Jump to content
Froxlor Forum
  • 0

SSL - Let's Encrypt - Debian Jessie (8.x) - Apache 2.4


Question

Hallo.

Ich habe gerade gesehen, dass es hier das Forum auch in Deutsch gibt :)
Habe die Frage zwar im englischen schon gestellt, aber in Deutsch wär mi das ganze doch lieber :) (Admin du kannst gerne meine Post im EN Forum löschen).

Ich habe seit dem Update auf Debian 8 das Problem, dass ich einen 404 Error erhalte.
Ich habe (wie in Froxlor beschrieben) die acme.conf erstellt und den Dienst "apache2" neugestartet.

Weiters habe ich auch noch 

Could not get Let's Encrypt certificate for cloudservice.DOMAIN.com: Verification ended with error: {"identifier":{"type":"dns","value":"cloudservice.DOMAIN.com"},"status":"invalid","expires":"2017-06-07T20:05:14Z","challenges":[{"type":"tls-sni-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196287","token":"IRK9FHJuWGV9l3qnCnoHuh7XGudY4bWd5Sx1JerSkSU"},{"type":"dns-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196288","token":"ufnSkvFtYYIXOWhqBGuv1QZF_iaOkrZ5USKYE0U52QM"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8: \"<html>\r\n<head><title>404 Not Found<\/title><\/head>\r\n<body bgcolor=\"white\">\r\n<center><h1>404 Not Found<\/h1><\/center>\r\n<hr><center>\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196289","token":"KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8","keyAuthorization":"KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8.smiCkvGETnwE6QlOocMBuKikIIKHHcPhTBjXZgHYBt4","validationRecord":[{"url":"http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8","hostname":"cloudservice.DOMAIN.com","port":"80","addressesResolved":["188.68.55.173","2001:1a50:11:0:5f:8f:acfa:7c"],"addressUsed":"2001:1a50:11:0:5f:8f:acfa:7c","addressesTried":[]}]}],"combinations":[[2],[0],[1]]}
nano /etc/apache2/conf-enabled/acme.conf
Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge"
<Directory "/var/www/froxlor/.well-known/acme-challenge">
        Require all granted
</Directory>

Weiters habe ich mir dann noch gedacht ich checke die apache Einstellungen die Floxlor angeben hat.

mkdir -p /etc/apache2/sites-enabled/
chown root:0 /etc/apache2/sites-enabled/
chmod 0600 /etc/apache2/sites-enabled/
mkdir -p /etc/apache2/sites-enabled/
chown root:0 /etc/apache2/sites-enabled/
chmod 0600 /etc/apache2/sites-enabled/
mkdir -p /var/customers/webs/
mkdir -p /var/customers/logs/
mkdir -p /var/customers/tmp
chmod 1777 /var/customers/tmp
a2dismod userdir
a2enmod headers
apt-get install libapache2-mod-fastcgi

Ich habe alles außer mkdir nochmals durchgeführt. Da die Folder sind ja schon vorhanden.
Kann ich sonst noch irgendwo was einstellen oder kontrollieren?

 

592f26f85b34b_Bildschirmfoto2017-05-31um22_23_32.thumb.png.c9336b59ca03b95ff4961a8609022c15.png

592f26f26da2f_Bildschirmfoto2017-05-31um22_23_25.thumb.png.b1a8fe8e8f2597db1c547e1229ce46b4.png

592f26ec6b549_Bildschirmfoto2017-05-31um22_22_38.thumb.png.f1e4df682c6983ac4c3ade7cdcf63028.png

Liebe Grüße
Matthias

 

Link to post
Share on other sites

13 answers to this question

Recommended Posts

  • 0

1) erstelle /var/www/froxlor/.well-known/acme-challenge/test und schreib "hallo" rein

2) öffne http://cloudservice.DOMAIN.com/.well-known/acme-challenge/test im browser und guck ob "hallo" angezeigt wird

Link to post
Share on other sites
  • 0

Ich konnte das Problem früher lösen indem ich die Anführungszeichen aus der acme.conf entfernt habe:

 

Alias /.well-known/acme-challenge /var/www/froxlor/.well-known/acme-challenge
<Directory /var/www/froxlor/.well-known/acme-challenge>
        Require all granted
</Directory>
Link to post
Share on other sites
  • 0

Habe die Datei angepasst und Apache neugestartet.

Bekomme leider immer noch den gleichen Fehler. :/ 
 

Alias /.well-known/acme-challenge /var/www/froxlor/.well-known/acme-challenge
<Directory /var/www/froxlor/.well-known/acme-challenge>
        Require all granted
</Directory>
/etc/init.d/apache2 restart
     
Could not get Let's Encrypt certificate for cloudservice.DOMAIN.com: Verification ended with error: {"identifier":{"type":"dns","value":"cloudservice.DOMAIN.com"},"status":"invalid","expires":"2017-06-08T13:05:16Z","challenges":[{"type":"dns-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/1R7AYyh-akU_ozfgm9l4wOnb2jL2hI_sxQXUhnR4cMk\/1262591480","token":"8G2PVi-I6CI5CW4Cc4FeWi8QPYiPhGEtNYIVHROYNY0"},{"type":"tls-sni-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/1R7AYyh-akU_ozfgm9l4wOnb2jL2hI_sxQXUhnR4cMk\/1262591481","token":"9RBImxAtl6z6RuUDQgr-YCE1rf2raIbsHizUM5iodHM"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/nvjPaJZ90ZgsTisXBUqtyHR8nxzxQ-2ra2wv-ypmMYk: \"<html>\r\n<head><title>404 Not Found<\/title><\/head>\r\n<body bgcolor=\"white\">\r\n<center><h1>404 Not Found<\/h1><\/center>\r\n<hr><center>\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/1R7AYyh-akU_ozfgm9l4wOnb2jL2hI_sxQXUhnR4cMk\/1262591482","token":"nvjPaJZ90ZgsTisXBUqtyHR8nxzxQ-2ra2wv-ypmMYk","keyAuthorization":"nvjPaJZ90ZgsTisXBUqtyHR8nxzxQ-2ra2wv-ypmMYk.f7N1DND5PhqeqtGzbxEu4gPZzA7v_A7aTqBFpNAczC8","validationRecord":[{"url":"http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/nvjPaJZ90ZgsTisXBUqtyHR8nxzxQ-2ra2wv-ypmMYk","hostname":"cloudservice.DOMAIN.com","port":"80","addressesResolved":["188.68.55.173","2001:1a50:11:0:5f:8f:acfa:7c"],"addressUsed":"2001:1a50:11:0:5f:8f:acfa:7c","addressesTried":[]}]}],"combinations":[[0],[1],[2]]}

Liebe Grüße

Matthias

Link to post
Share on other sites
  • 0

ich hab von vielen schon gehört das komische konstellationen in der /etc/hosts datei auch dazu führen, dass der "self-check" von froxlor nicht funktioniert. Ansonsten natürlich prüfen: zeigt die Domain auch auf die korrekten IPs? Mehr kann man mit DOMAIN.com leider nicht anfangen, dann müsst ich schon die echte kennen, auch in bezug auf einträge in der /etc/hosts...aber schau einfach mal nach, vllt fällt dir ja schon was auf

Link to post
Share on other sites
  • 0

Hallo.

Die Domain habe ich via AAA und A weitergeleitet. Ansurfen kann ich die Seite ja auch, komme dann auch auf die richtigen Daten die im FTP Verzeichnis liegen.

/etc/host steht
 


127.0.0.1       localhost
127.0.1.1       kvmimageinstall.yourvserver.net kvmimageinstall

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
1XX.XX.XX.XXX   XXXXX.happysrv.de  XXXXX

Ich schick dir mal die IP und die Domain in einer PN.
Lg Matthias

Link to post
Share on other sites
  • 0

ne das passt alles, zeig uns mal bitte den vhost (nonssl und ssl) von der domain, hilfreich wäre halt wenn ips nicht unbedingt verschleiert würden (das letzte segment kannste ja weglassen, aber das helfen ist immer schwer wenn jemand x.x.x.x schreibt und am ende steht da z.B. ne interne IP [192.168...] oder sonstwas und man sucht sich nen wolf)

Link to post
Share on other sites
  • 0

Ich habe dir Gestern ein PN mit der IP gesendet :)

Die vhost der Domain

# 35_froxlor_normal_vhost_cloudservice.DOMAIN.com.conf
# Created 01.06.2017 14:10
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.

# Domain ID: 22 - CustomerID: 4 - CustomerLogin: owncloud
<VirtualHost 188.68.55.XXX:80>
  ServerName cloudservice.DOMAIN.com
  ServerAdmin mail@DOMAIN.com
  DocumentRoot "/var/customers/webs/owncloud/"
  FastCgiExternalServer /var/www/php-fpm/owncloud/cloudservice.DOMAIN.com/fpm.external -socket /var/lib/apache2/fastcgi/owncloud-cloudservice.DOMAIN.com-php-fpm.socket -idle-timeout 30
  <Directory "/var/customers/webs/owncloud/">
    <FilesMatch "\.php$">
      SetHandler php5-fastcgi
      Action php5-fastcgi /fastcgiphp
      Options +ExecCGI
    </FilesMatch>
    Require all granted
    AllowOverride All
  </Directory>
  Alias /fastcgiphp /var/www/php-fpm/owncloud/cloudservice.DOMAIN.com/fpm.external
  ErrorLog "/var/customers/logs/owncloud-error.log"
  CustomLog "/var/customers/logs/owncloud-access.log" combined
</VirtualHost>

Die  SSL vhost der Domain

# 35_froxlor_ssl_vhost_cloudservice.DOMAIN.com.conf
# Created 01.06.2017 14:10
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.

# Domain ID: 22 (SSL) - CustomerID: 4 - CustomerLogin: owncloud
# no ssl-certificate was specified for this domain, therefore no explicit vhost is being generated

Und hier nochmals /etc/host (nur die letzen 3 Zeichen ersetzt)

 


127.0.0.1       localhost
127.0.1.1       kvmimageinstall.yourvserver.net kvmimageinstall

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
188.68.55.XXX   SERVERNAME.happysrv.de  SERVERNAME

 

Link to post
Share on other sites
  • 0

@d00p Ich komme hier leider vorab nicht weiter. Ich habe mit 

watch -n .1 "ls -al"

kontrollierte, das im "/.well-known/acme-challenge" Ordern so passiert wenn ich den Cron starte.
Es wird die Datei erstellt mit root als Besitzer und danach wird sie gelöscht, leider erhalte ich trotzdem ein 404 Fehler.
Dann habe ich im Script das Löschen auskommentiert, danach bleibt die Datei und ich kann sie auch direkt ansurfen.
Trotzdem erhalte ich einen 404 Fehler über den Cron-Job. 

Bietest du deine Dienst auch gegen eine Spende für euere Projekt an?
Bin leider am Ende meiner Ideen :)

Liebe Grüße
Matthias

Link to post
Share on other sites
  • 0

Morgen kann ich gern mal schauen. Bräuchte dann natürlich entsprechenden Zugang (root), einfach per PM. Oder schau morgen einfach im IRC vorbei.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Similar Content

    • By logicbloke
      Hi,
      I'm just wondering what the difference is between the following 2 folders:
      Why is froxlor installing acme.sh cron everytime it runs at 3am everyday especially since the 5-min let's encrypt froxlor cron is already in place? Also, all my db config points to /etc/ssl/froxlor-custom for the domains and all keys/certificates inside that folder have a different md5 from the ones under /root/.acme.sh/, so I'm wondering what's with the mismatch? Are we updating certificates for domains twice?
       
      If anyone can shed some more light on this, it will be very much appreciated.
       
      Many thanks!
    • By Michael Groß
      Hallo zusammen,
      ich kämpfe momentan mit der SSL Konfiguration von meinem Froxlor-Server.
      Bedauerlicherweise befindet sich der Webserver hinter einer Firewall und hat eine private IP Adresse zugewiesen bekommen. 
      Die Firewall leitet entsprechend den Traffic von außerhalb auf den Server weiter (HTTP ist das alles kein Problem).
      Nun habe ich vorhin SSL aktivieren wollen und hierzu kann ich leider keine private IP Adresse eintragen (lässt Froxlor nicht zu).
      Entsprechend habe ich die public IP eingetragen, was aber auch nicht funktioniert, da durch das NAT der Firewall die private IP angesprochen wird - somit funktioniert dies nicht.
      Habt ihr eine Idee, wie man das umbauen kann?
      An sich brauche ich nur die private IP Adresse als SSL Adresse eintragen - vermute aber, dass dadurch Let's Encrypt auch nicht mehr richtig laufen wird.
      Viele Grüße
      Michael
      PS: Ein 1:1 NAT wäre noch eine Möglichkeit, da ich die Public IP aber für diverse Server verwende, fällt das auch raus. Müsste dann eine neue Public IP kaufen, welche ich dann mit einem 1:1 NAT auf den Webserver laufen lasse (wäre noch eine Möglichkeit)
    • By nisamudeen97
      Hi,
      Our froxlor server is behiend NAT and it uses the local IP  192.168.73.40.  We have enabled letsencrypt module in froxlor and tried validating SSL for a domain in the server.  SSL generation is getting failed with 403 error.  See the debug log information.      Replaced domain name and main IP.    Can any one help me regarding the issue.
       
      [information] Updating Let's Encrypt certificates [information] Updating domain-name.com [information] Adding SAN entry: domain-name.com [information] Adding SAN entry: www.domain-name.com [information] letsencrypt-v2 Using 'https://acme-v02.api.letsencrypt.org' to generate certificate [information] letsencrypt-v2 Using existing account key [information] letsencrypt-v2 Starting certificate generation process for domains [information] letsencrypt-v2 Sending signed request to https://acme-v02.api.letsencrypt.org/acme/new-order [information] letsencrypt-v2 Requesting challenge for domain-name.com [information] letsencrypt-v2 Got challenge token for domain-name.com [information] letsencrypt-v2 Token for domain-name.com saved at /var/www/froxlor/.well-known/acme-challenge/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k and should be available at http://domain-name.com/.well-known/acme-challenge/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k [information] letsencrypt-v2 Sending request to challenge [information] letsencrypt-v2 Sending signed request to https://acme-v02.api.letsencrypt.org/acme/chall-v3/803008408/k46kFQ [information] letsencrypt-v2 Verification pending, sleeping 1s [information] letsencrypt-v2 Verification pending, sleeping 1s [error] Could not get Let's Encrypt certificate for domain-name.com: Verification ended with error: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:unauthorized","detail":"Invalid response from http:\/\/domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k [212.224.xxx.xxx]: \"<!DOCTYPE html>\\n<html lang=\\\"en-CA\\\" class=\\\"html_stretched responsive av-preloader-active av-preloader-enabled av-default-lightbox\"","status":403},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/803008408\/k46kFQ","token":"vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","validationRecord":[{"url":"http:\/\/www.domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","hostname":"www.domain-name.com","port":"80","addressesResolved":["212.224.xxx.xxx"],"addressUsed":"212.224.xxx.xxx"},{"url":"http:\/\/domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","hostname":"domain-name.com","port":"80","addressesResolved":["212.224.xxx.xxx"],"addressUsed":"212.224.xxx.xxx"}]} [information] Let's Encrypt certificates have been updated  
    • By peterpan
      Hi,
      I have a domain equipped with a certificate from LE. The cert is valid another 2 months. Now I added a domain as an alias of the existing domain, but the certificate isn't updated to have the new domain as its SAN.
      How do I trigger getting a new and updated certificate? Should I delete the existing one?
      Thanks for helping out.
       
      Peter
    • By juca
      Hi,
      I was wondering if it possible to specify different custom configurations for HTTP and HTTPS traffic. 
      I have a couple of sites that would need to keep HTTP traffic active. Basically what I would like to do is the following:
      for HTTP:
      ProxyPreserveHost On ProxyRequests off ### HTTP Proxy AllowCONNECT 443 563 ProxyPass / http://localhost:16080/ ProxyPassReverse / http://localhost:16080/  
      for HTTPS:
      ###SSL Proxy ProxyPreserveHost On ProxyRequests off SSLProxyEngine on SSLProxyVerify none  SSLProxyCheckPeerCN off SSLProxyCheckPeerName off SSLProxyCheckPeerExpire off ProxyPass / https://localhost:16443/ ProxyPassReverse / https://localhost:16433/ is this possible?
       
×
×
  • Create New...