Folgendes Verhalten: bei der Hauptdomain domain.com kann ich nicht auf die PHP-Dateien zugreifen (502 Bad Gateway) aber auf die statischen Dateien (Texte, Bilder) schon.

Bei der Subdomain subdomain.domain.com leitet der Server ins Nirvana. Ohne Versuch gezielt eine Datei aufzurufen kommt ein 403er mit Dateiversuch ein 404er.

Und in den Error-Logs ist nach wie vor permission denied zu finden.

jo ist ja klar wenn er php nich erreichen kann, nur .php wird via socket an php weitergegeben

1 minute ago, chrisiwien said:

Bei der Subdomain subdomain.domain.com leitet der Server ins Nirvana.

ja passt denn dns? zeigt er denn auf den korrekten documentroot? testen z.B. mit einer .html oder .txt datei die nich durch php geht

In den error-Logs der subdomain steht auf bei Aufruf dieser Datei permission denied.

In den Error-Logs wird auch immer eine Datei "0f77fa1d3f85a43126aa55a99269a3ec.htm" aufgerufen. Seltsam.

Die korrekte document-root ist für die subdomain eingestellt.

zeig ma die vhosts

d00p ich zweifle an meinem Verstand. Habe mehrmals nginx und php7.3-fpm gestartet und jetzt geht wieder alles. Keine Ahnung warum.

 

 

jo sieht ok aus

Dafür heißen meine Logs ab und zu domain-domain.com-access.log und domain-domain.com-error.log anstat domain-access.log und domain-error.log...

Wie kann sowas vorkommen? Zeit für einen Server-Reboot?

Das kommt wenn du für eine domain "separate logfile" aktiviert hast?!

Hm, "Eigene Logdatei" und "Zugriffs Logdatei" ist doch das selbe...ah, das heisst die eigene Log-Datei könnte ein User einsehen wenn er sich in Froxlor anmeldet, die Zugriffs-Logdatei am Server nicht, oder?

Nein nein, eigene logdatei heisst, für die domain wird eine separate logdatei erstellt, zugriff auf logdatei heisst, der customer kann diese via webinterface einsehen

 

Is ok. Du sag, ich würde mich sehr gern mal erkenntlich zeigen. Du bist praktisch 24/7 da und gibst Hilfestellung. Bist Du gar ein Bot?? 😀

Na im Ernst ich find das einfach super. Gibts ein Spendenkonto oder so?

Wegen dem Zertifikatsproblem: ich greif das jetzt nicht mehr an, erst wieder in 3 Monaten. Hab keine Zeit dafür nochmal ein paar Stunden mich mit Serverfehlern herum zu quälen, habe mom andere Prioritäten.

3 minutes ago, chrisiwien said:

Na im Ernst ich find das einfach super. Gibts ein Spendenkonto oder so?

paypal@froxlor.org

Just now, chrisiwien said:

Wegen dem Zertifikatsproblem: ich greif das jetzt nicht mehr an, erst wieder in 3 Monaten. Hab keine Zeit dafür nochmal ein paar Stunden mich mit Serverfehlern herum zu quälen, habe mom andere Prioritäten.

kenn ich

A Fünfziger ist unterwegs. Wiegt zwar nicht auf, dass ein Servermensch rund um die Uhr da ist, aber immerhin. Geht sich fast a Stange Zigaretten drum aus!

richtig coole sache @chrisiwien...vielen dank

Klar. Bis zum nächsten Problem.

Salut

Hallo d00p!

Mir lässt das keine Ruh. Ich habe was entdeckt: die fragliche Domain auf dem nginx-Server hab ich doppelt eingerichtet: einmal als non-www-Variante, einmal als www-Variante.

Die www-Domain leite ich auf die non-www-Domain um. Bei der www-Domain habe ich auch SSL aktiviert, auch bei der non-www-Variante. Ich blick das nicht ganz durch aber mein Hausverstand flüstert mir leise zu dass ich einen Blödsinn gemacht habe. Ein Zertifikat muss ja einen FDQN haben, www.domain.com und domain.com - der Name ist ja eigentlich gleich oder? Also daher könnte der Murks mit der nicht automatischen Zertifkatsverlängerung herrühren, hm. Was meinst Du?

Hab auch grad auf meinen anderen Server geschaut, da hab ich nur die non-www-Domain angelegt und eine www-Alias dazu - das ist vmtl. die korrekte Lösung.

ich verstehe da gerade nich so ganz was du meinst - beide domains sind separat eingerichtet und haben ein eigenes zertifikat, außer du hast vllt bei der non-www-Variante in den Froxlor einstellungen noch "www-alias" angegeben? Das sollte eigentlich nicht möglich sein wenn es eine subdomain mit www gibt.

Alternativ kannst du natürlich die eigene www-subdomain  löschen und für non-www auch einen www-alias anlegen lassen und dann via .htaccess (rewrite rule) oder so deinen gewünschten redirect von www auf non-www machen

Tja, das ist der Einstellungsdschungel in dem ich nicht ganz durchblicke...

Mein Ziel ist es ja dass die automatische Zertifikatserneuerung funktioniert.

Ok, ich versuch es zu erklären:

• Ich habe die www und die non-www-Domain in Froxlor eingerichtet. Das Ziel war aber IMMER dass die www-Domain zur non-www-Domain umgeleitet wird.
• Ich dachte mir es ist richtig wenn ich auch die www-Domain mit einem Zertifikat absichere, obwohl die auf die non-www-Domain weiterleitet. Ist das richtig? Oder bräuchte die www-Domain gar kein Zertifikat, da die eh auf die non-www-Domain MIT Zertifikat umleitet?
• Bei der non-www-Domain habe ich "Keine Aliasdomain" und "Keine Subdomain einer Hauptdomain" ausgewählt. (keinen www-Alias eingestellt)
• Bei der www-Domain habe ich "Keine Aliasdomain" und ("ist eine Subdomain von") "domain.com" ausgewählt. (dort ist der www-Alias also eingestellt)
• Nochmals die Frage zum FDQN: ist es überhaupt zulässig dass ich ein Zertifikat für "www.domain.com" erstelle UND eines für "domain.com"? Der FDQN ist ja bis auf das "www" gleich. Oder sehe ich das falsch?

Fakt ist: ich habe auf dem Server wo die automatische Zertifikatserneuerung klappt nur die non-www-Domain mit einem www-Alias eingerichtet. Nach meinem Verständnis entspricht der www-Alias einem Redirect zur non-www-Domain. Ist das korrekt? Dann bräuchte ich ja keinen htaccess redirect von www auf non-www. 

Auf dem Server wo die Zertifikatserneuerung funktioniert leite ich in der htaccess nur von http auf https um. Bräuchte ich aber auch nicht, da ich in Froxlor ja die SSL-Weiterleitung in der SSL-Rubrik einstellen kann....help!

Ich kenn mich nicht immer aus was welche Einstellung tut... und kratzen kann man sich ja bekanntlich auch von links oder von rechts.

 

5 minutes ago, chrisiwien said:

Ich dachte mir es ist richtig wenn ich auch die www-Domain mit einem Zertifikat absichere, obwohl die auf die non-www-Domain weiterleitet. Ist das richtig?

ja sonst bekommst du natürlich bei aufruf von www.domain via ssl einen fehler

5 minutes ago, chrisiwien said:

Bei der non-www-Domain habe ich "Keine Aliasdomain" und "Keine Subdomain einer Hauptdomain" ausgewählt. (keinen www-Alias eingestellt)

sehr gut, passt

5 minutes ago, chrisiwien said:

Bei der www-Domain habe ich "Keine Aliasdomain" und ("ist eine Subdomain von") "domain.com" ausgewählt. (dort ist der www-Alias also eingestellt)

also hast du sie als admin angelegt? Wieso? Leg doch die subdomain einfach als Kunde an - sollte aber so oder so keinen unterschied machen

6 minutes ago, chrisiwien said:

Nochmals die Frage zum FDQN: ist es überhaupt zulässig dass ich ein Zertifikat für "www.domain.com" erstelle UND eines für "domain.com"? Der FDQN ist ja bis auf das "www" gleich. Oder sehe ich das falsch?

wieso sollte es denn nich zulässig sein? FQDN heisst FULL qualified domain name, da ist "domain.tld" was anderes als "www.domain.tld" - das ist schon ok so

7 minutes ago, chrisiwien said:

Nach meinem Verständnis entspricht der www-Alias einem Redirect zur non-www-Domain. Ist das korrekt?

Nein, ein Alias bedeutet nur, dass der apache vhost nur 1x generiert wird, in erster linie für domain.tld und dann als alias (ServerAlias direktive) auch für www.domain.tld - das impliziert keinen redirect - der vhost reagiert nur auf beide urls

8 minutes ago, chrisiwien said:

Auf dem Server wo die Zertifikatserneuerung funktioniert leite ich in der htaccess nur von http auf https um. Bräuchte ich aber auch nicht, da ich in Froxlor ja die SSL-Weiterleitung in der SSL-Rubrik einstellen kann....help!

auch hier wieder, ssl-redirect heisst: leite http auf https um, NICHT leite www auf non-www

 

Kleiner Einfall noch gerade: wenn du natürlich einen REDIRECT hast von www.domain.tld auf domain.tld dann kann lets encrypt die www.domain.tld natürlich nicht erneuern, denn sie leitet ja auf die andere weiter...das könnte evtl. ein problem sein - wobei bei apache da ggfls zunächst der globale alias greift - das müsste man mal testen. Einfach eine Datei mit "test" im ordner /var/www/froxlor/.well-known/acme-challenge/ anlegen und "hallo" reinschreiben, dann "www.domain.tld/.well-known/acme-challenge/test" im browser aufrufen - du solltest das "hallo" sehen

Ah ok, mach ich gleich mal.

Ich sehe das "hallo". Der Redirect geift also. Aber was mich trotzdem stutzig macht: Der Froxlor-Mastercronjob führt ja die Let's Encrypt-Anfragen aus, also auch für den FDQN "www.domain.com". Let's Encrypt bekommt aber dank der Weiterleitung "domain.com" präsentiert. Das macht einen Unterschied, oder?

Im Ordner root/.acme.sh liegen jetzt im Ordner "domain.com" keine Zertifikatsdateien. Im Ordner "www.domain.com" sehr wohl. Beim vorigen Zertifikatslauf waren aber auch im Ordner "domain.com" Zertifikatsdateien.

Es ist zum schreien. Aber ich tippe auf den unnötig komplizierten Redirect der da den Hund reinhaut.

Sorry, hab Dein vorletztes Mail mit den vielen Erklärungen übersehen.

"Nein, ein Alias bedeutet nur, dass der apache vhost nur 1x generiert wird, in erster linie für domain.tld und dann als alias (ServerAlias direktive) auch für www.domain.tld - das impliziert keinen redirect - der vhost reagiert nur auf beide urls".
Der vHost reagiert nur auf beide urls - ja dann - aber dann ist das Ergebnis doch das gleiche wie bei Anlegen einer www-Domain und redirect auf non-www?? So klappt das zumindest auf dem Server wo es keine Zert-Probleme gibt - wo ich auch nur die non-www-Domain angelegt habe.

"auch hier wieder, ssl-redirect heisst: leite http auf https um, NICHT leite www auf non-www" - ja logisch. Was ist meinte ist: wenn ich in den Froxlor-Settings "leite http auf https um" wähle brauche ich das nicht mehr in der htaccess manuell einzustellen.

 

Wichtig ist nur dass bei Aufruf von www und non-www der selbe Inhalt erscheint (aus der selben document-root). Je mehr redirects man sich sparen kann desto besser!