Zertifikate werden nur erneuert, wenn man sie aus Froxlor rauslöscht

[fabians]

Moin!

Erstmal ein herzliches Danke für Froxlor, ich benutze es schon so lange, da hieß es noch nichtmal Froxlor 😉

Ich hab nun aber ein kleines Phänomenchen, wo mir die Debugging-Möglichkeiten ausgehen.

Ich habe auf allen meinen eingerichteten Domains ein LE-Zertifikat. Dies wird auch sauber erzeugt, alles läuft super, außer die Erneuerung.

Wenn ich im Froxlor die Zertifikate nach Ablaufdatum sortiere, sehe ich immer mal wieder abgelaufene Zertifikate. Ich konnte bisher noch nicht feststellen, dass eins erneuert wurde.

acme.sh --list zeigt mir alle Zertifikate an, diese wurden auch erneuert. Froxlor benutzt aber noch die alten, zeigt dies auch so im Panel an.

php /var/www/html/froxlor/bin/froxlor-cli froxlor:cron 'letsencrypt' --debug -> Ergibt keine Fehler. Er sagt einfach nur, dass nix zu tun sei.

Wenn ich im Panel ein Zertifikat lösche und dann den Cronjob erneut ausführe/abwarte, wird das Zertifikat sauber erneuert, so wie er es eigentlich automatisch machen sollte.

Da ich nirgendwo Fehler sehe, fehlt mir gerade auch der Ansatz zum Debuggen.

 

Gruß

Fabian

[d00p]

Ein Ansatz für debugging wäre https://github.com/Froxlor/Froxlor/blob/main/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php#L353 so wie ggfls https://github.com/Froxlor/Froxlor/blob/main/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php#L239

Ersteres sollte alle domains ausgeben, welche let's encrypt verwenden (renew, nicht neu) und zweiteres überprüft, ob die Dateien von acme.sh auf dem Dateisystem neuer sind als die in der DB

[fabians]

Hi d00p. danke für die Antwort.

Ich habe auch schon mal eine plausible Erklärung.

Es wird hier https://github.com/Froxlor/Froxlor/blob/1cae5638d394515d92269545cc52da8d89c97ff7/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php#L256 ein _ecc hinzugefügt zu $domain, wenn ecc aktiviert ist.

Ich habe _ecc erst vor einigen Monaten aktiviert, neue Domains werden auch in /root/.acme.sh/domain.de_ecc/ erstellt, vorhandene Zertifikate (die vor der Umstellung auf ecc erstellt wurden) bleiben aber in ihren alten Ordnern /root/.acme.sh/domain.de/

Dadurch findet er vermutlich die erneuerten Zertifikate nicht (da sie ja noch kein _ecc im Namen haben), und tauscht sie dementsprechend auch nicht aus.

 

Lösche ich das Zertifikat, das noch vor der Umstellung auf ecc erstellt wurde, aus Froxlor heraus, erzeugt acme.sh ein neues Zertifikat im korrekten Ordner /root/.acme.sh/domain.de_ecc/. Ich gehe also davon aus, dass dann die Renewals zukünftig für diese Domain funktionieren werden.

PS: aus acme.sh wird das zertifikat ohne ecc nicht gelöscht, d.h. mein acme.sh sieht nun echt chaotisch aus. Ich werde bei mir nun alle Zertifikate einmal rauslöschen aus Froxlor und acme.sh und froxlor dann alle zertifikate neu erzeugen lassen.

[d00p]

schau ich mir mal an, danke

[d00p]

Schau mal ob dieser Fix das Problem behebt: https://github.com/Froxlor/Froxlor/commit/23034b8ad29a71389999a78e9ee3bac353f7e66b

[fabians]

Moin d00p,

der Fix verbessert die Situation auf jeden Fall, er nimmt nun das aktuellste Zertifikat von acme.sh. Allerdings immer das ohne ecc, selbst wenn ecc im Froxlor aktiviert ist. Unter acme.sh werden die alten Zertifikate ohne ecc nicht gelöscht, ein --renew bei acme.sh verlängert daher auch immer nur das Zertifikat ohne ecc.

[d00p]

Aber wieso hast du denn auch ECC und nicht-ECC für ein und die selbe Domain?

[fabians]

Erst hatte ich im Froxlor ecc nicht aktiv, da es diese Option (glaube ich) noch gar nicht gab. Die kam erst mit einem Update dazu.

Irgendwann habe ich dann im Froxlor ecc aktiviert, und seitdem habe ich im acme.sh für alle Domains ein Zertifikat mit ecc und eins ohne.

[d00p]

wenn man die ECC einstellung umstellt in froxlor sollte es ja schon existierende Zertifikate gar nicht betreffen, die bleiben wie sie sind. Ggfls ist das halt ein Sonderfall und du müsstest einfach die nicht verwendeten doppelten mal löschen damit das wieder ein sauberer stand ist