habe Probleme LE-Zertifikate zu beziehen

[rseffner]

Hallo,

mit Einführung des begrüßenswerten LE-Supports in FROXLOR schien hier jede dritte Meldung damit zusammenhängen. Eigentlich wollte ich auf den Zug nicht auch noch aufspringen (müssen). Nun komme aber auch ich seit einigen Tagen nicht weiter.

cron führt regelmäßig den froxlor_master_cronjob mit dem Parameter --tasks aus und meldet dabei neuerdings ca. 1x am Tag:

gzip: stdin: not in gzip format
tar: Child returned status 1
tar: Error is not recoverable: exiting now
/root/.acme.sh/acme.sh: Zeile 6310: gtar: Kommando nicht gefunden.
[Di 31. Mär 02:00:02 CEST 2020] Extraction error.
[Di 31. Mär 02:00:02 CEST 2020] Upgrade failed!

Schaut man sich die Zeile 6310 in der acme.sh an, wird klar, dass nicht das fehlende "gtar" das Problem ist, sondern offenbar ein korruptes Archiv, welches zuvor mittels "tar" versucht wird zu entpacken.

    if ! (tar xzf $localname || gtar xzf $localname); then

Auch ein manueller Aufruf des Task mit --force bleibt seit Tagen am Renew der gleichen Domains hängen.

ns2:~# /usr/bin/php7.3 -q /var/www/webs/its/FROXLOR_DOCROOT/scripts/froxlor_master_cronjob.php --tasks --force
[error] Could not get Let's Encrypt certificate for DOMAIN1.de:
[Di 31. Mär 12:46:08 CEST 2020] Renew: 'DOMAIN1.de'
[Di 31. Mär 12:46:08 CEST 2020] Skip, Next renewal time is: Di 26. Mai 08:20:23 UTC 2020
[Di 31. Mär 12:46:08 CEST 2020] Add '--force' to force to renew.
[error] Could not get Let's Encrypt certificate for DOMAIN2.de:
[Di 31. Mär 12:46:08 CEST 2020] Renew: 'DOMAIN2.de'
[Di 31. Mär 12:46:08 CEST 2020] Skip, Next renewal time is: Do 28. Mai 08:30:24 UTC 2020
[Di 31. Mär 12:46:08 CEST 2020] Add '--force' to force to renew.

Wie kann ich das Problem weiter zu seiner Ursache hin verfolgen? Welche Angaben sind für weitere Hilfe nötig? Am Start ist die 0.10.15 auf Debian Buster.

Danke fürs Lesen, Draufrumdenken und ggf. unterstützen.

  Ronny

[d00p]

Tja, hm, das ist aktuell leider nur eine system-weite einstellung, ich könnte als fallback auf "nicht-ecc" gucken und abgleichen....aber es wird dann bei einem renew halt auch aus einem nicht-ecc zertifikat kein ecc-zertifikat, das gilt nur für neue

[d00p]

Probier mal was hier ausgegeben wird:

AcmeSh.php.txt

[rseffner]

Für offenbar jede Domain kommt

PHP Warning:  Use of undefined constant LOG_WARN - assumed 'LOG_WARN' (this will throw an Error in a future version of PHP) in /var/www/webs/its/froxlor.DOMAIN.de/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php on line 461

Und bei einer der betroffenen Domains siehts so aus

PHP Warning:  Use of undefined constant LOG_WARN - assumed 'LOG_WARN' (this will throw an Error in a future version of PHP) in /var/www/webs/its/froxlor.DOMAIN.de/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php on line 461
[unknown] ECC certificates activated but found only non-ecc file
[information] Updated Let's Encrypt certificate for a.mein****.de

 

[rseffner]

Auf dem 2. Server wo die Diskrepanz zwischen Expiration im Dateisystem und der DB war, ist jetzt "Einigkeit" ohne, dass sich an dem Zertifikat im Dateisystem etwas geändert hätte.

Du hast es also offenbar geschafft, dass sich FROXLOR an den Daten im Dateisystem bedient und damit die DB füttert.

[d00p]

Okay, also noch die LOG_WARN kacke weg und dann läuft's

[hk@]

On 4/4/2020 at 5:26 PM, d00p said:

Okay, also noch die LOG_WARN kacke weg und dann läuft's

merci - kann das hier bestätigen, nach einem --force sind die LE-Certs wieder gut.

Krieg ich eventuell einen Tipp, wie dsa LOG_WARN wegzubekommen wäre?

Danke!

[d00p]

Oh sorry, ja, hatte es schon im code commited; einfach nach "LOG_WARN" suchen und "LOG_WARNING" draus machen, da hat wohl die autovervollständigung versagt

[hk@]

Danke - noch eine Kleinigkeit: hätte jetzt auch das LE-Cert für den froxlor-VHost gelöscht - aber das wird anscheinend nicht wieder generiert?

[d00p]

Das wird eigentlich genauso behandelt wie die anderen auch, wie genau hast du was wo gelöscht?

[hk@]

Just now, d00p said:

Das wird eigentlich genauso behandelt wie die anderen auch, wie genau hast du was wo gelöscht?

Froxor -> Ressourcen -> SSL-Zertifikate -> dort das LE-Cert für den VHost gelöscht.

[d00p]

Okay, das löscht lediglich den Froxlor Datenbankeintrag, ich schau noch mal gerade in den code, kann sein dass er da vllt nicht abgleicht, da die domain keine "normale" domain ist wie die anderen

[d00p]

Folgende Datei kann zum Testen genutzt werden, ich habe jetzt bisher noch keinen Live-Test machen können

AcmeSh.php.txt

[hk@]

17 minutes ago, d00p said:

Folgende Datei kann zum Testen genutzt werden, ich habe jetzt bisher noch keinen Live-Test machen können

AcmeSh.php.txt 18.38 kB · 0 downloads

jap - schaut gut aus
Danke!

[rseffner]

Ich muss mich hier leider wieder melden, weil ich noch die hier genannte AcmeSh.php einsetze.

Inzwischen häufen sich Meldungen wie:

[Do 30. Apr 15:34:31 CEST 2020] DOMAIN.TLD:Verify error:The key authorization file from the server did not match this challenge
[Do 30. Apr 15:34:32 CEST 2020] Please add '--debug' or '--log' to check more details.
[Do 30. Apr 15:34:32 CEST 2020] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

 

[d00p]

domain? ipv4/ipv6? Ist die Domain neu oder renew? Schon mal in froxlor und .acme.sh Ordner gelöscht und nochmal versucht? etc.etc.etc.

[rseffner]

Die Domain war vor den ganzen hier diskutierten Anpassungen am FROXLOR dort bereits in Verwaltung und mit LE versehen. Es geht also um einen RENEW. Im konkreten Beispiel rein IPv4. Ich habe in FROXLOR schon LE deaktiviert, den Zertifikatsordner aus /root/.acme gelöscht, Configs neu geschrieben und LE wieder für die Domain aktiviert sowie Configs neu geschrieben. Das konnte dann kein CRT beziehen, hat nur .conf, .csr und .key angelegt.

[d00p]

Jemand hatte diesen Fehler schon in einem anderen Thread hier; das Internet sagt: entweder DNS falsch (oder eben anfragen auf ipv6 und kein ipv6 container, o.ä.) oder etwas stimmt mit dem lokalen (lets encrypt) account nicht, siehe 

 

[rseffner]

Danke fürs unterstützen. Ich bin leider schon wieder darauf reingefallen, dass ein "Reseller" längst einen anderen A-record für www. eingetragen hat und vergas, das LE zu deaktivieren. Das mit 3 Domains und die Vierte, mit der ich die Gegenprobe machen wollte hatte längst den Provider gewechselt, ohne dass mir das der Kunde sagte. Ich freue mich riesig auf den Fix mit der DNS-Gegenprobe.