Jump to content
Froxlor Forum
  • 0
ninopi

LetsEncrypt - Subdomains verschlüsseln

Question

Hi, ich hab Eure tolle LetsEncrypt Funktion getestet und find sie echt mega gelungen. Erleichtert einem wirklich die Arbeit und gibt einem Zeit für wichtigeres :-) 

Jetzt ist da nur eine kleine Sache die noch nicht so rund läuft.

Ich weiß nicht, ob das an einer Setting liegt oder bis dato noch nicht möglich ist aber eben schon in der GUI steht. 

Wenn ich eine Subdomain anlege und da LetsEncrypt nutzen möchte, vergibt er mit kein Zertifikat. Bei den Main-Domains gabs da keine Probleme. 

Müsste da dann ja auch so gehen - oder?

Danke schon vorab für Info oder Hilfe?

Share this post


Link to post
Share on other sites

25 answers to this question

Recommended Posts

  • 1

Du sollst doch den .well-known Ordner nicht bei den Kunden manuell erstellen...Oh man. Was treibst du denn bitte da? Sorry, bei sonem gefummel kann ich dir nicht helfen...mach es bitte so wie es gedacht ist, dann funktioniert das auch.

Share this post


Link to post
Share on other sites
  • 0

Zeigt die SubDomain denn auf deinen Server? Ist die denn ohne SSL auch richtig erreichbar?

Du kannst den Cronjob auch mal manuell aufrufen:

/usr/bin/php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug

durch den Debug Parameter kriegt man da ne menge mit.

  • Like 1

Share this post


Link to post
Share on other sites
  • 0

Ja, Subdomain wird normal richtig aufgelöst. Aktuell zeigt sie eben eine Warnmeldung, weils Zertifkat nicht gültig ist.

Ja, habs schon manuell angestoßen, aber werde es mal noch debugen.

 

Update: 

Whole response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new authz :: Too many invalid authorizations recently.","status":429}

 

Share this post


Link to post
Share on other sites
  • 0

Okay, du bist erstmal bei LE geblockt. LE Cron deaktivieren und bissel abwarten, für ne Stunde oder so. Genaue Zeiten findest du in der LE Doku.

Danach nochmal Debug ausführen und guggen was passiert.

Share this post


Link to post
Share on other sites
  • 0

Okey, aber der blockt ja einen nicht einfach so. 

Aber ich lass mich mal wieder entblocken und probiers dann nochmal.

Share this post


Link to post
Share on other sites
  • 0

Nein, natürlich nicht. Aber wenn du nicht mehr geblockt bist und das ganze mit --debug ausführst, siehst du was schief läuft. Wenn du den Cron weiter laufen lässt, dann wird der LE Block mit pech immer wieder von vorn angefangen.

Share this post


Link to post
Share on other sites
  • 0

oder vielleicht erstmal die TESTING api nutzen BIS es funktioniert? Genau dafür gibt es sowas, damit man eben nicht geblockt wird...

Share this post


Link to post
Share on other sites
  • 0

Das spuckt er aus: 

Please check http://SUBDOMAIN/.well-known/acme-challenge/YOlUAD7XfOm6-HH-Xg9gY5jAPhbcuByg5-yrE64C7Y - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/SUBDOMAIN\/.well-known\/acme-challenge\/YOlUAHD7XfOm6-HH-Xg9gY5jAPhbcuByg5-yrE64C7Y): failed to open stream: HTTP request failed! HTTP\/1.1 404 Not F                                           ound\r\n","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":232}


 

Share this post


Link to post
Share on other sites
  • 0

Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge"
<Directory "/var/www/froxlor/.well-known/acme-challenge">
 Order allow,deny
 Allow from all
</Directory>
 

Share this post


Link to post
Share on other sites
  • 0

Da erledigt normal der tasks Cronjob...laufen denn die froxlor cronjobs bei dir auch?

Share this post


Link to post
Share on other sites
  • 0

Also im Root-Verzeichnis klappt das mit der HTML-Datei. Wenn ich aber auf ein Roundcube oder phpmyadmin Verzeichnis verweisen möchte bzw darin die Ordner/Dateien erstellen möchte, fehlen mir die Berechtigungen. Vermutlich auch das Problem.

Share this post


Link to post
Share on other sites
  • 0

Hä? Was haben Roundcube oder phpmyadmin verzeichnisse mit der LE Domain Validierung zu tun? Sorry - so kann ich echt nur schwer helfen...

Share this post


Link to post
Share on other sites
  • 0

Aaaahja....du weisst aber schon das Zertifikate auf domainbasis vergeben werden...und nicht pro Verzeichnis?!

Share this post


Link to post
Share on other sites
  • 0

Okey, aber das würde ja trotzdem heißen, dass wenn ich eine Subdomain auf Customer/XY verweise und da auch manuell einen :well-known... erstellen kann, die Dateien/Ordnerpfade nach Ausführung des LE-Scripts dort erstellt sein müssten. Hat es so ja auf den Hauptdomains auch gemacht.

Share this post


Link to post
Share on other sites
  • 0

1.) Hab die Ordnerpfade nur zu Testzwecken erstellt, weil du oben geschrieben hast, ich sollte die URL checken. Wenn aber Froxlor kein Pfad ./well-known-Pfad erstellt, würde ich nun gerne von dir eine bessere Alternative hören um deine Anweisungen zu befolgen. 

und...

2.) Du musst mir natürlich bei dem Problem definitiv nicht helfen, aber solche Bemerkungen, die einen als Depp hinstellen, könntest du dir auch sparen. Weil dadurch kommen wir bzw. ich auch nicht weiter. Immerhin bist du der "Lead Developer" und weißt wie Froxlor tickt und zu ticken hat.  

Share this post


Link to post
Share on other sites
  • 0

1) ich wollte das du den alias testest, ich gehe davon aus, das du alles entsprechend der Vorgaben konfiguriert hast.

2) dann drück dich bitte deutlicher aus. Deine Antworten bisher erweckten numal eher den Eindruck das du nicht so ganz weisst und verstehst was du tust. Das soll dich nicht blosstellen, nur kann ich nunmal nicht so leicht helfen wenn gewisse Grundlagen der serveradministration fehlen.

Share this post


Link to post
Share on other sites
  • 0

Hi,

@ninopi d00p war doch ganz korrekt. Nur glaube ich hast du leider nicht ganz verstanden wie es funktioniert und daher hat er mehrmals versucht zu helfen aber du hast darauf nicht richtig reagiert.

 

Versuche doch einfach mal bitte im Verzeichnis /var/www/froxlor/.well-known/acme-challenge/ eine test.html Datei anzulegen und diese dann über deine Subdomain http://SUBDOMAIN/.well-known/acme-challenge/test.html aufzurufen.

Weißt du was ein Apache Alias ist? Den hast da da oben geposted. Der sagt, dass wenn man http://SUBDOMAIN/.well-known/acme-challenge/ aufruft im Verzeichnis /var/www/froxlor/.well-known/acme-challenge/ landet.

Daher musst/sollst/darfst du .well-known NICHT im DocumentRoot deiner Subdomain anlegen. Das gehört da nicht hin und wird auch durch den Alias übersteuert. Bei weiteren Verständnis-Problemen lies dir einfach mal die Apache Dokumentation bzgl. Aliases durch. Das kann durchaus Licht ins Dunkel bringen.

 

Grüße

Chris :)

  • Like 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By d00p
      Dear Froxlor Community,
      I am proud to finally release the stable version of a new API based froxlor. Due to massive internal improvements and changes in the core (almost 600 commits since 0.9.40.1) users are now able to list/create/edit/delete resources and entities of froxlor via API (requires activation of api-usage in the settings and a user based API-key). The froxlor frontend itself uses the API backend too.
      Froxlor now uses composer to include some of its requirements like phpMailer, Logger, IdnaConvert and TwoFactorAuth libraries. All required files will be included in the official tarball so you do not need to worry about installing and using composer (only if you are using / testing the git-master, see https://github.com/Froxlor/Froxlor/wiki/Install-froxlor-from-git-sources).
      Most important changes:
      froxlor now requires at least php-7.0 or newer, php-5.6 is no longer supported because of its EOL almost a year ago you can access data via API, for more information see https://api.froxlor.org/doc/. An example can be found here: https://github.com/Froxlor/Froxlor/tree/master/doc/example PHPUnit tested API backend with MySQL 5.6, 5.7 and 8 as well as MariaDB 10.3 and 10.4, see https://travis-ci.com/Froxlor/Froxlor compatibility for MySQL8 2FA (two-factor-authentication) for admins/resellers/customers (email or authenticator app) all froxlor-database tables will automatically be converted to the InnoDB engine added support for Debian 10 (buster) and Ubuntu 18.04 (bionic beaver) implemented Let's Encrypt via acme.sh - Note: all your current Let's Encrypt certificates will be removed and re-created due to another structure customizable error/access log handling for webserver (format, level, pipe-to-script, etc.) deprecated Debian 7 (wheezy) and Ubuntu 14.04 (trusty tahr) support dropped support for Ubuntu 12.04 (precise pangolin) dropped ticketsystem Changes in 0.10.1:
      allow/disallow API access on a per-customer base add explicit tlsv1.3 ciphersuite setting fixed wrong behaviour in Ftps.add() if customer is newly created and setting customer.ftpatdomain is true added expiration date to SSL certificates loaded via API request fixed wrong return in Certificates.get() if given domain does not have a certificate allow setting http2 flag for (sub)domains in customer view, fixes #725 Changes in 0.10.2:
      force Let's Encrypt ACMEv2 API, fixed #728 added default-ssl-vhost settings and optionally allow including of non-ssl default-vhost settings, fixes #727 implemented DomainZones.listing() to return custom stored dns entries removed API Parameter use_default_ssl_ipandport_if_empty from Domains.add() added API Parameter dont_use_default_ssl_ipandport_if_empty to Domains.add() fix registration and termination date to flip between empty-value and 0000-00-00 Download: 0.10.2

      Note: Debian packages are available as of 21th of October 2019 - Note that there are no packages for oldoldstable (jessie) anymore
      Attention: The auto-update feature is currently not working correctly for updaters from 0.9.x due to the archive taking a bit longer to extract and froxlor trying to redirect too soon thus leading to an internal server error. A quick reload does "fix" the problem. To avoid that please use the manual update options, see https://github.com/Froxlor/Froxlor/wiki

      Visit http://www.froxlor.org or join our IRC channel #froxlor on irc.freenode.net for support, help, participation or just a chat

      Thank you,
      d00p
    • By nisamudeen97
      Hi,
      Our froxlor server is behiend NAT and it uses the local IP  192.168.73.40.  We have enabled letsencrypt module in froxlor and tried validating SSL for a domain in the server.  SSL generation is getting failed with 403 error.  See the debug log information.      Replaced domain name and main IP.    Can any one help me regarding the issue.
       
      [information] Updating Let's Encrypt certificates [information] Updating domain-name.com [information] Adding SAN entry: domain-name.com [information] Adding SAN entry: www.domain-name.com [information] letsencrypt-v2 Using 'https://acme-v02.api.letsencrypt.org' to generate certificate [information] letsencrypt-v2 Using existing account key [information] letsencrypt-v2 Starting certificate generation process for domains [information] letsencrypt-v2 Sending signed request to https://acme-v02.api.letsencrypt.org/acme/new-order [information] letsencrypt-v2 Requesting challenge for domain-name.com [information] letsencrypt-v2 Got challenge token for domain-name.com [information] letsencrypt-v2 Token for domain-name.com saved at /var/www/froxlor/.well-known/acme-challenge/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k and should be available at http://domain-name.com/.well-known/acme-challenge/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k [information] letsencrypt-v2 Sending request to challenge [information] letsencrypt-v2 Sending signed request to https://acme-v02.api.letsencrypt.org/acme/chall-v3/803008408/k46kFQ [information] letsencrypt-v2 Verification pending, sleeping 1s [information] letsencrypt-v2 Verification pending, sleeping 1s [error] Could not get Let's Encrypt certificate for domain-name.com: Verification ended with error: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:unauthorized","detail":"Invalid response from http:\/\/domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k [212.224.xxx.xxx]: \"<!DOCTYPE html>\\n<html lang=\\\"en-CA\\\" class=\\\"html_stretched responsive av-preloader-active av-preloader-enabled av-default-lightbox\"","status":403},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/803008408\/k46kFQ","token":"vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","validationRecord":[{"url":"http:\/\/www.domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","hostname":"www.domain-name.com","port":"80","addressesResolved":["212.224.xxx.xxx"],"addressUsed":"212.224.xxx.xxx"},{"url":"http:\/\/domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","hostname":"domain-name.com","port":"80","addressesResolved":["212.224.xxx.xxx"],"addressUsed":"212.224.xxx.xxx"}]} [information] Let's Encrypt certificates have been updated  
    • By peterpan
      Hi,
      I have a domain equipped with a certificate from LE. The cert is valid another 2 months. Now I added a domain as an alias of the existing domain, but the certificate isn't updated to have the new domain as its SAN.
      How do I trigger getting a new and updated certificate? Should I delete the existing one?
      Thanks for helping out.
       
      Peter
    • By juca
      Hi,
      I was wondering if it possible to specify different custom configurations for HTTP and HTTPS traffic. 
      I have a couple of sites that would need to keep HTTP traffic active. Basically what I would like to do is the following:
      for HTTP:
      ProxyPreserveHost On ProxyRequests off ### HTTP Proxy AllowCONNECT 443 563 ProxyPass / http://localhost:16080/ ProxyPassReverse / http://localhost:16080/  
      for HTTPS:
      ###SSL Proxy ProxyPreserveHost On ProxyRequests off SSLProxyEngine on SSLProxyVerify none  SSLProxyCheckPeerCN off SSLProxyCheckPeerName off SSLProxyCheckPeerExpire off ProxyPass / https://localhost:16443/ ProxyPassReverse / https://localhost:16433/ is this possible?
       




×
×
  • Create New...