letsencrypt zertifikate erstellen - fehlschlag  [GELÖST]

Locked
gnugu13
Posts: 2
Joined: Sat 4. Dec 2021, 17:57

letsencrypt zertifikate erstellen - fehlschlag

Post by gnugu13 »

hallo all,
ich bekomme es einfach nicht gebacken, vielleicht habt ihr noch eine Idee?
Historie:
neuer keyhelp server unter proxmox --> erfolgreich
migration meiner domains vom imscp --erfolgreich
Domains in Betrieb und aus dem Internet erreichbar. (http) --> erfolgreich

Erweiterung der div. Domains auf TLS --> fehschlag

die Daten:

Betriebssystem + Version
Debian 11.1(64-bit)

KeyHelp-Version + Build-Nummer
KeyHelp 21.2 (Build 2306)

Virtualisierung
Proxmox Virtual Environment 6.4-13
proxmox-->pfsense-->keyhelp-server-->domains

Problembeschreibung
Let's Encrypt Zertifikatbeantragung

Code: Select all

ERROR --> Apache: a Let's Encrypt error occurred: Failed to receive challenges. 
Response: {"type":"urn:ietf:params:acme:error:malformed","detail":
"Method not allowed","status":405}
Schritte zur Reproduktion
DOMAINS-->Domain bearbeiten --> Sicherheit -->select Let's-Encrypt-Zertifikat -->speichern

Erwartetes Ergebnis
Zertifikat für gewählte Domain

Tatsächliches Ergebnis
unter Domains "Spalte S" Ein Fehler ist aufgetreten

Zusätzliche Informationen
Anbei das Log update.log;

Code: Select all

[04-Dec-2021 18:13:02] INFO  --> Apache: request lets encrypt cert
[04-Dec-2021 18:13:02] INFO  --> Apache: request for domain "gnugu.de"
[04-Dec-2021 18:13:02] INFO  --> Using certificate authority: "https://acme-staging-v02.api.letsencrypt.org/" (STAGING).
[04-Dec-2021 18:13:02] INFO  --> Getting endpoint URLs.
[04-Dec-2021 18:13:03] INFO  --> Account "gnugu" not registered yet.
[04-Dec-2021 18:13:03] INFO  --> Creating a new account.
[04-Dec-2021 18:13:03] INFO  --> Generate account keys.
[04-Dec-2021 18:13:04] INFO  --> Sending signed request to "https://acme-staging-v02.api.letsencrypt.org/acme/new-acct".
[04-Dec-2021 18:13:05] INFO  --> Requesting Key ID.
[04-Dec-2021 18:13:05] INFO  --> Sending signed request to "https://acme-staging-v02.api.letsencrypt.org/acme/new-acct".
[04-Dec-2021 18:13:05] INFO  --> Start certificate generation.
[04-Dec-2021 18:13:05] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-61aba1a1b393f9.74033940
[04-Dec-2021 18:13:05] INFO  --> Skip local resolving check.
[04-Dec-2021 18:13:05] INFO  --> Local resolving checks of domains successfully completed.
[04-Dec-2021 18:13:05] INFO  --> Requesting challenges for domain "gnugu.de".
[04-Dec-2021 18:13:05] INFO  --> Sending signed request to "https://acme-staging-v02.api.letsencrypt.org/acme/new-order".
[04-Dec-2021 18:13:06] ERROR --> Apache: a Let's Encrypt error occurred: Failed to receive challenges. Response: {"type":"urn:ietf:params:acme:error:malformed","detail":"Method not allowed","status":405}
der Server gnugu.de ist auch von verschiedenen Punkten des Internet erreichbar
mit diversen webcheck-tools online getestet
für die domains verwende ich aus dem internet einen externen DNS Server
intern auf keyhelp sind die internen Adressen hinterlegt

Code: Select all

---------------------------snip---------------------------
; <<>> DiG 9.16.22-Debian <<>> @localhost gnugu.de axfr
; (2 servers found)
;; global options: +cmd
gnugu.de.               86400   IN      SOA     ns.keyhelp.tuxplay.de. root.keyhelp.tuxplay.de. 2021112800 14400 1800 604800 3600
gnugu.de.               86400   IN      A       10.xx.yy.22
gnugu.de.               86400   IN      MX      10 mail.gnugu.de.
gnugu.de.               86400   IN      NS      ns.keyhelp.tuxplay.de.
gnugu.de.               86400   IN      NS      ns2.keyhelp.tuxplay.de.
gnugu.de.               86400   IN      TXT     "v=spf1 a mx -all"
*.gnugu.de.             86400   IN      A       10.xx.yy.22
_dmarc.gnugu.de.        86400   IN      TXT     "v=DMARC1; p=none"
default._domainkey.gnugu.de. 86400 IN   TXT     "v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzSftBEpU4/beZoLTtXRn/GXvnemjRDvi6K3cGzKEh4du/+U8EPH5gjzkQgrRTL11F4oR1zYIhI/47h5cPkCL2reOxBvJz7ZcBLbydf1kJ5qEzqpCAsgwfkhgXt3GciLpEwbmjLJNzAGbaWRqwY26CDDQyimjIj4x5w+F5943qihWwcjWsRXXKppRCCgoddJ5zjfvITrZB9izF+" "gNwA2Jwm/NdRoyt1B4ySHOV3h7zEp7eQs1YhgEYbhjGUyTbyWEJ5rGWa8yuSKV/8wQAW3SvdmmcuiQqoFu3ymcBITNHD/qABX0+czM6BTqZy1/2ReYoN4mv0kgmuOowGT4uAwpzwIDAQAB"
gnugu.de.               86400   IN      SOA     ns.keyhelp.tuxplay.de. root.keyhelp.tuxplay.de. 2021112800 14400 1800 604800 3600
;; Query time: 71 msec
;; SERVER: ::1#53(::1)
;; WHEN: Sat Dec 04 18:29:07 CET 2021
;; XFR size: 10 records (messages 1, bytes 786)
---------------------------snip---------------------------
der resolver (/etc/resolv.conf)verwendet die ip des pfsense (interne ip 10.xx.yy.1)
und löst damit die domains auf die externen adressen auf.

Code: Select all

---------------------------snip---------------------------
 dig gnugu.de

; <<>> DiG 9.16.22-Debian <<>> gnugu.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50994
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1432
;; QUESTION SECTION:
;gnugu.de.                      IN      A

;; ANSWER SECTION:
gnugu.de.               300     IN      A       51.255.126.51

;; Query time: 27 msec
;; SERVER: 10.xx.yy.1#53(10.xx.yy.1)
;; WHEN: Sat Dec 04 18:32:06 CET 2021
;; MSG SIZE  rcvd: 53
---------------------------snip---------------------------

das lokale resolvin für SSL/TLS Zertifikate ist deaktiviert,
obwohl im log (scheibar) die Prüfung durchgeführt wird.

Ich lasse derzeit im Staging-Mode erstellen

Was kann ich unternehmen, um die Domains mit Zertifikaten auszustatten?
Danke
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: letsencrypt zertifikate erstellen - fehlschlag  [GELÖST]

Post by Alexander »

Besten Dank für die ausführliche Beschreibung.

Ursächlich ist das Folgende:
Ich lasse derzeit im Staging-Mode erstellen
Die Let's Encrypt Staging-API arbeitet hier anders als die Live-Umgebung (ich war eben auch überrascht :D). Sie akzeptiert bestimmte Typen von Anfragen nicht, wohingegen die Live-API sie problemlos verarbeiten kann.

Let's Encrypt Zertifikate über die Live-Umgebung zu beziehen klappt problemlos.

Ich habe jetzt für die kommende Version die notwendigen Änderungen umgesetzt, so dass die Staging-Umgebung dann auch wieder korrekt funktioniert.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
gnugu13
Posts: 2
Joined: Sat 4. Dec 2021, 17:57

Re: letsencrypt zertifikate erstellen - fehlschlag

Post by gnugu13 »

Danke vielmals,
darauf bin beim testen einfach nicht gekommen.
Im Live Modus funktioniert alles.
Danke für Eure grossartige Leistung
Locked