LE bei Domain ohne DNS mit Validierung nicht möglich

[rseffner]

Ich habe in den Einstellungen als Validierungsresolver für LE einmal 8.8.8.8 und einmal nichts probiert.

Beide, also 8.8.8.8 und auch 127.0.0.1 liefern auf die Domain und die Subdumain www einen A-record, der der IP, die der Domain zugeordnet ist, entspricht.

Dennoch erhalte ich beim Versuch ein LE-Zertifikat für die Domain im Panel zu aktivieren die Meldung "Die DNS-Einträge der Domain enhalten keine der gewählten IP Adressen. Let's Encrypt Zertifikats-Erstellung ist nicht möglich."

Besonderheit ist hier vielleicht, dass ich ausnahmsweise mal nicht di DNS-Zone verwalte.

Was übersehe ich?

[d00p]

Okay, jenachdem ist php wohl sehr zickig was die Klassenangabe bei `instanceof` angeht, hiermit geht es bei mir im test-szenario:

 

diff --git a/lib/Froxlor/PhpHelper.php b/lib/Froxlor/PhpHelper.php
index c81f50bd..75e7d7ac 100644
--- a/lib/Froxlor/PhpHelper.php
+++ b/lib/Froxlor/PhpHelper.php
@@ -263,7 +263,7 @@ class PhpHelper
                                try {
                                        $answer = $resolver->query($host, 'A')->answer;
                                        foreach ($answer as $rr) {
-                                               if ($rr instanceof Net_DNS2_RR_A) {
+                                               if ($rr instanceof \Net_DNS2_RR_A) {
                                                        $ips[] = inet_ntop(inet_pton($rr->address));
                                                }
                                        }
@@ -276,7 +276,7 @@ class PhpHelper
                        try {
                                $answer = $resolver->query($host, 'AAAA')->answer;
                                foreach ($answer as $rr) {
-                                       if ($rr instanceof Net_DNS2_RR_AAAA) {
+                                       if ($rr instanceof \Net_DNS2_RR_AAAA) {
                                                $ips[] = inet_ntop(inet_pton($rr->address));
                                        }
                                }

 

[d00p]

Stelle doch zunächst bitte sicher das mindestens eine der IP Adressen auf die die Domain auflöst auch in Froxlor angelegt und der Domain zugewiesen ist

[rseffner]

38 minutes ago, d00p said:

Stelle doch zunächst bitte sicher das mindestens eine der IP Adressen auf die die Domain auflöst auch in Froxlor angelegt und der Domain zugewiesen ist

Hatte ich das nicht geschrieben. Das war natürlich sichergestellt.

[rseffner]

24 minutes ago, d00p said:

Okay, jenachdem ist php wohl sehr zickig was die Klassenangabe bei `instanceof` angeht, hiermit geht es bei mir im test-szenario:

Da es im Code von Froxlor dutzende Vorkommnisse von instanceof mit \ aber auch ähnlich viele ohne gibt, wirft das die Frage auf, ob da noch mehr gefixt werden sollte. Liegts an der eingesetzten PHP-Version oder worauf bezieht sich "jenachdem"?

[d00p]

Kann ich dir so auf die schnelle nicht sagen, ich kann zeitlich einfach nicht alles auf 20 systemen immer durchgehen, ich konnte es so auf php8.0+ beheben - ich weiß aber auch das es vorm commit beim test funktioniert hat, möglicherweise war es da php7.4 - ich kanns dir nicht 100% sagen

ich werde es mal explizit testen und auch die anderen vorkommnisse entsprechend anpassen

[d00p]

Aber auch ein "Jop, funktioniert so" würde mich hier helfen

[d00p]

welche "dutzende Vorkommen" von instanceof sprichst du denn aber an? Ich zähle 7 und nur \Net_DNS2_RR_A kommt aus dem globalen Scope, der rest sind froxlor klassen die entsprechend über ein use-statement eingebunden sind.

Alles in "vendor/" ist keine froxlor sache

[rseffner]

4 minutes ago, d00p said:

Aber auch ein "Jop, funktioniert so" würde mich hier helfen

Ich habe noch eine Domain ohne LE gefunden. Dort geht es jetzt (mit eingespieltem Patch).

[rseffner]

1 minute ago, d00p said:

welche "dutzende Vorkommen" von instanceof sprichst du denn aber an? Ich zähle 7 und nur \Net_DNS2_RR_A kommt aus dem globalen Scope, der rest sind froxlor klassen die entsprechend über ein use-statement eingebunden sind.

Alles in "vendor/" ist keine froxlor sache

Dann ignoriere meine grep-Zählerei bitte. Die hat keine scopes und Verzeichnisse berücksichtigt.

[rickstinson]

Also ich kann zumindest bestätigen dass es nun mit PHP 8.2 nun auch wieder problemlos läuft.

[d00p]

jo danke, ist schon im git, kommt mit dem nächsten release die woche

[Meth0d]

Ich habe das selbe Problem aber System php ist noch 7.4:

 

[information] Requesting 1 new Let's Encrypt certificates
[information] Creating certificate for domain.de
[information] Adding common-name: domain.de
[information] Adding SAN entry: www.domain.de
[information] Validating DNS of domain.de
[warning] Skipping Let's Encrypt generation for domain.de due to no system known IP address via DNS check
[warning] Let's Encrypt deactivated for domain domain.de
[information] Validating DNS of www.domain.de
[warning] Skipping Let's Encrypt generation for www.domain.de due to no system known IP address via DNS check
[warning] Let's Encrypt deactivated for domain www.domain.de
[information] Let's Encrypt certificates have been updated

; <<>> DiG 9.16.1-Ubuntu <<>> domain.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54704
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;domain.de.                     IN      A

;; ANSWER SECTION:
domain.de.              3600    IN      A       valid.ip

;; Query time: 8 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Feb 14 09:31:43 CET 2023
;; MSG SIZE  rcvd: 54

 

Ich habe 2.0.10-1 sollte die Version von PhpHelper.php auch helfen ?

[d00p]

Ist egal ob php8.x oder 7.4, die Lösung ist diese:

 ich kam leider aufgrund von krankheit letzte woche nicht zu einem release, es wird diese woche kommen

[Meth0d]

Also ich bekomme auch mit 2.0.12 bei automatischen LE Erneuerungen noch ein "Invalid response" (404) von acme.sh, gibt es nach dem Upgrade noch ein Todo?

[Mon 20 Feb 2023 12:06:11 AM CET] domain.de:Verify error:xxx.xxx.xxx.xxx: Invalid response from http://domain.de/.well-known/acme-challenge/Are_dguD96MlG7tuHp8lFsj9OV7s57f450swLCyXsRY: 404
[Mon 20 Feb 2023 12:06:11 AM CET] Please add '--debug' or '--log' to check more details.
[Mon 20 Feb 2023 12:06:11 AM CET] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
[Mon 20 Feb 2023 12:06:13 AM CET] Error renew domain.de.

Ich helfe mir (mangels CLI LE Task) damit das Zertifikat um was es geht einmal aus der Zertifikat Übersicht zu löschen, dann wird die Challange anscheinend richtig angelegt und das Zertifikat erneuert.

Das kann ja aber so nicht der Gedanke dahinter sein  

[d00p]

bin/froxlor-cli froxlor:validate-acme-webroot

mal laufen lassen und geguckt ob existierende zertifikate noch das korrekte webroot nutzen?

[Meth0d]

Jo das war es nehme ich mal an, da hat er so einige korrigiert.

Danke für das hilfreiche command