Jump to content
Froxlor Forum
  • 0
rseffner

habe Probleme LE-Zertifikate zu beziehen

Question

Hallo,

mit Einführung des begrüßenswerten LE-Supports in FROXLOR schien hier jede dritte Meldung damit zusammenhängen. Eigentlich wollte ich auf den Zug nicht auch noch aufspringen (müssen). Nun komme aber auch ich seit einigen Tagen nicht weiter.

cron führt regelmäßig den froxlor_master_cronjob mit dem Parameter --tasks aus und meldet dabei neuerdings ca. 1x am Tag:

gzip: stdin: not in gzip format
tar: Child returned status 1
tar: Error is not recoverable: exiting now
/root/.acme.sh/acme.sh: Zeile 6310: gtar: Kommando nicht gefunden.
[Di 31. Mär 02:00:02 CEST 2020] Extraction error.
[Di 31. Mär 02:00:02 CEST 2020] Upgrade failed!

Schaut man sich die Zeile 6310 in der acme.sh an, wird klar, dass nicht das fehlende "gtar" das Problem ist, sondern offenbar ein korruptes Archiv, welches zuvor mittels "tar" versucht wird zu entpacken.

    if ! (tar xzf $localname || gtar xzf $localname); then

Auch ein manueller Aufruf des Task mit --force bleibt seit Tagen am Renew der gleichen Domains hängen.

ns2:~# /usr/bin/php7.3 -q /var/www/webs/its/FROXLOR_DOCROOT/scripts/froxlor_master_cronjob.php --tasks --force
[error] Could not get Let's Encrypt certificate for DOMAIN1.de:
[Di 31. Mär 12:46:08 CEST 2020] Renew: 'DOMAIN1.de'
[Di 31. Mär 12:46:08 CEST 2020] Skip, Next renewal time is: Di 26. Mai 08:20:23 UTC 2020
[Di 31. Mär 12:46:08 CEST 2020] Add '--force' to force to renew.
[error] Could not get Let's Encrypt certificate for DOMAIN2.de:
[Di 31. Mär 12:46:08 CEST 2020] Renew: 'DOMAIN2.de'
[Di 31. Mär 12:46:08 CEST 2020] Skip, Next renewal time is: Do 28. Mai 08:30:24 UTC 2020
[Di 31. Mär 12:46:08 CEST 2020] Add '--force' to force to renew.

Wie kann ich das Problem weiter zu seiner Ursache hin verfolgen? Welche Angaben sind für weitere Hilfe nötig? Am Start ist die 0.10.15 auf Debian Buster.

Danke fürs Lesen, Draufrumdenken und ggf. unterstützen.

  Ronny

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0

Tja, hm, das ist aktuell leider nur eine system-weite einstellung, ich könnte als fallback auf "nicht-ecc" gucken und abgleichen....aber es wird dann bei einem renew halt auch aus einem nicht-ecc zertifikat kein ecc-zertifikat, das gilt nur für neue

Share this post


Link to post
Share on other sites
  • 0

Für offenbar jede Domain kommt

PHP Warning:  Use of undefined constant LOG_WARN - assumed 'LOG_WARN' (this will throw an Error in a future version of PHP) in /var/www/webs/its/froxlor.DOMAIN.de/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php on line 461

Und bei einer der betroffenen Domains siehts so aus

PHP Warning:  Use of undefined constant LOG_WARN - assumed 'LOG_WARN' (this will throw an Error in a future version of PHP) in /var/www/webs/its/froxlor.DOMAIN.de/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php on line 461
[unknown] ECC certificates activated but found only non-ecc file
[information] Updated Let's Encrypt certificate for a.mein****.de

 

Share this post


Link to post
Share on other sites
  • 0

Auf dem 2. Server wo die Diskrepanz zwischen Expiration im Dateisystem und der DB war, ist jetzt "Einigkeit" ohne, dass sich an dem Zertifikat im Dateisystem etwas geändert hätte.

Du hast es also offenbar geschafft, dass sich FROXLOR an den Daten im Dateisystem bedient und damit die DB füttert.

Share this post


Link to post
Share on other sites
  • 0

Okay, also noch die LOG_WARN kacke weg und dann läuft's ;)

Share this post


Link to post
Share on other sites
  • 0
On 4/4/2020 at 5:26 PM, d00p said:

Okay, also noch die LOG_WARN kacke weg und dann läuft's ;)

merci - kann das hier bestätigen, nach einem --force sind die LE-Certs wieder gut.

Krieg ich eventuell einen Tipp, wie dsa LOG_WARN wegzubekommen wäre?

Danke!

Share this post


Link to post
Share on other sites
  • 0

Oh sorry, ja, hatte es schon im code commited; einfach nach "LOG_WARN" suchen und "LOG_WARNING" draus machen, da hat wohl die autovervollständigung versagt :)

Share this post


Link to post
Share on other sites
  • 0

Danke - noch eine Kleinigkeit: hätte jetzt auch das LE-Cert für den froxlor-VHost gelöscht - aber das wird anscheinend nicht wieder generiert?

Share this post


Link to post
Share on other sites
  • 0

Das wird eigentlich genauso behandelt wie die anderen auch, wie genau hast du was wo gelöscht?

Share this post


Link to post
Share on other sites
  • 0
Just now, d00p said:

Das wird eigentlich genauso behandelt wie die anderen auch, wie genau hast du was wo gelöscht?

Froxor -> Ressourcen -> SSL-Zertifikate -> dort das LE-Cert für den VHost gelöscht.

Share this post


Link to post
Share on other sites
  • 0

Okay, das löscht lediglich den Froxlor Datenbankeintrag, ich schau noch mal gerade in den code, kann sein dass er da vllt nicht abgleicht, da die domain keine "normale" domain ist wie die anderen

Share this post


Link to post
Share on other sites
  • 0

Folgende Datei kann zum Testen genutzt werden, ich habe jetzt bisher noch keinen Live-Test machen können

AcmeSh.php.txt

Share this post


Link to post
Share on other sites
  • 0

Ich muss mich hier leider wieder melden, weil ich noch die hier genannte AcmeSh.php einsetze.

Inzwischen häufen sich Meldungen wie:

[Do 30. Apr 15:34:31 CEST 2020] DOMAIN.TLD:Verify error:The key authorization file from the server did not match this challenge
[Do 30. Apr 15:34:32 CEST 2020] Please add '--debug' or '--log' to check more details.
[Do 30. Apr 15:34:32 CEST 2020] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

 

Share this post


Link to post
Share on other sites
  • 0

domain? ipv4/ipv6? Ist die Domain neu oder renew? Schon mal in froxlor und .acme.sh Ordner gelöscht und nochmal versucht? etc.etc.etc.

Share this post


Link to post
Share on other sites
  • 0

Die Domain war vor den ganzen hier diskutierten Anpassungen am FROXLOR dort bereits in Verwaltung und mit LE versehen. Es geht also um einen RENEW. Im konkreten Beispiel rein IPv4. Ich habe in FROXLOR schon LE deaktiviert, den Zertifikatsordner aus /root/.acme gelöscht, Configs neu geschrieben und LE wieder für die Domain aktiviert sowie Configs neu geschrieben. Das konnte dann kein CRT beziehen, hat nur .conf, .csr und .key angelegt.

Share this post


Link to post
Share on other sites
  • 0

Jemand hatte diesen Fehler schon in einem anderen Thread hier; das Internet sagt: entweder DNS falsch (oder eben anfragen auf ipv6 und kein ipv6 container, o.ä.) oder etwas stimmt mit dem lokalen (lets encrypt) account nicht, siehe 

 

Share this post


Link to post
Share on other sites
  • 0

Danke fürs unterstützen. Ich bin leider schon wieder darauf reingefallen, dass ein "Reseller" längst einen anderen A-record für www. eingetragen hat und vergas, das LE zu deaktivieren. Das mit 3 Domains und die Vierte, mit der ich die Gegenprobe machen wollte hatte längst den Provider gewechselt, ohne dass mir das der Kunde sagte. Ich freue mich riesig auf den Fix mit der DNS-Gegenprobe.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...