can't prove it for sure however, I believe it is working for some in a different country to me but I can't connect to the above URL using https, it will connect with http on port 80. I get the below error.
      Forbidden You don't have permission to access /webmail on this server. I have confirmed this on different devices using different internet connections and I have cleared the cache/browsing data.
      Using Digicert's tool (https://www.digicert.com/help/) the https://Froxlor admin page comes back as a success with zero issues. If I try https://froxlor/webmail I get the below error message
      Error: my.froxlor.com/webmail is not a fully qualified public domain name or public IP address. The above error message does not make sense as using port 80 I can get to the /webmail page, so the above might be a red herring.
      Has anyone seen this issue?
      Thanks in advance.
    • By mukki182
      Hallo,
      ich hatte das Probleme, dass die lets encrpyt Zertifikate ausgelaufen waren und nicht automatisch erneuert wurden.
      Läuft das überhaupt über den Cronjob oder muss man das manuell anstoßen?
      So sieht aktuell mein Crontab für froxlor aus:
      # automatically generated cron-configuration by froxlor # do not manually edit this file as it will be re-generated periodically. PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # */5 * * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php --tasks 1> /dev/null 0 */6 * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php --mailboxsize 1> /dev/null  
    • By martinvh
      Hello everybody,
      in the monthly Froxlor usage report I'm getting the message PHP Warning:  stream_socket_enable_crypto(): Peer certificate CN=`<my Froxlor domain>' did not match expected CN=`localhost' in /var/www/froxlor/lib/classes/phpmailer/class.SMTP.php on line 369
      The mail is being sent to the systems root account, which is mapped in /etc/aliases to an existing Froxlor mail account (webmaster@<my Froxlor domain>). Is this related to the Froxlor admin user, whos mail address is the same? Either way, why is the function expecting the local CN instead of the FQDN one? What is the correct setting in this case, or how can I mitigate the warning? The only cause effect I discovered is, that mails cannot be sent to new mail accounts via the alternate mail address, which results in the same error.
      Thanks in advance,
      Martin
    • By Andreas
      Hallo zusammen,
      ich habe Probleme mit diversen SEO-/Webseiten-Anlayse-Tools, die beim Crawlen der Domain einen SSL Handshake Failure bekommen. Wir haben den Verdacht, dass diese Tools eventuell SNI nicht beherrschen und haben daher testweise eine Domain mit eigener IP auf einem vHost mit entsprechendem SSL-Zertifikat installiert. Die Domains laufen über den Browser fehlerfrei, die Tools machen allerdings Probleme. Ein SSL-Test via https://www.ssllabs.com/ssltest/ hat nun ergeben, dass auf dem vHost neben dem Domainzertifikat auch noch das Serverzertifikat ausgegeben wird.
      Wie kann ich die Domain bzw. den vHost in Froxlor so konfigurieren, so dass auf dem vHost nur das Zertifkat des entsprechenden vHosts ausgegeben wird?
      Danke schonmal für euere Hilfe.
    • By Strosch
      Servus zusammen,
      Wir nutzen seit langem Froxlor als Kundenpanel und sind sehr happy damit!
      Wir haben damals relativ zeitnah auf die Version 0.9.36 upgedated (sind noch immer auf dieser Version!) um Let's Encrypt auf einigen Domains nutzen zu können. Nun haben wir aber auch Kunden, die ihre eigenen Custom SSL Zertifikate nutzen wollen.
      Leider kann ich aber das gelbe Lock Symbol bei den Domains nirgendwo mehr finden!
      Ich hab nun ewig herumgesucht und finde es nicht mehr wo man die "Zertifikat Strings" einfügen konnte ... das gelbe Lock Symbol ist wie gesagt einfach weg!!
      Was mache ich falsch? Muss ich Lets Encrypt wieder deaktivieren weil diese beiden SSL Lösungen nicht koexistieren können (wüsste aber nicht den Grund warum dem so wäre).
      Muss ich updaten? Bin ich blind?
      Hoffe ihr könnte helfen, ich bzw. der Kunde brauchen dieses Feature!
      Besten Dank im Voraus, mfg
      Patrick


×