March 27, 20232 yr Hallo zusammen, ich habe folgendes Problem, von 5 Domains wurde nur noch von 2 das Zertifikat erneuert. Bei den drei habe ich dann das alte Zertifikat gelöscht um eine ganz neues zu erstellen, aber auch nicht, der Cronjob läuft aber macht es nicht. Dann habe ich es manuell angestossen vis SSH --debug --force Und siehe da ich bekomme einen Error: PHP Warning: Undefined array key "QUERY_STRING" in /var/www/html/froxlor/lib/init.php on line 220 Kann mir hier jemand dabei helfen? Was ich nicht verstehe, wenn ich das Zertifikat einer der beiden Domains die laufen löschen wird diese neu erstellt. Sehr merkwürdig, aber ich komm aktuell nicht weiter. Danke für eure Unterstützung. Gruss Stefan
March 27, 20232 yr Wie hast du denn den cronjob manuell angestoßen? An die Stelle auf die du da verweist solltest du via CLI überhaupt nicht kommen...
March 28, 20232 yr Author Ich habe in via ssh angestoßen hab es hier im Forum gefunden müsste nachschauen wie es genau heißt aber Froxlor Verzeichnis adminxxx .php —debug —force oder —letsencrypt aber ich bekomme immer diesen error.
March 28, 20232 yr eh, nein, "adminxxx.php" via shell aufrufen ist ganz falsch, siehe bitte https://docs.froxlor.org/latest/admin-guide/cli-scripts/#cron
March 30, 20232 yr Author ok ich konnte jetzt weiter testen und komme auf folgendes Problem. bei allen Domains wo es nicht geht kommt dieser Error: [Mi 29. M�r 13:27:43 CEST 2023] Using CA: https://acme-v02.api.letsencrypt.org/directory [Mi 29. M�r 13:27:43 CEST 2023] Using pre generated key: /root/.acme.sh/ce-xxx.net/ce-xxx.net.key.next [Mi 29. M�r 13:27:43 CEST 2023] Generate next pre-generate key. [Mi 29. M�r 13:27:45 CEST 2023] Multi domain='DNS:ce-xxx.net,DNS:www.ce-xxx.net' [Mi 29. M�r 13:27:45 CEST 2023] Getting domain auth token for each domain [Mi 29. M�r 13:27:48 CEST 2023] Getting webroot for domain='ce-xxx.net' [Mi 29. M�r 13:27:48 CEST 2023] Getting webroot for domain='www.ce-xxx.net' [Mi 29. M�r 13:27:48 CEST 2023] Verifying: ce-xxx.net [Mi 29. M�r 13:27:49 CEST 2023] Pending, The CA is processing your order, please just wait. (1/30) <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL was not found on this server.</p> <hr> <address>Apache/2.4.56 (Debian) Server at ce-xxx.net Port 80</address> </body></html> [error] Could not find file 'ce-xxx.net.cer' in '/root/.acme.sh/ce-xxx.net/' [error] Could not find file 'ca.cer' in '/root/.acme.sh/ce-xxx.net/' [error] Could not find file 'fullchain.cer' in '/root/.acme.sh/ce-xxx.net/' [error] Could not get Let's Encrypt certificate for ce-xxx.net: https://github.com/acmesh-official/acme.sh v3.0.6 [Mi 29. M�r 13:27:43 CEST 2023] Using CA: https://acme-v02.api.letsencrypt.org/directory [Mi 29. M�r 13:27:43 CEST 2023] Using pre generated key: /root/.acme.sh/ce-xxx.net/ce-xxx.net.key.next Die Dateien gibt es nicht. Ich habe auch mal das Zertifikat für diese Domain in ssh gelöscht und den ganzen Ordner gelöscht, so das er es nochmals neu anlegen muss, aber leider ohne Erfolg, der Fehler oben bleibt immer gleich.
March 30, 20232 yr du bekommst einen 404, hast du denn die acme.conf für den webserver korrekt eingerichtet? Mal getestet ob du eine test-datei korrekt aufrufen kannst via domain.tld/.well-known/acme-challenge/testfile
March 30, 20232 yr Author Ok ich versteh es nicht ganz musste jetzt einmal die Kiste Neustarten und Diebe da er hat mir zwei neue Zertifikate angelegt. Beobachte es mal. Dann sollte ja die andere auch noch nachkommen.
March 30, 20232 yr Ich klinke mich hier mal mit ein, denn genau das gleiche Problem habe ich auch. (Apache2 Webserver!) Nach einem Upgrade von der letzten 0.10er auf die 2.0.13 kann ich bei manchen Domains kein Let's Encrypt Zertifikat mehr erstellen lassen. Beim Upgrade auf dem Terminal wurde ich gefragt, ob ich einen möglicherweise falschen Pfad zur Challenge automatisch anpassen lassen will. Diese Frage habe ich bei allen Domains bejaht, die dort aufgetaucht sind (ca. 5 Stück von 40). Seither geht das Erstellen der Zertifikate dort nicht mehr. Ich habe testweise die Erstellung per Hand auf der CLI angestoßen: acme.sh --issue --debug -d subdomain.mydomain.net -w /var/customers/webs/mycustomer/subdomain/ Dort habe ich dann gesehen, dass der Aufruf von https://acme-v02.api.letsencrypt.org/directory auch immer in einem 404 nor found endet. Ich habe dann mal geschaut, wie weit man manuell kommt, und bis hin zum Verzeichnis http://subdomain.mydomain.net/.well-known komme ich noch, aber sobald ich "acme-challenge" dahinter stelle läuft bei jeglicher Datei sofort ein 404 Fehler auf. Ich habe mal die Configs angeschaut, und bei den nicht funktionierenden Domains fehlt folgende Sektion in den nicht-SSL configs: <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R=301;L,NE] </IfModule> <IfModule !mod_rewrite.c> Redirect 301 / https://domain.net/ </IfModule> Ein Neustart hat (überraschenderweise) auch nichts gebracht. Wie mache ich hier weiter?
March 30, 20232 yr prüfen ob dein acme.conf alias für den webserver funktioniert, wie bereits schon gesagt
March 31, 20232 yr Genau diese Verifikation lief beim Update auf 2.0.13 durch, und genau die hat mir für manche Domains eben etwas umgestellt, sodass ich keine Zertifikate mehr bekomme. Ich zitiere mal eine nicht funktionierende Domain: Le_Domain='defectivedomain.com' Le_Alt='no' Le_Webroot='/var/www/html/froxlor' Le_PreHook='' Le_PostHook='' Le_RenewHook='' Le_API='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / d i r e c t o r y' Le_Keylength='4096' Le_OrderFinalize='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / f i n a l i z e / [ N U M 0 ] / [ N U M 1 ]' Und hier eine funktionierende Domain: Le_Domain='workingdomain.de' Le_Alt='www.workingdomain.de' Le_Webroot='/var/www/html/froxlor' Le_PreHook='' Le_PostHook='' Le_RenewHook='' Le_Keylength='4096' Le_OrderFinalize='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / f i n a l i z e / [ N U M 0 ] / [ N U M 1 ]' Le_LinkOrder='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / f i n a l i z e / [ N U M 0 ] / [ N U M 1 ]' Le_LinkCert='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / c e r t / [ N U M 2 ]' Le_CertCreateTime='1679232867' Le_CertCreateTimeStr='2023-03-19T13:34:27Z' Le_ForceNewDomainKey='1' Le_NextRenewTimeStr='2023-05-17T13:34:27Z' Le_NextRenewTime='1684330467' Le_API='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / d i r e c t o r y' Bis auf die Zertifikatdaten und den "Le_Alt", den ich bei der anderen Domain habe, konnte ich keine Unterschiede feststellen. Scheinbar hat es also etwas mit der Webserver-Konfiguration zu tun, die den letsencrypt-Aufruf das acme-challenge Verzeichnis nicht aufrufen lässt. Jede neu erstellte Domain hat übrigens das gleiche Problem, habe es gestern mal getestet. Ich habe auch die besagte bedingte Weiterleitung vom vorherigen Post manuell in die Webserver-Konfiguration über die Froxlor-Einstellungen eingefügt - hat auch nichts gebracht. Ich musste übrigens sämtliche URLs mit Leerzeichen versehen, da mein Beitrag sonst als Spam gewertet wird.
March 31, 20232 yr das sind acme.sh config files, die verwaltet froxlor nicht. Ich kann nur erneut sagen: stelle sicher das der alias funktioniert, dass die domain auf die korrekten IPs auflöst und dann geht das wunderbar. Schau doch mal in die /etc/apache2/conf-enabled/acme.conf
March 31, 20232 yr Die acme.conf sieht so aus: Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge" <Directory "/var/www/froxlor/.well-known/acme-challenge"> Require all granted </Directory> Bei 35 Domains funktioniert diese auch. Bei 5 Domains und sämtlichen neu erstellten Domains nicht mehr. Die IPs sind alle richtig gesetzt, ich komme ja bei allen Domains bis zum .well-known Verzeichnis. Nur das acme-challenge Verzeichnis lässt sich beid en problematischen Domains nicht aufrufen, das endet in einen 404 Fehler.
March 31, 20232 yr 14 hours ago, d00p said: + https://docs.froxlor.org/latest/admin-guide/cli-scripts/#validate-acme-webroot hast du das tool mal ausgeführt? froxlor 2.0.x liegt standardmäßig in /var/www/html/froxlor (nicht wie 0.10.x zuvor)
Create an account or sign in to comment