Jump to content
Froxlor Forum
  • 0
Andreas Ruttkamp

Probleme mit Let´s Encrypt

Question

Hallo zusammen,

ich tu mich schwer den folgenden LOG Eintrag richtig zu lesen und danach zu handeln.
Was mache ich falsch ?
Es gibt auf dem Server bereits eine Domain bei der SSL problemlos funktioniert. ( ebenfalls Let´s Encrypt )

Was will er mir hiermit sagen ?

[Lets Encrypt self-check] Please check http://beispiel.info/.well-known/acme-challenge/wd0wrlT181Dc-7vYbrW0Hyp5BOynwDC0Xrpunrn4Z-s - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate; PHP error: {"type":2,"message":"date_default_timezone_get(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone 'UTC' for now, but please set date.timezone to select your timezone.","file":"\/var\/www\/froxlor\/lib\/cron_init.php","line":31}

Gibt eine weitere Meldung , die danach kommt :


	Could not get Let's Encrypt certificate for qub.info: Verification ended with error: {"identifier":{"type":"dns","value":"beispiel.info"},"status":"invalid","expires":"2018-05-17T12:10:02Z","challenges":[{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/qEcuEALD0ebfW2qFfPw0iWjbVerq2z_lp7jmanDuXQI\/4581883636","token":"kAoe8bsBOW6nKyGDa3LZEdm5cDYQMGZnE1uj6gTl2YU"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/beispiel.info\/.well-known\/acme-challenge\/wd0wrlT181Dc-7vYbrW0Hyp5BOynwDC0Xrpunrn4Z-s: \"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">\n<html><head>\n<title>404 Not Found<\/title>\n<\/head><body>\n<h1>Not Found<\/h1>\n<p\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/qEcuEALD0ebfW2qFfPw0iWjbVerq2z_lp7jmanDuXQI\/4581883639","token":"wd0wrlT181Dc-7vYbrW0Hyp5BOynwDC0Xrpunrn4Z-s","keyAuthorization":"wd0wrlT181Dc-7vYbrW0Hyp5BOynwDC0Xrpunrn4Z-s.gYWgpv_5-YFYEP-Dnpex7jBUo_cpFlScYhx5VCwuoCA","validationRecord":[{"url":"http:\/\/beispiel.info\/.well-known\/acme-challenge\/wd0wrlT181Dc-7vYbrW0Hyp5BOynwDC0Xrpunrn4Z-s","hostname":"beispiel.info","port":"80","addressesResolved":["46.4.xxx.yyy"],"addressUsed":"46.4.xxx.yyy"}]}],"combinations":[[1],[0]]}


Freue mich auf Eure Hilfe !

Share this post


Link to post
Share on other sites

16 answers to this question

Recommended Posts

  • 1

Den solltest du angelegt haben. /etc/apache2/conf-enabled/acme.conf ,(oder auch conf.d)

Share this post


Link to post
Share on other sites
  • 0
2 hours ago, Andreas Ruttkamp said:

[Lets Encrypt self-check] Please check http://beispiel.info/.well-known/acme-challenge/wd0wrlT181Dc-7vYbrW0Hyp5BOynwDC0Xrpunrn4Z-s - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate; PHP error: {"type":2,"message":"date_default_timezone_get(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone 'UTC' for now, but please set date.timezone to select your timezone.","file":"\/var\/www\/froxlor\/lib\/cron_init.php","line":31}

php.ini -> timezone setzen, z.B. Europe/Berlin

 

Share this post


Link to post
Share on other sites
  • 0

Hallo d00p ,

klingt logisch , isses aber nicht.
eine ganz neu auf dem Server angelegte Domain , mit derselben php.ini ( ohne den eintrag date.timezone = Europe/Berlin ) hat anstandslos ein ZErtifikat bekommen.
habe mir die Werte der php.ini ausgeben lassen und die Werte sind sauber eingetragen.
Wieso in der Meldung steht dies wäre nicht der Fall kann ich nicht nachvollziehen.

In der php.ini eingetragen ist :
date.timezone = Europe/Berlin

Ich denke , das dies eher die Ursache beinhaltet :

Could not get Let's Encrypt certificate for bach.org: Verification ended with error: {"identifier":{"type":"dns","value":"bach.org"},"status":"invalid","expires":"2018-05-17T17:55:02Z","challenges":[{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/bach.org\/.well-known\/acme-challenge\/dw4GoVW2ODRjzOhlFsWKeCAhBFp8SZeLFjF_YOOrstE: \"<!DOCTYPE html>\n<html lang=\"de-de\" dir=\"ltr\">\n<head>\n\t<meta charset=\"utf-8\" \/>\n\t<title>Fehler: 404 Kategorie nicht gefunden<\/tit\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/sOCNzTz-ub_3s0PlMPWpFMaGBf1zm5CrRMvkEUypKb4\/4584907174","token":"dw4GoVW2ODRjzOhlFsWKeCAhBFp8SZeLFjF_YOOrstE","keyAuthorization":"dw4GoVW2ODRjzOhlFsWKeCAhBFp8SZeLFjF_YOOrstE.gYWgpv_5-YFYEP-Dnpex7jBUo_cpFlScYhx5VCwuoCA","validationRecord":[{"url":"http:\/\/bach.org\/.well-known\/acme-challenge\/dw4GoVW2ODRjzOhlFsWKeCAhBFp8SZeLFjF_YOOrstE","hostname":"bach.org","port":"80","addressesResolved":["46.4.xxx.yyy"],"addressUsed":"46.4.xxx.yyy"}]},{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/sOCNzTz-ub_3s0PlMPWpFMaGBf1zm5CrRMvkEUypKb4\/4584907176","token":"tj1zDPx8ayE0i4pCEQgZIGguCgZzBZqcH2PVn980ZJ0"}],"combinations":[[1],[0]]}

Vielleicht noch eine Idee ?

 

Edited by Andreas Ruttkamp
Ergänzung

Share this post


Link to post
Share on other sites
  • 0

self-Check ist im cron, cron ist CLI, schau Mal in der PHP.ini von PHP/Cli... warum das mit anderer Domain geklappt hat kann ich nicht Mal raten, aber die Fehlermeldung ist doch eindeutig

Share this post


Link to post
Share on other sites
  • 0

Wieder was gelernt. ja, genau da fehlte der Eintrag. Nun fehlt in der Warnung diese Warnung...
Die andere bleibt

[Lets Encrypt self-check] Please check http://beispiel.info/.well-known/acme-challenge/wd0wrlT181Dc-7vYbrW0Hyp5BOynwDC0Xrpunrn4Z-s - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate;

Und an dem Fehler ändert das auch nix. 😞
 

 

Share this post


Link to post
Share on other sites
  • 0

Ich habes denke ich gefunden, aber ich weiss nicht warum es so ist :

der vhost der funktionierenden Domäne enthält :

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R=301;L,NE]
  </IfModule>
  <IfModule !mod_rewrite.c>
    Redirect 301 / https://natur-energie-heilpraxis.com/
  </IfModule>

Dies fehlt bei den Domänen , bei denen es fehlschlägt. Das passt auch zu der Fehlermeldung von LE.
Aber warum fehlt dies ? Müsste das nicht Froxlor selbst hinzufügen ?

Bei der funktionierenden Domäne fehlt allerdings auch etwas in der VHOST Config ...
Nämlich die VHOST einstellungen , die ich in den "Standard VHOST Einstellungen" vorgenommen habe.
<IfModule mod_fcgid.c>
IdleTimeout 3600
ProcessLifeTime 7200
DefaultMaxClassProcessCount 8
IPCConnectTimeout 300
IPCCommTimeout 7200
BusyTimeout 300
FcgidMaxRequestLen 52428800
</IfModule>

 

 

Share this post


Link to post
Share on other sites
  • 0

Naja, das "fehlt" da weil bei einem (SSL)redirect einfach nur ein redirect im vhost steht und alle anderen Anweisungen (wie dein mod_fcgid zeug) da schlichtweg sowieso nicht greifen würden und auch nicht nötig sind, denn dieser vhost leitet einfach nur weiter (außer es geht auf den ordner .well-known/.... aber da im zweifel einfach den self-check in den froxlor einstellungen mal deaktivieren und gucken obs dann geht, steht ja auch in der meldung)

Share this post


Link to post
Share on other sites
  • 0

Ich bin jetzt soweit , dass Froxlor selbst LE nutzt und auch autoamtisch auf SSL umleitet.
1 Domäne auf dem Server geht auch ( eine neu angelegte ! )
Alle bereits vorhandenen quittieren ein einschalten von LW mit dieser Fehlermeldung :

Could not get Let's Encrypt certificate for meineDomain.org: Verification ended with error: {"identifier":{"type":"dns","value":"meineDomain.org"},"status":"invalid","expires":"2018-05-20T13:25:01Z","challenges":[{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/meineDomain.org\/.well-known\/acme-challenge\/OV0wQhKCZc95ozV6-xDWwM6_NjlwU8bILOo6zsPBJ08: \"<!DOCTYPE html>\n<html lang=\"de-de\" dir=\"ltr\">\n<head>\n\t<meta charset=\"utf-8\" \/>\n\t<title>Fehler: 404 Kategorie nicht gefunden<\/tit\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/ujMvxtXsS9P0TNbN0uP5AMSGYzzGFyQUKdpFcJAcjjI\/4626100313","token":"OV0wQhKCZc95ozV6-xDWwM6_NjlwU8bILOo6zsPBJ08","keyAuthorization":"OV0wQhKCZc95ozV6-xDWwM6_NjlwU8bILOo6zsPBJ08.gYWgpv_5-YFYEP-Dnpex7jBUo_cpFlScYhx5VCwuoCA","validationRecord":[{"url":"http:\/\/meineDomain.org\/.well-known\/acme-challenge\/OV0wQhKCZc95ozV6-xDWwM6_NjlwU8bILOo6zsPBJ08","hostname":"meineDomain.org","port":"80","addressesResolved":["46.4.122.245"],"addressUsed":"46.4.122.245"}]},{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/ujMvxtXsS9P0TNbN0uP5AMSGYzzGFyQUKdpFcJAcjjI\/4626100314","token":"6Db1t1eK4ACJBX4rxoHu6r5YooQtynZAsh4cAVOsuqo"}],"combinations":[[0],[1]]}

Ich komme nicht drauf was ich falsch mache.

Share this post


Link to post
Share on other sites
  • 0

Wie so oft: kann der server vllt ipv6 und die domain hört da nicht drauf, bzw. ist nicht bei froxlor eingerichtet die ipv6 adresse?

Share this post


Link to post
Share on other sites
  • 0
22 minutes ago, d00p said:

Wie so oft: kann der server vllt ipv6 und die domain hört da nicht drauf, bzw. ist nicht bei froxlor eingerichtet die ipv6 adresse?

Nein. IP v6 ist nicht eingerichtet und auch nicht zugewiesen. ( gibt auch keinen DNS Eintrag dazu )

 

 

Share this post


Link to post
Share on other sites
  • 0

Sicher das der acme-alias funktioniert? -> Fehler: 404 Kategorie nicht gefunden [...] "status":403

(Der Fehler sieht mir auch sehr custom aus, "Kategorie nicht gefunden" ist jetzt nicht so üblich als 404 Fehler...

Share this post


Link to post
Share on other sites
  • 0

  Nee, ich denke ich sehe den Wald vor lauter Bäumen nicht mehr.

In der funktionierenden Domain gibt es in der VHOST Datei :

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R=301;L,NE]
  </IfModule>

Das fehlt in den nicht funktionierenden .... ( 35_froxlort_normal_vhost )

Ist das denn richtig ? Oder ist das der Fehler ?
Wenn Fehler, dann ist die Frage warum fehlt das ?
 

Share this post


Link to post
Share on other sites
  • 0

Dann mach doch den ssl-redirect erstmal aus bis du weisst das es klappt (ist zwar normal kein problem, aber wer weiss) - hast du denn mittlerweile mal den acme-alias verifiziert das der funktioniert?`Testdatei mit "hallo" drin einfach nach /var/www/froxlor/.well-known/acme-challenge/test ablegen und http://domain.tld/.well-known/acme-challenge/test aufrufen und schauen ob im browser "hallo" steht

Share this post


Link to post
Share on other sites
  • 0

oh man... ja ja ja .. Du hast (natürlich) recht.

Das ist es natürlich. Aber warum habe ich das nicht gemacht ? Tja, das ist einfach. Es ist mir einfach bei den Updates nicht aufgefallen das es nötig ist !
Wenn ich heute einen Server neu einrichte , dann wird es mir klar "vorgegeben" ... wenn ich aber schon länger installiert habe , dann ist das eben nicht so.

Problem ist nun gelöst.

Tut mir leid für die Umstände .

 

Share this post


Link to post
Share on other sites
  • 0

Ich bin nur immer froh wenns eine so einfache lösung ist :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now



×