Jump to content
Froxlor Forum
  • 0

Let's Encrypt bei einer Domain nicht aktiv - stattdessen Zertifikat von IP


froxlorforum@pilsgenuss.de

Question

Hallo allerseits,

ich habe einen Froxlor-Server (aktuelle Version), der auf einer IP .71 ein Wildcard-Zertifikat für eine Domain *.irgendwas.de laufen hat. Auf dieser IP gibt es außer Domains, die eben auf *.irgendwas.de lauten auch noch Domains, die bspw. auf wasanderes.com lauten. Dafür habe ich jeweils Let's Encrypt Zertifikate aktiviert, was auch die letzte Zeit (Monate) soweit funktioniert hat und teilweise auch noch funktioniert.

Bei einer Domain allerdings, als Bsp. ichbinverschnupft.de sieht man in Froxlor, dass Let's Encrypt aktiviert ist, Froxlor zieht sich auch brav ein Zertifikat für die verschnupfte Domain, das wird aber nicht in der Apache-Conf eingetragen. Stattdessen steht dort das besagte Wildcard der IP-Nummer. Eine andere unverschnupfte Domain verwendet dagegen wie konfiguriert ihr Let's Encrypt Zertifikat.

Das Let's Encrypt sehe ich auch im Menüpunkt "SSL Zertifikate", es handelt sich dabei um eine Version mit mehreren Domains dahinter. Das ist für mein Gefühl die einzige Unterscheidung zu den übrigen unverschnupften Domains.

Gerade sehe ich in den Systemlogs immer wieder diesen Fehler:

Cronjob
17.02.20 17:31:05 error system Given SSL private key for verschnupft.de does not seem to match the certificate. Cannot create ssl-directives

Hmm, Schluckauf, vermute ich. Die Config wurde seit einigen Tagen nicht angepasst.

Ich deaktivere mal LE und aktiviere es dann nach dem Cron-Lauf neu ...

Viele Grüße,
Jens

 

 

Link to comment
Share on other sites

9 answers to this question

Recommended Posts

  • 0

Oder am besten mal manuell löschen, in froxlor via SSL-Zertifikate und auch via shell: /root/.acme.sh/acme.sh remove -d verschnupftedomain.tld und dann auch das verzeichnis löschen (/root/.acme.sh/verschnupftedomain.tld) - danach LE für die Domain wieder aktivieren und nochmal versuchen

Link to comment
Share on other sites

  • 0

Verflixt, habe im Debug-Modus des Cron-Jobs eine Fehlermeldung gefunden:

[Mo 17. Feb 17:58:04 CET 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-nonce'
[Mo 17. Feb 17:58:04 CET 2020] _CURL='curl -L --silent --dump-header /root/.acme.sh/http.header  -g  -I  '
[Mo 17. Feb 17:58:05 CET 2020] _ret='0'
[Mo 17. Feb 17:58:05 CET 2020] POST
[Mo 17. Feb 17:58:05 CET 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Mo 17. Feb 17:58:05 CET 2020] _CURL='curl -L --silent --dump-header /root/.acme.sh/http.header  -g '
[Mo 17. Feb 17:58:06 CET 2020] _ret='0'
[Mo 17. Feb 17:58:06 CET 2020] code='429'
[Mo 17. Feb 17:58:06 CET 2020] Le_LinkOrder
[Mo 17. Feb 17:58:06 CET 2020] Le_OrderFinalize
[Mo 17. Feb 17:58:06 CET 2020] Create new order error. Le_OrderFinalize not found. {
  "type": "urn:ietf:params:acme:error:rateLimited",
  "detail": "Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/",
  "status": 429
}
[Mo 17. Feb 17:58:06 CET 2020] pid
[Mo 17. Feb 17:58:06 CET 2020] No need to restore nginx, skip.
[Mo 17. Feb 17:58:06 CET 2020] _clearupdns
[Mo 17. Feb 17:58:06 CET 2020] dns_entries
[Mo 17. Feb 17:58:06 CET 2020] skip dns.
[Mo 17. Feb 17:58:06 CET 2020] _on_issue_err
[Mo 17. Feb 17:58:06 CET 2020] Please add '--debug' or '--log' to check more details.
[Mo 17. Feb 17:58:06 CET 2020] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
[Mo 17. Feb 17:58:06 CET 2020] Diagnosis versions:
openssl:openssl
OpenSSL 1.1.1d  10 Sep 2019
apache:
apache doesn't exists.
nginx:
nginx doesn't exists.
socat:
socat by Gerhard Rieger - see www.dest-unreach.org
Usage:
socat [options] <bi-address> <bi-address>
   options:
      -V     print version and feature information to stdout, and exit
      -h|-?  print a help text describing command line options and addresses
      -hh    like -h, plus a list of all common address option names
      -hhh   like -hh, plus a list of all available address option names
      -d     increase verbosity (use up to 4 times; 2 are recommended)

Tja, "too many failed ...". Jetzt sehe ich auch, dass das Zertifikat schon etwas älter ist - am 13.12.2019 zum letzten Mal erneuert wurde und nur noch bis zum 12.3. gültig ist. Komisch trotzdem.

OK, ich lösche wie von Dir beschrieben, warte etwas und probiere wieder (zwischenzeitlich schaue ich mir die Rate-Limits an - ich habe das Gefühl, dass ich so schnell an kein Zert. komme ... )

Danke,

Jens

 

Link to comment
Share on other sites

  • 0

Ach das geht schnell, wenn du jetzt let's encrypt bei der Domain deaktivierst das er nicht weiter in den Fehler rennt kannste das morgen easy wieder starten und es sollte gehen. Am besten machst du dann erstmal den cron-daemon aus und führst den cronjob Manuell mit --force --debug aus damit du weisst ob nicht doch noch was ist

Link to comment
Share on other sites

  • 0

Habe es hinbekommen: Eine der Alias-Domains ich-bin-auch-verschnupft.de hat vermutlich nicht mehr richtig aufgelöst (muss ich noch prüfen). Jedenfalls stand etwas derart in der LE-Verification. Domain als Alias entfernt, neu gestartet und glücklicherweise war ich bei meinen Versuchen unter der Max-Anzahl Versuche, die man pro Stunde machen darf.

Zertifikat erstellt für die verschnupft.de, die anderen Domains mit im Zert enthalten. Nur eben die eine Alias-Domain nicht. Schaue ich mir Morgen an, dann schreibe ich den Grund.

Muss für heute Schluss machen. Hab Männerschnupfen.

Nacht und Danke!

Jens

 

Link to comment
Share on other sites

  • 0

Ja, Du hast natürlich recht: Wenn die IPs eingetragen (sind sie), konfiguriert und auch durch die Firewall gelassen werden, sollte das alles funktionieren. Hat es leider nicht. 🙂

Ich habe die Domain nun auch auf die .71 umgestellt, sie hatte für sich ein Zertifikat gezogen. Das habe ich ihr nun "weggenommen" (war quatsch - habe es danach wieder gesetzt), sie wieder als Alias für die andere Domain konfiguriert. Dazwischen immer brav das Skript ablaufen lassen.

Wo ich mir nun nicht mehr sicher bin: Muss die Domain ein "eigenes" Häkchen bei "Let's Encrypt" haben (davon gehe ich aus) oder wird das dann über die Hauptdomain gesteuert, auf die die Aliases zeigen? Hat auf jeden Fall geklappt ... 😉

Ergebnis stimmt, funktioniert wieder. Die IP .74 sehe ich mir noch mal genau an mit einer Testdomain. Die anderen waren wichtiger.


Danke!

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


×
×
  • Create New...