Jump to content
Froxlor Forum
  • 0

letsencrypt und mehrere Subdomains


df8oe

Question

Hallo an alle,

ich mache irgendwas falsch und bekomme nicht raus was :( Letsencrypt läuft prima mit meinen Hauptdomains. Wenn ich ein neues Zertifikat erstellen will wähle ich als Alias immer "www." - und nach wenigen Minuten ist das Zertifkat vorhanden und gültig. Nun haben mehrere meiner Domains Subdomains, die auf eigene Verzeichnisse zeigen. Via http auch kein Problem. Aktiviere ich https, dann bekomme ich die Fehlermeldung, dass das zertifikat auf abc.de ausgestellt ist und nicht auf cps.abc.de passt. Stimmt ja auch. Also setze ich einen Haken bei Letsencrypt und hoff(t)e, dass jetzt für diese Subdomain ein eigenes Zertifikat abgeholt wird. Ist zwar etwas umständlich - aber sollte funktionieren. Tut es aber nicht. Wenn ich jetzt 10 Minuten warte, werde ich von LE gesperrt wegen zu vieler Fehler.

 

Also habe ich das Script mal zu Fuß angestoßen und mit debug Option ausgeführt. Leider bringt mich das auch nicht weiter.

 

root@serverlein.de:~# php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug
[information] Updating Let's Encrypt certificates
[information] Updating cps.abc.de
[information] Adding SAN entry: cps.abc.de
[information] letsencrypt Using 'https://acme-v01.api.letsencrypt.org' to generate certificate
[information] letsencrypt Using existing account key
[information] letsencrypt Starting certificate generation process for domains
[information] letsencrypt Requesting challenge for cps.abc.de
[information] letsencrypt Sending signed request to /acme/new-authz
[information] letsencrypt Got challenge token for cps.abc.de
[information] letsencrypt Token for cps.abc.de saved at /var/www/froxlor/.well-known/acme-challenge/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ and should be available at http://cps.abc.de/.well-known/acme-challenge/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ
[error] letsencrypt Please check http://cps.abc.de/.well-known/acme-challenge/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/cps.abc.de\/.well-known\/acme-challenge\/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ): failed to open stream: php_network_getaddresses: getaddrinfo failed: Name or service not known","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":232}
[information] letsencrypt Sending request to challenge
[information] letsencrypt Sending signed request to https://acme-v01.api.letsencrypt.org/acme/challenge/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I/1373449240
[information] letsencrypt Verification pending, sleeping 1s
[error] Could not get Let's Encrypt certificate for cps.abc.de: Verification ended with error: {"identifier":{"type":"dns","value":"cps.abc.de"},"status":"invalid","expires":"2017-06-26T12:07:17Z","challenges":[{"type":"tls-sni-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I\/1373449238","token":"DTyJJkaHGRBFOaOG4UqVw4PHbhqaIF_hYiEEgr2L38k"},{"type":"dns-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I\/1373449239","token":"Ji-qoXFFuz9oScAUrV-Kfn9lSzCYJCasrEqT6gksSxo"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/cps.abc.de\/.well-known\/acme-challenge\/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ: \"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">\n<html><head>\n<title>404 Not Found<\/title>\n<\/head><body>\n<h1>Not Found<\/h1>\n<p\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I\/1373449240","token":"ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ","keyAuthorization":"ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ.nS70pz8z8isf-avL-LlRE26VFwKXSas2iA_NnvGaoGA","validationRecord":[{"url":"http:\/\/cps.abc.de\/.well-known\/acme-challenge\/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ","hostname":"cps.abc.de","port":"80","addressesResolved":["85.10.198.2"],"addressUsed":"85.10.198.2","addressesTried":[]}]}],"combinations":[[1],[0],[2]]}
[information] Let's Encrypt certificates have been updated
[notice] Checking system's last guid
root@serverlein.de:~# 

 

Wenn ich in .well-known... eine Test-HTML-Datei lege, kann ich mit http://cps.abc.de/.well-known.... darauf einwandfrei zugreifen. Das Verzeichnis liegt auch im Verzeichnis des Kunden, und der alte Apache kann drin rummalern. Ich habe sowohl probiert, die Subdomain "als Kunde anzulegen" (also als Subdomain von...) als auch als Admin und als Hauptdomain (also explizit NICHT als Subdomain zuzuweisen). Das Ergebnis ist dasselbe. Da Froxlor und LE ansonst einwandfrei laufen, kann ich mir nur vorstellen, dass bei LE auffällt, dass ich ein zweites Zertifikat mit der "Endung" abc.de anfordere und er sich da irgendwie verhakt. Aber das ist reine Glaskugelreiberei - aus den Logs kann ich das nicht entnehmen. Was mache ich grundsätzlich falsch?

 

LG

df8oe

Link to comment
Share on other sites

7 answers to this question

Recommended Posts

Die Fehlermeldung liest sich aber eher so als ob die Subdomain per DNS nicht auf die Kiste zeigt... (failed to open stream: php_network_getaddresses: getaddrinfo failed:...) - mit dummy-domains halt nur schwer zu beantworten

Link to comment
Share on other sites

Der Tipp war mal wieder gut. Wenn ich von extern auf die Subdomain zugreife, klappt es. Von intern nicht. Ein Ping vom Server auf die Subdomain bringt "unknown host". Alle anderen Domains dieses Servers (inkl. der Subdomains anderer Hauptdomains) sowie externen Domains wie google.de, gmx.de etc. werden 100% korrekt aufgelöst - nur diese eine Subdomain nicht. Die Subdomain ist aber im Apachen korrekt angelegt. Und in /etc/bind/domains ist auch ein entsprechendes Zonefile angelegt worden. Seltsamerweise sind bei allen anderen Subdomains (von anderen Hauptdomains) diese Probleme NICHT vorhanden (ich kann sie vom Server aus anpingen) - nur für diese Subdomain klappt das nicht. Wie kann denn das passieren??

Ratlos...

Gruß

df8oe

Link to comment
Share on other sites

wenns von extern klappt, wieso sollte es von intern nicht? Apache hat auch nix damit zu tun ob eine Domain aufgelöst werden kann oder nicht, das ist wohl DNS, betreibst du denn einen eigenen DNS für deine Domains (99% der user machen das NICHT)

Link to comment
Share on other sites

Ja, mache ich. Weil ich auf zwei Subdomains je eine dynamische IP habe die der öffentliche Nameserver dann via meinem Nameserver auflöst. Deswegen ist bind9 aktiviert und hat auch für alle Hauptsomains und auch die betroffene Subdomain ein Zonefile. Er ist auch gestartet und läuft (wenn nicht würde mir das sofort auffallen weil die beiden dynamischen dann ins Nirwana laufen würden).

Gruß

df8oe

Link to comment
Share on other sites

Das liegt nicht bei mir. Der externe Nameserver reagiert je nachdem von wo aus ich ihn anfrufe anders. Ich warte einfach nochmal ab. Ich habe die Subdomain erst heute Morgen in den DNS Record eingetragen - ich vermute, dass sich hier "noch nicht alles rumgesprochen hat". Das ist vermutlich nicht nur ein Server, sondern ein Verbund, und je nachdem, von "wo aus ich reinkomme (von innerhalb der Serverfarm oder von Aussen) ist das Ergebnis anders.

 

Danke für den goldrichtigen Tipp!

 

Gruß

df8oe

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...