lets encrypt certificate for server services [GELÖST]

[MLan]

Hallo Männer,
habe gerade einen neuen deb10 beim Hetzner aufgesetzt, vorher naturlich r/DNS usw angepasst.
Installation lief problemlos durch, nur mit dem Server Zertifikat hab ich noch so meine Probleme.

Code: Select all

[PID-1115] [23-Aug-2019 16:29:11] INFO  --> connect db ... success
[PID-1115] [23-Aug-2019 16:29:11] INFO  --> create non exisiting required dir "/tmp/keyhelp"
[PID-1115] [23-Aug-2019 16:29:13] INFO  --> maintenance connection okay
[PID-1115] [23-Aug-2019 16:29:13] INFO  --> try to request lets encrypt certificate for server services [auto request after installation]
[PID-1115] [23-Aug-2019 16:29:13] INFO  --> request attempt: 1st
[PID-1115] [23-Aug-2019 16:29:13] INFO  --> Using certificate authority "https://acme-v01.api.letsencrypt.org".
[PID-1115] [23-Aug-2019 16:29:13] INFO  --> Using terms of service "https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf".
[PID-1115] [23-Aug-2019 16:29:13] INFO  --> Start new account registration.
[PID-1115] [23-Aug-2019 16:29:13] INFO  --> Generate account key pair.
[PID-1115] [23-Aug-2019 16:29:14] INFO  --> Register account.
[PID-1115] [23-Aug-2019 16:29:14] INFO  --> Sending signed request to "/acme/new-reg".
[PID-1115] [23-Aug-2019 16:29:15] INFO  --> Start certificate generation process for domains.
[PID-1115] [23-Aug-2019 16:29:15] INFO  --> Request callenge for "server.domain.de".
[PID-1115] [23-Aug-2019 16:29:15] INFO  --> Sending signed request to "/acme/new-authz".
[PID-1115] [23-Aug-2019 16:29:15] INFO  --> Got challenge token for  "server.domain.de".
[PID-1115] [23-Aug-2019 16:29:16] INFO  --> Token stored at "/home/keyhelp/www/.well-known/acme-challenge/68ruZVD6RaAhIlXy1dgrAYiJ43iMwMCGdEAuNmppCFY".
[PID-1115] [23-Aug-2019 16:29:16] INFO  --> Token should be available at "http://server.domain.de/.well-known/acme-challenge/68ruZVD6RaAhIlXy1dgrAYiJ43iMwMCGdEAuNmppCFY".
[PID-1115] [23-Aug-2019 16:29:16] INFO  --> Sending request to challenge
[PID-1115] [23-Aug-2019 16:29:16] INFO  --> Sending signed request to "https://acme-v01.api.letsencrypt.org/acme/chall-v3/23130702/hS6rug".
[PID-1115] [23-Aug-2019 16:29:16] INFO  --> Verification process pending. Waiting... 
[PID-1115] [23-Aug-2019 16:29:18] INFO  --> Verification process pending. Waiting... 
[PID-1115] [23-Aug-2019 16:29:19] INFO  --> Verification ended with status "valid".
[PID-1115] [23-Aug-2019 16:29:19] INFO  --> Generate CSR.
[PID-1115] [23-Aug-2019 16:29:19] INFO  --> Sending signed request to "/acme/new-cert".
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> Got certificate.
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> Requesting chained cert at "https://acme-v01.api.letsencrypt.org/acme/issuer-cert"
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> Store fullchain.pem.test
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> File is corrupt!
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> Store cert.pem.test
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> File is corrupt!
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> Store chain.pem.test
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> File seems okay!
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> Store complete.pem.test
[PID-1115] [23-Aug-2019 16:29:21] INFO  --> File is corrupt!
[PID-1115] [23-Aug-2019 16:29:21] ERROR --> auto-request of lets encrypt certificate for server services failed: Corrupt files detected.

Was um alles in der Welt läuft da schief ?
Gruß Mlan

[nikko]

Sieht ja fast nach nem Hardwarefehler aus....
Obwohl ich daran nicht ganz glauben kann. Gibt ja mehrere Möglichkeiten, weshalb das File korrupt sein kann...

[MLan]

Nach dem ich nun unter Sicherheit/SSL-TLS-Zertifikate/Serverdienste absichern von default auf LE gestellt habe,
hab ich nun auch sofort mein ServerZertifikat von LE.
Warum war hier das selbstgenerierte vorausgewählt ?
Standard war doch bis jetzt hier immer LE voreingestellt.

Gruß Mlan

[nikko]

Standard ist selbstsigniert, LE wird vergeben, wenn die Domain während der Installation bereits auflöst - soweit ich weiß.

[stfn116]

Standard ist selbstsigniert, LE wird vergeben, wenn die Domain während der Installation bereits auflöst - soweit ich weiß.

Wäre interessant, ob es tatsächlich ein Hardwarefehler war oder was der Grund für das File is corrupt! war.

genau. und da hing es bei mir wegen IPv6. Aber ist ja leicht umgestellt.

[MLan]

Standard ist selbstsigniert, LE wird vergeben, wenn die Domain während der Installation bereits auflöst - soweit ich weiß.

DNS für die Domain hatte ich gestern schon angelegt und ich hatte das geprüft (wie bei allen KH Installationen)
bevor ich die Installation angestoßen habe. Daran sollte es also nicht gelegen haben.
Zudem brauchte ich bei allen vorherigen KH Servern niemals von default auf LE umstellen,
da spätestens nach 5 min ein gültiges LE Server Zertifikat erstellt wurde.
IPV6 ist auch im DNS ordentlich gesetzt gewesen

Gruß Mlan

[Alexander]

Nach der Installation steht das Zertifikat auf "default".

Danach versucht KeyHelp für einen gewissen Zeitraum ein Lets Encrypt Zertifikat zu beziehen. Sollte der Vorgang von Erfolg gekrönt sein, wird das Zertifikat für die Serverdomain entsprechend auf Lets Encrypt gesetzt.

Wenn man es natürlich nicht abwarten kann, steht beim Auswahlmenü für Serverdienst-Zertifikate noch "default" .

Bin gerade im Urlaub aber ich meine, den Zeitraum für Lets Encrypt Zertifikat Beziehung der Serverdomain auf 24 h gesetzt zu haben. Wenn es bis dahin nicht geklappt hat, bleibt das default Zertifikat.

Das das File corrupt war kann verschiedene Ursachen haben, am besten den ssl-maintainance Job nochmal anstoßen, dann sollte das Problem gelöst sein.

[MLan]

Wenn man es natürlich nicht abwarten kann, steht beim Auswahlmenü für Serverdienst-Zertifikate noch "default" .

Naja , insgesamt waren schon 3h vergangen, da darf man doch auch mal unruhig werden.

Das das File corrupt war kann verschiedene Ursachen haben, am besten den ssl-maintainance Job nochmal anstoßen, dann sollte das Problem gelöst sein.

Das hatte ich auch getan, aber ohne Erfolg.

Aber nun alles gut. Läuft ja alles.
Schönen Urlaub wünsch ich dir.

Gruß Mlan