Jump to content
Froxlor Forum
  • 0
Yahal

Bei alten Kundenkonten können weder neue Domains, noch Let's encrypt eingerichtet werden

Question

Hallo,

ich bin gerade dabei alte Kundenkonten in meiner Organisation zu überprüfen und habe jetzt mit Ärger festgestellt, dass es scheinbar bei Älteren Kundenkonto, erstellt vor 2017, es reihenweise nicht mehr möglich ist, die Domaineinstellungen zu ändern, noch Let's Encrypt zu aktivieren.

Das System läuft auf Debian 8.11 mit dem Froxlor Apache/2.4.10 (Debian), PHP 5.6.38-0+deb8u1, MySQL 5.5.62-0+deb8u1 , CGI-FCGI , 3.16.0-7-amd64 (x86_64) , 0.9.40.1 (DB: 201809280)

Beim Update wurden wieder keine Fehler angezeigt, daher weiß ich leider nicht wo nach ich genau suchen soll.

Des Weiteren sieht es so aus als wäre entweder bei einigen Domains, das Let's encrypt Zertifikat verloren gegangen, oder es wurde nie erfolgreich erstellt. In den Einstellungen der entsprechenden Domains, ist Let's encrypt angehakt, aber es ist kein SSL-Zertifikat vorhanden.

Da Froxlor jetzt scheinbar ACME v2 unterstützt, über diesen Weg, für alle vorhanden Domains ein Let's encrypt Zertifikat zu erzwingen?

 

FroxlorBug.JPG

Share this post


Link to post
Share on other sites

5 answers to this question

Recommended Posts

  • 0

Wenn du nix umgestellt hast, macht der auch weiterhin ACMEv1 (empfohlen).

Ich sehe da allerdings kein Icon bei der Domain das da ssl aktiviert ist ...zudem kannst du die beiden relevanten crons einfach Mal manuell mit debug flag nacheinander laufen lassen:

php /var/www/froxlor/scripts/froxlor_master_cronjob.php --force --debug

Und

php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug

Share this post


Link to post
Share on other sites
  • 0

zusatz: ich hab tlw kunden von 2005....alles kein problem bisher

Share this post


Link to post
Share on other sites
  • 0

Danke, dass du dich so schnell meldest, allerdings hat das jetzt nicht wirklich geholfen.

allerdings bekomm ich bei der Ausführung

php /var/www/froxlor/scripts/froxlor_master_cronjob.php --force --debug

bei dem Kundenkonto, wo ich das JPG von gemacht habe, folgende Fehlermeldung:

[information] apache::createVirtualHosts: creating vhost container for domain XX, customer <Kundenaccount>
[error] Example.com : empty certificate file! Cannot create ssl-directives

Das Problem ist halt, dass das Kundenkonto 2015 eingerichtet wurde und ich kann über das Dashboard, weder die Domain ändern, eine Alias hinzufügen noch die Einstellungen für die Domain aufrufen.

Keine Ahnung, wo der Fehler zu suchen ist, dass das Dashboard so aussieht, wie es aussieht.

Bis dato ist auch für diese Domain und für die anderen Betroffenen Kundenkoten,  wie es aussieht, nie ein SSL-CA eingestellt worden. Und jetzt kann ich es nicht einmal korrigieren.

Ich habe es jetzt mal über mysql die Variablen "letsencrypt" und "ssl_redirect" auf 1 gesetzt, allerdings bisher sehe ich auch keine Änderungen.

Es ist nicht möglich jetzt dank "ACME v2" ein Globales Zertifikat für alle gehosteten Domains zu erstellen, oder?

 

Share this post


Link to post
Share on other sites
  • 0

Hab das Problem gefunde, die Domains, sind nicht editier bar. Diese Einstellung kann man als Administrator über die Domain übersicht setzen, genauso wie alles andere auch.

Share this post


Link to post
Share on other sites
  • 0
10 minutes ago, Yahal said:

Danke, dass du dich so schnell meldest, allerdings hat das jetzt nicht wirklich geholfen.

Ohne info kann ich auch nicht helfen...vllt frag ich das nächste mal einfach eine Zauberkugel wo das Problem liegt?

11 minutes ago, Yahal said:

Das Problem ist halt, dass das Kundenkonto 2015 eingerichtet wurde und ich kann über das Dashboard, weder die Domain ändern, eine Alias hinzufügen noch die Einstellungen für die Domain aufrufen.

Was hat das damit zu tun das der Kunde 2015 eingerichtet wurde? Als Admin solltest du diese Dinge problemlos anpassen können.

Und k.A. was jetzt das Dashboard damit zu tun haben soll...dein Screenshot ist jedenfalls nicht das Dashboard, das ist die Domain-Übersicht.

12 minutes ago, Yahal said:

Bis dato ist auch für diese Domain und für die anderen Betroffenen Kundenkoten,  wie es aussieht, nie ein SSL-CA eingestellt worden. Und jetzt kann ich es nicht einmal korrigieren.

Versteh ich nicht...was kannst du da nicht korrigieren? Du kannst doch wohl als admin die Domain bearbeiten...

13 minutes ago, Yahal said:

Ich habe es jetzt mal über mysql die Variablen "letsencrypt" und "ssl_redirect" auf 1 gesetzt, allerdings bisher sehe ich auch keine Änderungen.

ahja, manuell in der DB rumspielen geht also...hast du sicher vorher noch NIE gemacht so dass ich jetzt nicht ausschließen kann, das da von dir was kaputtgespielt wurde...

14 minutes ago, Yahal said:

Es ist nicht möglich jetzt dank "ACME v2" ein Globales Zertifikat für alle gehosteten Domains zu erstellen, oder?

Was auch immer das mit ACMEv2 zu tun haben soll ob froxlor das kann oder nicht....und nein, ein "globales Zertifikat" für alle Domains (was kompletter unsinn ist, denn die SAN Liste steht ja im Zertifikat und somit sehen alle Kunden und deren Website Besucher, welche Domains du alle hostest...willst du nicht, wollen deine Kunden nicht, garantier ich dir) kann froxlor nicht ausstellen, weder mit ACMEv2 noch mit ACMEv1.

Ohne zu wissen was du da jetzt vorhast, was du versucht hast einzustellen oder auch nicht und als welcher user kann ich schlichtweg nur weiter raten wo dein problem liegen könnte. Hilfreich wäre an dieser stelle auch der Output des von mir genannten crons --letsencrypt

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By megoo
      Hallo, ich habe in Problem mit dem Einrichten von SSL via  Let's Encrypt. Ich nutze
      froxlor 0.9.39.5-1
      Apache/2.2.22 (Debian)
      Ich möchte für alle Domains SSL mittels Let's Encrypt aktivieren. 
      domain1 dafür entsprechend konfigiert. Funktioniert alles.
      domain2 genauso wie Domain1 konfiguriert (gleiche IP:443, Benutze Let's Encrypt an, ServerAlias-Angabe für Domain: www), der Zugriff via https gibt allerdings den Fehler aus: SSL_ERROR_BAD_CERT_DOMAIN
      Der Browser sagt, das Zertifikat gilt nur für folgende Namen: domain1
      domain2 nutzt also das falsche Zertifikate. 
      Die Debug Ausgabe des froxlor master cronjob sagt:
      [Thu Jul 12 13:28:05 2018] [warn] VirtualHost meineip:443 overlaps with VirtualHost meineip:443, the first has precedence, perhaps you need a NameVirtualHost directive
      Ich hab mir die erzeugten conf Dateien in /etc/apache2/sites-enabled angesehen, dort ist keine NameVirtualHost Anweisung erhalten. Diese eingefügt, Apache neu gestartet, funktioniert alles. Nun überschreibt froxlor diese Einstellung wieder, folglich, wieder das oben beschriebene Problem.
      Wie/wo kann ich das in Froxlor einstellen, global? Oder muss ich für jede Domain eine "Eigene vHost-Einstellungen" festlegen?
      Auf einem anderen Server mit Apache 2.4 und der gleichen Vorgehensweise hat alles problemlos mit einer IP und über 10 Domains funktioniert. Und dort steht keine NameVirtualHost directive in den conf Dateien.
    • By Keon
      Hallo alle miteinander,
       
      ich bin derweil dabei mir Froxlor auf einem CentOS7 System zum laufen zu bringen. Hier mal kurz ein kleiner Überblick wie ich aktuell stehe:
      SSH Port ändern, sudo User, NTP, EPEL Release, FirewallD für http, https, ssh mit neuem Port frei, fail2ban für SSH Apache, MariaDB, PHPMyAdmin, mod_ssl inkl. config und self signed cert, Froxlor Grundinstallation, Webserver und SSL Einstellungen Admin Menü, (Pfade, reload Script etc.) IP/Port 443 hinzugefügt, Konfiguration -> CentOS -> sonstiges -> cronjob for froxlor Ebenso habe ich - auch wenn unter "Konfiguration" für "CentOS" nicht vorhanden, die acme.conf angelegt  
      Kommen wir zur Frage:
      Wie bekomme ich hin, dass ich folgende Einstellung setzen kann:
       
      Habe ich noch etwas vergessen? Etwas grundlegendes? Bin normalerweise seit Debian Etch bis Jessie gewöhnt - sammle grad die ersten Erfahrungen mit Froxlor & CentOS nach 2 Jahren Pause aus der Informatik.
       
      Beste Grüße
    • By LukasH
      [Dieses Problem hat sich gelöst, ich hab mich doch tatsächlich verlesen, im Einsatz ist nur die .de, die .com ist nur eine Weiterleitung, klar funktioniert die nicht]
       
      ______________________________________________________________________________
       
      Dann habe ich noch ein weiteres Problem und zwar habe ich eine neue Subdomain angelegt, beim versuch ein SSL Zertifikat zu ziehen kommen nun nur die folgenden Fehlermeldungen:
      [Lets Encrypt self-check] Please check http://www.mail.hoerth.eu/.well-known/acme-challenge/_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate Could not get Let's Encrypt certificate for mail.hoerth.eu: Verification ended with error: {"identifier":{"type":"dns","value":"www.mail.hoerth.eu"},"status":"invalid","expires":"2018-06-15T12:01:38Z","challenges":[{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/SXa_3IeDJd19Xg3oVtLd0iaj3H2lKBN_fzM1cZPtguc\/5014287643","token":"mOYe0nDwOyTxrfZc83fmpBVeL1vZesbZrV-t_nkRdZ0"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:dns","detail":"DNS problem: NXDOMAIN looking up A for www.mail.hoerth.eu","status":400},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/SXa_3IeDJd19Xg3oVtLd0iaj3H2lKBN_fzM1cZPtguc\/5014287644","token":"_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI","keyAuthorization":"_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI.JriXbK73HFGeqTSIPL3Qg0VCDy2Qt0n4wrUZon9dCEM","validationRecord":[{"url":"http:\/\/www.mail.hoerth.eu\/.well-known\/acme-challenge\/_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI","hostname":"www.mail.hoerth.eu","port":"80"}]}],"combinations":[[0],[1]]} Ich habe dann mal nachgesehen und der Token existiert defintiv nicht - klar findet ihn Lets Encrypt also nicht, was ist denn gerade bei mir Los?
    • By H0di
      Webserver:    Apache/2.4.25 (Debian)
      PHP-Version:    7.1.13-1+0~20180105151623.14+stretch~1.gbp1086fa
      MySQL-Server-Version:    5.5.5-10.1.26-MariaDB-0+deb9u1
      Kernel:    4.9.0-5-amd64 (x86_64)
      Installierte Version:    0.9.39.5 (DB: 201802130)
       
      Der Webserver auf dem Froxlor läuft hat folgende Domain: server01.foobar.de
      Wenn ich in Froxlor unter Domains neue Subdomains der Hauptdomain á la kunde01.server01.foobar.de anlege und diese mit einem LE Zertifikat versehe klappt alles wunderbar. Die Subdomain ist erreichbar und nutzt auch das LE Zertifikat, also alles supi. Hier mal ein Log davon:
      [information] Updating Let's Encrypt certificates [information] Updating bgi.server01.foobar.de [information] Adding SAN entry: bgi.server01.foobar.de [information] Adding SAN entry: www.server01.foobar.de [information] letsencrypt Using 'https://acme-v01.api.letsencrypt.org' to generate certificate [information] letsencrypt Using existing account key [information] letsencrypt Starting certificate generation process for domains [information] letsencrypt Requesting challenge for bgi.server01.foobar.de [information] letsencrypt Sending signed request to /acme/new-authz [information] letsencrypt Got challenge token for bgi.server01.foobar.de [information] letsencrypt Token for bgi.server01.foobar.de saved at /var/www/html/admin/.well-known/acme-challenge/qJXI1m71z6zNbBI8Kw6aAIQ0KSUdHOdslRdJkNAKK08 and should be available at http://bgi.server01.foobar.de/.well-known/acme-challenge/qJXI1m71z6zNbBI8Kw6aAIQ0KSUdHOdslRdJkNAKK08 [information] letsencrypt Sending request to challenge [information] letsencrypt Sending signed request to https://acme-v01.api.letsencrypt.org/acme/challenge/3T81eUeRxEGz8WhVa2475kI-yhLXYtzKLgeoV5ljHIk/4443522996 [information] letsencrypt Verification ended with status: valid [information] letsencrypt Requesting challenge for www.bgi.server01.foobar.de [information] letsencrypt Sending signed request to /acme/new-authz [information] letsencrypt Got challenge token for www.bgi.server01.foobar.de [information] letsencrypt Token for www.bgi.server01.foobar.de saved at /var/www/html/admin/.well-known/acme-challenge/jjhl_yq1vkExcDlpfwRoNZwPAttsxG9nfoADZFyXCxk and should be available at http://www.server01.foobar.de/.well-known/acme-challenge/jjhl_yq1vkExcDlpfwRoNZwPAttsxG9nfoADZFyXCxk [information] letsencrypt Sending request to challenge [information] letsencrypt Sending signed request to https://acme-v01.api.letsencrypt.org/acme/challenge/4QwDCB0eOO0Bds93Uy6jMxllj4_KYbQ0A9QekMWJQD4/4443523233 [information] letsencrypt Verification ended with status: valid [information] letsencrypt Sending signed request to /acme/new-cert [information] letsencrypt Got certificate! YAY! [information] letsencrypt Requesting chained cert at https://acme-v01.api.letsencrypt.org/acme/issuer-cert [information] letsencrypt Done, returning new certificates and key [information] Updated Let's Encrypt certificate for bgi.server01.foobar.de [information] Let's Encrypt certificates have been updated [notice] Checking system's last guid Jetzt versuche ich allerdings vergeblich eine "fremde" domain (z.B. "foobar.com") mit einem LE Zertifikat zu versehen, welches mir nicht gelingen will.
      Das anlegen und Routing der "fremden" Domain klappt wunderbar, wenn ich auf "foobar.com" gehe lande ich auf dem Verzeichnis des Kunden (auf dem oben genannten Webserver), also also so wie es sein soll.
      Sobald ich aber SSL über LE aktiviere kommt das:
      sudo php /var/www/html/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug [information] Updating Let's Encrypt certificates [information] Updating foobar.com [information] Adding SAN entry: foobar.com [information] Adding SAN entry: www.foobar.com [information] letsencrypt Using 'https://acme-v01.api.letsencrypt.org' to generate certificate [information] letsencrypt Using existing account key [information] letsencrypt Starting certificate generation process for domains [information] letsencrypt Requesting challenge for foobar.com [information] letsencrypt Sending signed request to /acme/new-authz [information] letsencrypt Got challenge token for foobar.com [information] letsencrypt Token for foobar.com saved at /var/www/html/admin/.well-known/acme-challenge/X3_E2yMxYlK5YMxB8oOIVi77HIHyHNeH07TAoWJGwQg and should be available at http://foobar.com/.well-known/acme-challenge/X3_E2yMxYlK5YMxB8oOIVi77HIHyHNeH07TAoWJGwQg [information] letsencrypt Sending request to challenge [information] letsencrypt Sending signed request to https://acme-v01.api.letsencrypt.org/acme/challenge/rhkE-c3pd34xE7gS91gHvnMbaFehG87wZRmPwPKYhXM/4471937125 [information] letsencrypt Verification pending, sleeping 1s [error] Could not get Let's Encrypt certificate for foobar.com: Verification ended with error: {"identifier":{"type":"dns","value":"foobar.com"},"status":"invalid","expires":"2018-05-09T16:18:45Z","challenges":[{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/rhkE-c3pd34xE7gS91gHvnMbaFehG87wZRmPwPKYhXM\/4471937124","token":"AJ31D_2MN66MMI-Dam7rneBoAVVmc7xBjXUydY6stXA"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/foobar.com\/.well-known\/acme-challenge\/X3_E2yMxYlK5YMxB8oOIVi77HIHyHNeH07TAoWJGwQg: \"<!DOCTYPE html PUBLIC \"-\/\/W3C\/\/DTD XHTML 1.0 Frameset\/\/EN\" \"http:\/\/www.w3.org\/TR\/xhtml1\/DTD\/xhtml1-frameset.dtd\">\n\n<html>\n<head>\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/rhkE-c3pd34xE7gS91gHvnMbaFehG87wZRmPwPKYhXM\/4471937125","token":"X3_E2yMxYlK5YMxB8oOIVi77HIHyHNeH07TAoWJGwQg","keyAuthorization":"X3_E2yMxYlK5YMxB8oOIVi77HIHyHNeH07TAoWJGwQg.N6g2YmnoPmmrzkZwk66oq--kiBaKuIiGrRHDyluSZrE","validationRecord":[{"url":"http:\/\/foobar.com\/.well-known\/acme-challenge\/X3_E2yMxYlK5YMxB8oOIVi77HIHyHNeH07TAoWJGwQg","hostname":"foobar.com","port":"80","addressesResolved":["84.200.25.15","2001:8d8:100f:f000::208"],"addressUsed":"2001:8d8:100f:f000::208"}]}],"combinations":[[1],[0]]} [information] Let's Encrypt certificates have been updated [notice] Checking system's last guid Also der zentrale Fehler ist meiner Meinung nach: urn:acme:error:unauthorized
      Probiert habe ich bereits das erstellen einer Datei unter:
      /var/www/html/froxlor/.well-known/acme-challenge/test 
      mit dem Inhalt "BUBU"
      welche unter der domain foobar.com dann auch erreichbar wird, siehe:
      curl -ikL http://foobar.com/.well-known/acme-challenge/test HTTP/1.1 200 OK Date: Wed, 02 May 2018 16:55:48 GMT Server: Apache/2.4.25 (Debian) Last-Modified: Wed, 02 May 2018 16:54:29 GMT ETag: "5-56b3bf0b66e3f" Accept-Ranges: bytes Content-Length: 5 BUBU Jetzt bin ich mit meinem Latein aber am Ende, hat jemand eine Idee?
      Danke!
    • By FearTheDude
      Hey liebe Leute,
      bin nagelneu hier, benutze Froxlor aber schon etwas länger. Nachdem ich heute Golem kurz durchgeblättert habe, ist mir ein Artikel ins Auge gesprungen, den vermutlich auch Froxlor, deren Maintainer und natürlich am meisten die Nutzer dieser Software erfreuen sollte.
      Kurze Rede, langer Sinn: Ab 27. Februar 2018 möchte Let's Encrypt mit der produktiven Vergabe von Wildcard Zertifikaten beginnen.
      Eine Test-Api wird wohl ab dem 4. Januar 2018 verfügbar sein.
      Quelle: https://www.golem.de/news/https-let-s-encrypt-bringt-wildcard-zertifikate-1712-131621.html


×