Jump to content
Froxlor Forum
  • 0
Anachon

LE Zertifikate werden nicht erneuert

Question

Hallo,

ich habe das Problem, dass LE seit einem der letzten Updates die Zertifikate nicht mehr erneuert. Erst wenn ich die betroffenen Zertifikate lösche, werden diese erneuert.

ich meine es gab hier mal eine Änderung.

An was kann es liegen ?

 

Grüße

Share this post


Link to post
Share on other sites

17 answers to this question

Recommended Posts

  • 0

Forensuche benutzen, logs bereitstellen, Einstellungen prüfen, etc.etc.etc. gab's nun echt schon zig Mal hier im Forum

Share this post


Link to post
Share on other sites
  • 0

Forensuche benutzen -> done

logs bereitstellen -> kein Fehler in den Logs 

Einstellungen prüfen -> done

:-)

Das Problem, was ich habe konnte ich das erste mal im Mai beobachten.

der acme.sh Job ist eingerichtet und wirft bei manueller Ausführung keine Fehler, macht, was er soll.

Nichtsdestotrotz werden nach Ablauf der Zertifikatdauer in Froxlor bei den SSL-Zertifikaten diese rot markiert und werden erst erneuert, wenn ich die in der GUI lösche.

Hast Du dazu einen Tipp?

Share this post


Link to post
Share on other sites
  • 0

Prüfe die Zertifikate in /root/.acme.sh/[domain] - sind die renewed worden? Nutzt du denn auch die aktuellste froxlor version 0.10.19?

Share this post


Link to post
Share on other sites
  • 0

Ja. In den Ordnern wurden die erneuert. Froxlor zeigt aber Datum/Uhrzeit des Ordners an.

Ich nutze die neuste.

Share this post


Link to post
Share on other sites
  • 0
Just now, Anachon said:

Froxlor zeigt aber Datum/Uhrzeit des Ordners an.

??? Verstehe nicht was du mir damit sagen willst und wo er da was anzeigen sollte? Bitte erläutern.

Wie lautet denn die ausgabe von 

php /var/www/froxlor/scripts/froxlor_master_cronjob.php --force --debug

 

Share this post


Link to post
Share on other sites
  • 0

Moin,

Ich hatte das selbe Problem. Aus Zeitgründen hab ich die Zertifikate gelöscht und einmal den cronjob gestartet.

Froxlor hat auch erkannt, dass die Zertifikate abgelaufen sind, hat diese aber nicht erneuert. Eine Fehlermeldung gab es nicht auch nicht beim force debug.

Gruß 

Mats Hensel

Share this post


Link to post
Share on other sites
  • 0

Ich hatte auch beim 

php /var/www/froxlor/scripts/froxlor_master_cronjob.php --force --debug

keinen Fehler gerade.

Es ist auch so, wie Mats geschrieben hat. 

Führe ich händisch das acme.sh aus, erneuert er die, Froxlor erkennt aber nicht, dass die erneuert wurden. Erst wenn ich den master cronjob wie oben ausführe, erkennt er die. 

Das hatte ich jetzt zum 3. Mal, jetzt stehen erstmal keine mehr zur Erneuterung an.  Aber ich bin ziemlich sicher, dass es wieder auftreten wird.

 

Share this post


Link to post
Share on other sites
  • 0
2 hours ago, Anachon said:

Ich hatte auch beim 


php /var/www/froxlor/scripts/froxlor_master_cronjob.php --force --debug

keinen Fehler gerade.

Das interepretierst du vllt so, daher frage ich nach der ausgabe....

2 hours ago, Anachon said:

ühre ich händisch das acme.sh aus, erneuert er die

Das sollte der acme.sh eigene cronjob erledigen. Prüfe mit "crontab -e" ob es da einen eintrag für acme.sh gibt, damit hat froxlor in dem sinne nichts mehr zu tun

2 hours ago, Anachon said:

Erst wenn ich den master cronjob wie oben ausführe, erkennt er die. 

ja und aktualisiert er sie dann aiuch in der eigenen datenbank und verwendet sie für die domains?

Share this post


Link to post
Share on other sites
  • 0

ich hab mal grad nachgeschaut, ich glaube fast das du recht hast und er änderungen nicht mitbekommt, wenn es nicht zufällig einen task zum neuerstellen der configs gibt, den es natürlich nicht gibt, wenn man in froxlor nichts an domains o.Ä. ändert - vllt hab ich es bei mir deswegen nie gemerkt. Mit folgender Änderung sollte es klappen:

diff --git a/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php b/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php
index aeeb3a32..e0e152c9 100644
--- a/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php
+++ b/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php
@@ -59,8 +59,11 @@ class AcmeSh extends \Froxlor\Cron\FroxlorCron
                        // Let's Encrypt cronjob is combined with regeneration of webserver configuration files.
                        // For debugging purposes you can use the --debug switch and the --force switch to run the cron manually.
                        // check whether we MIGHT need to run although there is no task to regenerate config-files
-                       $needRenew = self::issueDomains();
-                       if ($needRenew || self::issueFroxlorVhost()) {
+                       $issue_froxlor = self::issueFroxlorVhost();
+                       $issue_domains = self::issueDomains();
+                       $renew_froxlor = self::renewFroxlorVhost();
+                       $renew_domains = self::renewDomains();
+                       if ($issue_froxlor || $issue_domains || $renew_froxlor || $renew_domains) {
                                // insert task to generate certificates and vhost-configs
                                \Froxlor\System\Cronjob::inserttask(1);
                        }

 

Share this post


Link to post
Share on other sites
  • 0

Hallo zusammen,

ich hatte heute Morgen das gleiche Problem, dass ca. 30 LE-Zertifikate abgelaufen waren und nicht automatisch erneuert wurden.

Erst als ich alle "roten" aus der SSL-Liste entfernt habe und dann den

froxlor_master_cronjob.php --letsencrypt --debug

aufgerufen habe, wurden sie erneuert.

Ich habe aus Interesse nun mal ein bereits abgelaufenes Zertifikat in der Liste drin gelassen (die Domain ist nicht ganz so wichtig).

Auch nach Anwenden des Patches oben und dem Aufruf des Cronjobs mit --letsencrypt wird das Zertifikat nicht erneuert.
Habe auch versucht, ob die Option "Configs neu schreiben" den Renewal anstößt, aber da passiert auch nichts.

Ich kriege die Ausgabe:

[information] No new certificates or certificate updates found
[notice] Checking system's last guid

Mit --force --debug tauchen dann einige Fehler auf, und zwar dass einige SSL-Ordner fehlen.
Die sind auch tatsächlich nicht da (Domain natürlich anonymisiert):

[error] Could not find certificate-folder '/root/.acme.sh/example.de/'
[error] Could not get Let's Encrypt certificate for example.de:

Die Domains der fehlenden Ordner haben allerdings auch alle noch gültige Zertifikate, also soll das vermutlich so?

Habe jetzt mal acme.sh komplett entfernt (also .acme.sh im root-Folder gelöscht) und den Cronjob nochmal angeworfen.
acme.sh wird dann zwar korrekt neu heruntergeladen und eingerichtet - dass Ordner fehlen, wird aber immer noch angemeckert und die Testdomain mit dem abgelaufenen Zertifikat wird weiterhin nicht erneuert.

Der Cronjob sagt immer noch:

php /var/www/froxlor/html/scripts/froxlor_master_cronjob.php --letsencrypt --debug
[information] No new certificates or certificate updates found

 

Share this post


Link to post
Share on other sites
  • 0

  

4 hours ago, pxmedia said:

Hallo zusammen,

ich hatte heute Morgen das gleiche Problem, dass ca. 30 LE-Zertifikate abgelaufen waren und nicht automatisch erneuert wurden.

Erst als ich alle "roten" aus der SSL-Liste entfernt habe und dann den


froxlor_master_cronjob.php --letsencrypt --debug

aufgerufen habe, wurden sie erneuert.

Ich habe aus Interesse nun mal ein bereits abgelaufenes Zertifikat in der Liste drin gelassen (die Domain ist nicht ganz so wichtig).

Auch nach Anwenden des Patches oben und dem Aufruf des Cronjobs mit --letsencrypt wird das Zertifikat nicht erneuert.
Habe auch versucht, ob die Option "Configs neu schreiben" den Renewal anstößt, aber da passiert auch nichts.

Ich kriege die Ausgabe:


[information] No new certificates or certificate updates found
[notice] Checking system's last guid

Mit --force --debug tauchen dann einige Fehler auf, und zwar dass einige SSL-Ordner fehlen.
Die sind auch tatsächlich nicht da (Domain natürlich anonymisiert):


[error] Could not find certificate-folder '/root/.acme.sh/example.de/'
[error] Could not get Let's Encrypt certificate for example.de:

Die Domains der fehlenden Ordner haben allerdings auch alle noch gültige Zertifikate, also soll das vermutlich so?

Habe jetzt mal acme.sh komplett entfernt (also .acme.sh im root-Folder gelöscht) und den Cronjob nochmal angeworfen.
acme.sh wird dann zwar korrekt neu heruntergeladen und eingerichtet - dass Ordner fehlen, wird aber immer noch angemeckert und die Testdomain mit dem abgelaufenen Zertifikat wird weiterhin nicht erneuert.

Der Cronjob sagt immer noch:


php /var/www/froxlor/html/scripts/froxlor_master_cronjob.php --letsencrypt --debug
[information] No new certificates or certificate updates found

 

 

 

erstmal --force --debug benutzen und nicht --letsencrypt -- debug
Desweiteren kannst auch erstmal für einige Stunden den Cronjob von LE Certs in Froxlor auf Off stellen und dann nochmal nach einiger Zeit probieren, per SSH den befehl zu benutzen.

 

Share this post


Link to post
Share on other sites
  • 0
vor 38 Minuten schrieb irisdina:

 erstmal --force --debug benutzen und nicht --letsencrypt -- debug
Desweiteren kannst auch erstmal für einige Stunden den Cronjob von LE Certs in Froxlor auf Off stellen und dann nochmal nach einiger Zeit probieren, per SSH den befehl zu benutzen

Ich habe beides versucht und das abgelaufene Zertifikat wird trotzdem nicht erneuert.

Ich krieg ja wie gesagt die Meldung "No new certificates or certificate updates found" obwohl ich im Webinterface ein rot hinterlegtes abgelaufenes hab.

Das System müsste beim Cronjob doch irgendwie prüfen, ob alle Zertifikate noch gültig sind und wenn nicht, ein neues ausstellen?

Klar kann ich abgelaufene Certs immer aus der Liste manuell rauslöschen und dann werden die neu geholt, aber bei hunderten von Kunden geht sowas doch ganz schnell mal unter. 😉

Share this post


Link to post
Share on other sites
  • 0
On 7/8/2020 at 6:38 PM, pxmedia said:

Das System müsste beim Cronjob doch irgendwie prüfen, ob alle Zertifikate noch gültig sind und wenn nicht, ein neues ausstellen?

das "renew" (erneuern) der Zertifikate macht allein acme.sh - froxlor synchronisiert nur die Zertifikate mit seiner Datenbank in sofern sie neuer sind.

Share this post


Link to post
Share on other sites
  • 0

Der Patch aus dem Commit hatte leider auch nicht geholfen, komisch.

Habe nun acme.sh und alle Letsencrypt-Zertifikate aus der Oberfläche gelöscht und alle Kunden nochmal komplett fresh neu generieren lassen.

Mal gucken ob das Renewal in 3 Monaten diesmal hinhaut. :) Vielleicht hatte sich da was in acme.sh zerhauen...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...