Jump to content
Froxlor Forum
  • 1

SSL Zertifikat werden nicht mehr aktualisiert für alle Domains


Stefan8485

Question

Hallo zusammen,

 

ich habe folgendes Problem, von 5 Domains wurde nur noch von 2 das Zertifikat erneuert.
Bei den drei habe ich dann das alte Zertifikat gelöscht um eine ganz neues zu erstellen, aber auch nicht, der Cronjob läuft aber macht es nicht.
Dann habe ich es manuell angestossen vis SSH --debug --force

Und siehe da ich bekomme einen Error:
PHP Warning:  Undefined array key "QUERY_STRING" in /var/www/html/froxlor/lib/init.php on line 220

Kann mir hier jemand dabei helfen? Was ich nicht verstehe, wenn ich das Zertifikat einer der beiden Domains die laufen löschen wird diese neu erstellt.
Sehr merkwürdig, aber ich komm aktuell nicht weiter.
Danke für eure Unterstützung.

Gruss Stefan

Link to comment
Share on other sites

14 answers to this question

Recommended Posts

  • 0

ok ich konnte jetzt weiter testen und komme auf folgendes Problem.  bei allen Domains wo es nicht geht kommt dieser Error:

 

 

[Mi 29. M�r 13:27:43 CEST 2023] Using CA: https://acme-v02.api.letsencrypt.org/directory

[Mi 29. M�r 13:27:43 CEST 2023] Using pre generated key: /root/.acme.sh/ce-xxx.net/ce-xxx.net.key.next

[Mi 29. M�r 13:27:43 CEST 2023] Generate next pre-generate key.

[Mi 29. M�r 13:27:45 CEST 2023] Multi domain='DNS:ce-xxx.net,DNS:www.ce-xxx.net'

[Mi 29. M�r 13:27:45 CEST 2023] Getting domain auth token for each domain

[Mi 29. M�r 13:27:48 CEST 2023] Getting webroot for domain='ce-xxx.net'

[Mi 29. M�r 13:27:48 CEST 2023] Getting webroot for domain='www.ce-xxx.net'

[Mi 29. M�r 13:27:48 CEST 2023] Verifying: ce-xxx.net

[Mi 29. M�r 13:27:49 CEST 2023] Pending, The CA is processing your order, please just wait. (1/30)

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<html><head>

<title>404 Not Found</title>

</head><body>

<h1>Not Found</h1>

<p>The requested URL was not found on this server.</p>

<hr>

<address>Apache/2.4.56 (Debian) Server at ce-xxx.net Port 80</address>

</body></html>

[error] Could not find file 'ce-xxx.net.cer' in '/root/.acme.sh/ce-xxx.net/'

[error] Could not find file 'ca.cer' in '/root/.acme.sh/ce-xxx.net/'

[error] Could not find file 'fullchain.cer' in '/root/.acme.sh/ce-xxx.net/'

[error] Could not get Let's Encrypt certificate for ce-xxx.net:

https://github.com/acmesh-official/acme.sh

v3.0.6

[Mi 29. M�r 13:27:43 CEST 2023] Using CA: https://acme-v02.api.letsencrypt.org/directory

[Mi 29. M�r 13:27:43 CEST 2023] Using pre generated key: /root/.acme.sh/ce-xxx.net/ce-xxx.net.key.next

 

 

Die Dateien gibt es nicht.

Ich habe auch mal das Zertifikat für diese Domain in ssh gelöscht und den ganzen Ordner gelöscht, so das er es nochmals neu anlegen muss, aber leider ohne Erfolg, der Fehler oben bleibt immer gleich.

Link to comment
Share on other sites

  • 0

Ich klinke mich hier mal mit ein, denn genau das gleiche Problem habe ich auch. (Apache2 Webserver!) Nach einem Upgrade von der letzten 0.10er auf die 2.0.13 kann ich bei manchen Domains kein Let's Encrypt Zertifikat mehr erstellen lassen. Beim Upgrade auf dem Terminal wurde ich gefragt, ob ich einen möglicherweise falschen Pfad zur Challenge automatisch anpassen lassen will. Diese Frage habe ich bei allen Domains bejaht, die dort aufgetaucht sind (ca. 5 Stück von 40). Seither geht das Erstellen der Zertifikate dort nicht mehr.

Ich habe testweise die Erstellung per Hand auf der CLI angestoßen:

acme.sh --issue --debug -d subdomain.mydomain.net -w /var/customers/webs/mycustomer/subdomain/

Dort habe ich dann gesehen, dass der Aufruf von https://acme-v02.api.letsencrypt.org/directory auch immer in einem 404 nor found endet. Ich habe dann mal geschaut, wie weit man manuell kommt, und bis hin zum Verzeichnis http://subdomain.mydomain.net/.well-known komme ich noch, aber sobald ich "acme-challenge" dahinter stelle läuft bei jeglicher Datei sofort ein 404 Fehler auf. Ich habe mal die Configs angeschaut, und bei den nicht funktionierenden Domains fehlt folgende Sektion in den nicht-SSL configs:

 <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R=301;L,NE]
  </IfModule>
  <IfModule !mod_rewrite.c>
    Redirect 301 / https://domain.net/
  </IfModule>

Ein Neustart hat (überraschenderweise) auch nichts gebracht. Wie mache ich hier weiter?

Link to comment
Share on other sites

  • 0

Genau diese Verifikation lief beim Update auf 2.0.13 durch, und genau die hat mir für manche Domains eben etwas umgestellt, sodass ich keine Zertifikate mehr bekomme. Ich zitiere mal eine nicht funktionierende Domain:

Le_Domain='defectivedomain.com'
Le_Alt='no'
Le_Webroot='/var/www/html/froxlor'
Le_PreHook=''
Le_PostHook=''
Le_RenewHook=''
Le_API='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / d i r e c t o r y'
Le_Keylength='4096'
Le_OrderFinalize='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / f i n a l i z e / [ N U M 0 ] / [ N U M 1 ]'

Und hier eine funktionierende Domain:

Le_Domain='workingdomain.de'
Le_Alt='www.workingdomain.de'
Le_Webroot='/var/www/html/froxlor'
Le_PreHook=''
Le_PostHook=''
Le_RenewHook=''
Le_Keylength='4096'
Le_OrderFinalize='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / f i n a l i z e / [ N U M 0 ] / [ N U M 1 ]'
Le_LinkOrder='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / f i n a l i z e / [ N U M 0 ] / [ N U M 1 ]'
Le_LinkCert='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / a c m e / c e r t / [ N U M 2 ]'
Le_CertCreateTime='1679232867'
Le_CertCreateTimeStr='2023-03-19T13:34:27Z'
Le_ForceNewDomainKey='1'
Le_NextRenewTimeStr='2023-05-17T13:34:27Z'
Le_NextRenewTime='1684330467'
Le_API='h t t p s : / / a c m e - v 0 2 . a p i . l e t s e n c r y p t . o r g / d i r e c t o r y'

Bis auf die Zertifikatdaten und den "Le_Alt", den ich bei der anderen Domain habe, konnte ich keine Unterschiede feststellen. Scheinbar hat es also etwas mit der Webserver-Konfiguration zu tun, die den letsencrypt-Aufruf das acme-challenge Verzeichnis nicht aufrufen lässt. Jede neu erstellte Domain hat übrigens das gleiche Problem, habe es gestern mal getestet. Ich habe auch die besagte bedingte Weiterleitung vom vorherigen Post manuell in die Webserver-Konfiguration über die Froxlor-Einstellungen eingefügt - hat auch nichts gebracht.

Ich musste übrigens sämtliche URLs mit Leerzeichen versehen, da mein Beitrag sonst als Spam gewertet wird.

Link to comment
Share on other sites

  • 0

das sind acme.sh config files, die verwaltet froxlor nicht. Ich kann nur erneut sagen: stelle sicher das der alias funktioniert, dass die domain auf die korrekten IPs auflöst und dann geht das wunderbar.

Schau doch mal in die /etc/apache2/conf-enabled/acme.conf

Link to comment
Share on other sites

  • 0

Die acme.conf sieht so aus:

Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge"
<Directory "/var/www/froxlor/.well-known/acme-challenge">
	Require all granted
</Directory>

Bei 35 Domains funktioniert diese auch. Bei 5 Domains und sämtlichen neu erstellten Domains nicht mehr. Die IPs sind alle richtig gesetzt, ich komme ja bei allen Domains bis zum .well-known Verzeichnis. Nur das acme-challenge Verzeichnis lässt sich beid en problematischen Domains nicht aufrufen, das endet in einen 404 Fehler.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


×
×
  • Create New...