• 0
ninopi

LetsEncrypt - Subdomains verschlüsseln

Question

Hi, ich hab Eure tolle LetsEncrypt Funktion getestet und find sie echt mega gelungen. Erleichtert einem wirklich die Arbeit und gibt einem Zeit für wichtigeres :-) 

Jetzt ist da nur eine kleine Sache die noch nicht so rund läuft.

Ich weiß nicht, ob das an einer Setting liegt oder bis dato noch nicht möglich ist aber eben schon in der GUI steht. 

Wenn ich eine Subdomain anlege und da LetsEncrypt nutzen möchte, vergibt er mit kein Zertifikat. Bei den Main-Domains gabs da keine Probleme. 

Müsste da dann ja auch so gehen - oder?

Danke schon vorab für Info oder Hilfe?

Share this post


Link to post
Share on other sites

25 answers to this question

  • 1

Du sollst doch den .well-known Ordner nicht bei den Kunden manuell erstellen...Oh man. Was treibst du denn bitte da? Sorry, bei sonem gefummel kann ich dir nicht helfen...mach es bitte so wie es gedacht ist, dann funktioniert das auch.

Share this post


Link to post
Share on other sites
  • 0

Zeigt die SubDomain denn auf deinen Server? Ist die denn ohne SSL auch richtig erreichbar?

Du kannst den Cronjob auch mal manuell aufrufen:

/usr/bin/php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug

durch den Debug Parameter kriegt man da ne menge mit.

1 person likes this

Share this post


Link to post
Share on other sites
  • 0

Ja, Subdomain wird normal richtig aufgelöst. Aktuell zeigt sie eben eine Warnmeldung, weils Zertifkat nicht gültig ist.

Ja, habs schon manuell angestoßen, aber werde es mal noch debugen.

 

Update: 

Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many invalid authorizations recently.","status":429}

 

Share this post


Link to post
Share on other sites
  • 0

Okay, du bist erstmal bei LE geblockt. LE Cron deaktivieren und bissel abwarten, für ne Stunde oder so. Genaue Zeiten findest du in der LE Doku.

Danach nochmal Debug ausführen und guggen was passiert.

Share this post


Link to post
Share on other sites
  • 0

Okey, aber der blockt ja einen nicht einfach so. 

Aber ich lass mich mal wieder entblocken und probiers dann nochmal.

Share this post


Link to post
Share on other sites
  • 0

Nein, natürlich nicht. Aber wenn du nicht mehr geblockt bist und das ganze mit --debug ausführst, siehst du was schief läuft. Wenn du den Cron weiter laufen lässt, dann wird der LE Block mit pech immer wieder von vorn angefangen.

Share this post


Link to post
Share on other sites
  • 0

oder vielleicht erstmal die TESTING api nutzen BIS es funktioniert? Genau dafür gibt es sowas, damit man eben nicht geblockt wird...

Share this post


Link to post
Share on other sites
  • 0

Das spuckt er aus: 

Please check http://SUBDOMAIN/.well-known/acme-challenge/YOlUAD7XfOm6-HH-Xg9gY5jAPhbcuByg5-yrE64C7Y - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/SUBDOMAIN\/.well-known\/acme-challenge\/YOlUAHD7XfOm6-HH-Xg9gY5jAPhbcuByg5-yrE64C7Y): failed to open stream: HTTP request failed! HTTP\/1.1 404 Not F                                           ound\r\n","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":232}


 

Share this post


Link to post
Share on other sites
  • 0

Ist dein acme alias korrekt? 

Share this post


Link to post
Share on other sites
  • 0

Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge"
<Directory "/var/www/froxlor/.well-known/acme-challenge">
 Order allow,deny
 Allow from all
</Directory>
 

Share this post


Link to post
Share on other sites
  • 0

Was für ein Ordner in welchem Pfad denn?

Share this post


Link to post
Share on other sites
  • 0

Da erledigt normal der tasks Cronjob...laufen denn die froxlor cronjobs bei dir auch?

Share this post


Link to post
Share on other sites
  • 0

Laufen alle sauber durch. Nur eben der Cronjob von LetsEncrypt macht Probleme. 

Share this post


Link to post
Share on other sites
  • 0

Also im Root-Verzeichnis klappt das mit der HTML-Datei. Wenn ich aber auf ein Roundcube oder phpmyadmin Verzeichnis verweisen möchte bzw darin die Ordner/Dateien erstellen möchte, fehlen mir die Berechtigungen. Vermutlich auch das Problem.

Share this post


Link to post
Share on other sites
  • 0

Hä? Was haben Roundcube oder phpmyadmin verzeichnisse mit der LE Domain Validierung zu tun? Sorry - so kann ich echt nur schwer helfen...

Share this post


Link to post
Share on other sites
  • 0

Aaaahja....du weisst aber schon das Zertifikate auf domainbasis vergeben werden...und nicht pro Verzeichnis?!

Share this post


Link to post
Share on other sites
  • 0

Okey, aber das würde ja trotzdem heißen, dass wenn ich eine Subdomain auf Customer/XY verweise und da auch manuell einen :well-known... erstellen kann, die Dateien/Ordnerpfade nach Ausführung des LE-Scripts dort erstellt sein müssten. Hat es so ja auf den Hauptdomains auch gemacht.

Share this post


Link to post
Share on other sites
  • 0

1.) Hab die Ordnerpfade nur zu Testzwecken erstellt, weil du oben geschrieben hast, ich sollte die URL checken. Wenn aber Froxlor kein Pfad ./well-known-Pfad erstellt, würde ich nun gerne von dir eine bessere Alternative hören um deine Anweisungen zu befolgen. 

und...

2.) Du musst mir natürlich bei dem Problem definitiv nicht helfen, aber solche Bemerkungen, die einen als Depp hinstellen, könntest du dir auch sparen. Weil dadurch kommen wir bzw. ich auch nicht weiter. Immerhin bist du der "Lead Developer" und weißt wie Froxlor tickt und zu ticken hat.  

Share this post


Link to post
Share on other sites
  • 0

1) ich wollte das du den alias testest, ich gehe davon aus, das du alles entsprechend der Vorgaben konfiguriert hast.

2) dann drück dich bitte deutlicher aus. Deine Antworten bisher erweckten numal eher den Eindruck das du nicht so ganz weisst und verstehst was du tust. Das soll dich nicht blosstellen, nur kann ich nunmal nicht so leicht helfen wenn gewisse Grundlagen der serveradministration fehlen.

Share this post


Link to post
Share on other sites
  • 0

Hi,

@ninopi d00p war doch ganz korrekt. Nur glaube ich hast du leider nicht ganz verstanden wie es funktioniert und daher hat er mehrmals versucht zu helfen aber du hast darauf nicht richtig reagiert.

 

Versuche doch einfach mal bitte im Verzeichnis /var/www/froxlor/.well-known/acme-challenge/ eine test.html Datei anzulegen und diese dann über deine Subdomain http://SUBDOMAIN/.well-known/acme-challenge/test.html aufzurufen.

Weißt du was ein Apache Alias ist? Den hast da da oben geposted. Der sagt, dass wenn man http://SUBDOMAIN/.well-known/acme-challenge/ aufruft im Verzeichnis /var/www/froxlor/.well-known/acme-challenge/ landet.

Daher musst/sollst/darfst du .well-known NICHT im DocumentRoot deiner Subdomain anlegen. Das gehört da nicht hin und wird auch durch den Alias übersteuert. Bei weiteren Verständnis-Problemen lies dir einfach mal die Apache Dokumentation bzgl. Aliases durch. Das kann durchaus Licht ins Dunkel bringen.

 

Grüße

Chris :)

1 person likes this

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Similar Content

    • By fabian.moron.zirfas
        Hallo Froxlor Gemeinde,   ich versuche gerade auf unserem Server Seiten via letsencrypt zu verschlüsseln. Mit den Froxlor eigenen Tools hatte ich leider keinen Erfolg. Das kann an unserem Setup liegen oder an meiner Unfähigkeit (Achtung Serveradmin-Noob!).     (Der Fehler den ich bekomme ist folgender)     Could not get Let's Encrypt certificate for mysite.com: Please check http://mysite/.well-known/acme-challenge/YI6nQJMglYzLJoOf-2u_MRZMivqlD5w29wovISnRJpA - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/mysite\/.well-known\/acme-challenge\/YI6nQJMglYzLJoOf-2u_MRZMivqlD5w29wovISnRJpA): failed to open stream: HTTP request failed! HTTP\/1.1 404 Not Found\r\n","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":171}   Wenn jemand dafür eine Lösung hat immer her damit.       Was jedoch funktioniert hat ist direkt mit dem letsencrypt Kommandozeilen Tool ein Zertifikat zu erstellen. Nun habe ich das Problem, dass letsencrypt die ssl_vhost_xx.conf angepasst hat. Diese wird von froxlor jedoch bei einer Änderung an der Domain neu generiert.     Meine Fragen:     Wo sollte ich die Einstellungen der Domain anpassen, damit sich froxlor und letsencrypt nicht in die Quere kommen? (Geschätz unter "Eigene vHost-Einstellungen:" der Domain) Welchen Teil aus der .conf muss ich übernehmen?   Welcher Teil der .conf verändert sich bei einem erneuern des Zertifikats durch letsencrypt?     Vielen Dank vorab Fabian    
    • By Attack44
      Hallo,
       
      ich habe eine Frage zur Einbindung von SSL-Zertifikaten unter Forxlor.
       
      Einmal kann man ein Zertifikat unter Ressourcen -> IPs und Ports -> IP:Port(443) -> Webserver-SSL-Konfiguration einbinden und
      auch einmal unter System -> Einstellungen -> SSL-Einstellungen.
       
      Welcher Unterschied besteht zwischen beiden "Orten"?
       
      Gruß,
      Andreas
    • By yoursql719
      Hallo,
       
      ich habe Letsencrypt erfolgreich zum Laufen gebracht, allerdings bekomme von den Google Webmaster Tools die Rückmeldung, dass der www Alias nicht Teil des Zertifikats ist, sondern nur die Domain selbst. In Froxlor habe ich bei der Domain auf www Alias gestellt. Ist das derzeit noch ein Bug oder mache ich etwas falsch?
    • By mangorausch
      Leider bekomme ich immer eine Fehlermeldung im Cronjob, wenn ich ein Zertifikat mit Let's Encrypt erstellen möchte.
      In Chrome erhalte ich bei Aufruf der Domain: ERR_SSL_PROTOCOL_ERROR
       
      Meine Configuration in Froxlor sieht wie folgt aus:
       
       


       
    • By catchiller
      Hallo Froxlor Team,
       
      wäre es möglich, dass ihr im nächsten Release auch die fullchain.pem von Let's Encrypt abspeichert?
       
      Somit könnte man diese auch ohne die Chainfiles direkt in Programme wie dovecot und postfix einbinden. Soweit ich weiß erlaubt dovecot sogar ausschließlich fullchains
       
      Vielen Dank