Mit https/SSL zum Froxlor-Panel

[rObbi]

Hallo zusammen,

bin im Forum hier neu angemeldet, nachdem ich schon ein paar Wochen lang immer wieder mal mitlese und manche Zusammenhänge dadurch besser verstehe. Vielen Dank an euch - vor allem an d00p!
In Bezug auf Serveradministration würde ich mich am ehesten als "fortgeschrittenen Anfänger" bezeichnen und wäre daher froh, wenn Antworten auf mein(e) Frage(n) verständlich genug wären. ;)
Ich besitze zwei Server:
Server 1 ist der Produktivserver, auf dem auch zwei Vereine und einige Bekannte als Froxlor-User angelegt sind. (Er wurde schon vor Jahren von Mitarbeitern meines Hosters aufgesetzt.)
Server 2 ist mein Herumprobierserver, bei dem es ziemlich egal ist, wenn mal etwas schief läuft und er ausfällt bzw. aufgrund meiner Spielereien ein Backup eingespielt werden muss.

Jetzt stehe ich vor einem Rätsel:
Beim Server 2 klappt es völlig problemlos, via Subdomain https://froxlor.[domain].de auf das Froxlor-Administrationspanel zu kommen.
Beim (wichtigeren) Server 1 gelingt mir das nicht. Da erhalte ich die Fehlermeldung:

Whoops!
The configuration file lib/userdata.inc.php cannot be read from the webserver.
This mostly happens due to wrong ownership.
Try the following command to correct the ownership:
chown -R c11:c11 /var/www/froxlor

(c11 ist ein Froxlor-User/consumer und kein(!) "normaler" User unter Debian 9. Und als "admin" kann man in Froxlor keine Domain "besitzen", die muss immer einem User/consumer zugeordnet werden.)

Wenn ich mit chown den Ordnerbesitzer auf c11:c11 ändere, dann klappt der Zugang kurzzeitig, aber (vermutlich durch einen Froxlor-Cronjob) ist nach ein paar Minuten der Besitzer wieder froxlorlocal:froxlorlocal und oben geschriebene Fehlermeldung ist wieder da. :(

Beim Server 2 ist der Besitzer www-data:www-data und da gibt es kein Problem bzw. keine Fehlermeldung.
Warum das so ist? Keine Ahnung!

Bei den Debian-Usern existieren auf Server 1 sowohl froxlorlocal als auch www-data, beide sind auch jeweils in der Gruppe des anderen eingetragen.
Aber auch mein Versuch, die Ordnerrechte von froxlor und froxlor/lib von 755 auf 775 zu ändern, brachte nichts, die Fehlermeldung bleibt.

Was mache/denke ich (zur Erinnerung: fortgeschrittener Anfänger ;) ) falsch?
Wo müsste ich bei Server 1 richtig ansetzen?

----

Vielleicht noch eine Erläuterung, warum ich den Zugang über eine Subdomain mit https haben möchte::
Wenn ich die Server-URL [servername].[hostername].de aufrufe, dann wird nur ein selbstsigniertes Zertifikat verwendet, das zugehörige Letsencrypt-Zertifikat (in Froxlor angezeigt) wird offenbar ignoriert.
Das ist für meine "Kunden" natürlich nervig, wenn sie beim Aufruf des Froxlorpanels im Browser nach der Warnung eine Ausnahme für ein Zertifikat festlegen müssen und dann "Verbindung ist unsicher" angezeigt wird.

[rObbi]

vor 9 Minuten schrieb d00p:

Die zweite Domain die du geschickt hast mit 999 die gehört wohl einem Kunden (ich tippe auf c11)egen den Berechtigungen rum.

Du hast da doch mehr manuell rumgespielt als du zugibst

Ja, ein wenig.

Und ja, die Domain muss ja einem Kunden (c11) gehören, weil der Admin ja offenbar keine eigenen Domains haben kann.

[d00p]

Ahja...naja, was soll ich dir dazu nun sagen? Ich weiss einfach nicht was du da genau getrieben hast - wie soll ich dir helfen? Bei einem ganz normalen standard setup gibt es diese Probleme nicht - also hast du irgendwas eigenes gemacht was ich so nicht nachvollziehen und dir da ohne ausreichend info auch nicht helfen kann.

Der von froxlor generierte Vhost sieht korrekt aus - wenn in den Einstellungen Let's Encrypt aktiviert wurde für den Froxlor-Vhost, dein webserver entsprechend der konfigurations-templates (speziell acme.conf) eingerichtet wurde und der letsencrypt cronjob lief - dann sollte dein froxlor auch nicht über das selbst-signierte Zertifikat erreichbar sein

Just now, rObbi said:

Ja, ein wenig.

ja dann SAG doch bitte einfach mal was du da gemacht hast....hier kann keiner hellsehen....

Just now, rObbi said:

Und ja, die Domain muss ja einem Kunden (c11) gehören, weil der Admin ja offenbar keine eigenen Domains haben kann.

Ein admin braucht auch keine domains....es gibt für froxlor den froxlor/system hostname ....Ende....wozu willst du da noch eine domain?

[rObbi]

Das Problem ist, dass ich selber wirklich nur wenig gemacht habe und die Froxlorinstallation auf dem Server 1 damals von meiner Hostingfirma eingerichtet wurde. Ich hab jahrelang nur als normaler "Reseller" und User damit gearbeitet.

Aber seit ich meinen Herumprobierserver 2 habe, traue ich mir auch ein wenig mehr zu.

Allerdings habe ich an den Configs von Server 1 nie etwas verändert. Lediglich die SSL-Umstellungen habe ich nun aktuell (endlich) gemacht.

[rObbi]

Was ich mich frage:

Wozu dient eigentlich das von Froxlor angelegte Letsencrypt-Zertifikat für [Servername].[Hostername].de?

[d00p]

Na wofür ist das wohl da....?!

[rObbi]

Ja, ich könnte mir schon denken, wofür.

Aber bei mir scheint es ja ungenutzt zu bleiben bzw. das servereigene Zertifikat wird bevorzugt ...

Oder sehe ich da was falsch?

[d00p]

Dann schau dir Mal deine vhosts an, was es da so gibt, was drin steht, auf welche Zertifikate die zeigen und wie deren Inhalt ist. Stelle sicher das der cronjob von froxlor lief.

[rObbi]

Beispiel:

# 35_froxlor_ssl_vhost_[domain].de.conf
# Created 18.03.2019 15:00
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.

# Domain ID: 28 (SSL) - CustomerID: 1 - CustomerLogin: c11
<VirtualHost 89.200.xxx.xx:443>
  ServerName [domain].de
  ServerAlias www.[domain].de
  ServerAdmin [name]@[anderedomain].de
  SSLEngine On
  SSLProtocol -ALL +TLSv1 +TLSv1.2
  SSLCompression Off
  SSLHonorCipherOrder On
  SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256**************[alles Mögliche ...]********************+S:!RC4:!MD5:!PSK
  SSLVerifyDepth 10
  SSLCertificateFile /etc/ssl/froxlor-custom/[domain].de.crt
  SSLCertificateKeyFile /etc/ssl/froxlor-custom/[domain].de.key
  SSLCACertificateFile /etc/ssl/froxlor-custom/[domain].de_CA.pem
  SSLCertificateChainFile /etc/ssl/froxlor-custom/[domain].de_chain.pem
  <IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=0"
  </IfModule>
  DocumentRoot "/var/customers/webs/c11/[domain].de/htdocs/"
  FcgidIdleTimeout 30
  SuexecUserGroup "c11" "c11"
  <Directory "/var/customers/webs/c11/[domain].de/htdocs/">
    <FilesMatch "\.(php)$">
      SetHandler fcgid-script
      FcgidWrapper /var/www/php-fcgi-scripts/c11/[domain].de/php-fcgi-starter .php
      Options +ExecCGI
    </FilesMatch>
    Require all granted
    AllowOverride All
  </Directory>
  Alias /webalizer "/var/customers/webs/c11/webalizer/[domain].de"
  ErrorLog "/var/customers/logs/c11-[domain].de-error.log"
  CustomLog "/var/customers/logs/c11-[domain].de-access.log" combined
</VirtualHost>

----------------EOF-----------------------

Kann man da etwas (problemrelevantes) herauslesen?

[d00p]

Hä? was hat denn jetzt ein Kunden-Vhost damit zu tun? oder hast du etwa froxlor nach /var/customers/webs/c11/[domain].de/htdocs/ installiert?

[rObbi]

Für den Server-Vhost hatte ich es ja schon mal gepostet. Dachte, du wolltest noch einen anderen sehen. Sorry.

Im Server-Vhost steht ja das serverselbstzertifizierte Zertifikat drin und kein Letsencrypt-Zertifikat.

[d00p]

Log dich jetzt als admin ein, klicke oben links auf "SSL Zertifikate", schau ob es dort ein Let's Encrypt Zertifikat für den Froxlor-Hostnamen gibt. Wenn ja, lösche ihn.

Dann führst du folgendes als ROOT user auf der shell des servers aus und postest bitte die ausgabe hier:

php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug
#
# danach
#
php /var/www/froxlor/scripts/froxlor_master_cronjob.php --force --debug

 

[rObbi]

Mist, jetzt läuft gerade ein länger dauerndes (Test-)Skript im Terminal ...

Muss ich jetzt leider erst abwarten.

[d00p]

du weisst schon das du einfach noch eine ssh session aufmachen kannst?

[rObbi]

Jetzt schon.

Du hast PN.

 

[d00p]

Ja, zertifikat erstellt - alles prima. Aber irgendwas anderes musst du da noch gemacht haben - kann ich ohne auf dem Server zu schauen einfach nicht sagen - denn er will immernoch das Zertifikat von der Domain des Kunden c11 ....irgendwas merkwürdiges hast du da rumgespielt und wenn du es selbst nicht weisst, kann ich halt schlichtweg nicht helfen

[rObbi]

Schade.

Aber vielen, vielen Dank für deine Mühe!