Let's Encrypt in Version 19

[macoku]

Hallo zusammen,
ich habe probleme mit letsencrypt in keyhelp, egal was ich mache, der Server Zertifikat zeigt ein Fehler an.

Domainseitig aktuallisert er es, aber den Hostnamen nicht mehr.
Hostname und IP-Adresse alles wird sauber aufgelöst.

Fehlermeldung:

Code: Select all

Bei der routinemäßigen Überprüfung der SSL/TLS-Zertifikate traten folgende Probleme auf:

------------
Certificate name: hostname.domainname.de (Let's Encrypt)
Message: Self check is unable to access token URI "http://domainname.de/.well-known/acme-challenge/HruGFjeRHZfv25gnu_oy4p6HDaF9o5yhxFw_YOeJ800" | Hint: The local lookup of this URI failed. Either the domains does not point to the server, or there is an DNS resolve error. Try to perform a e.g. wget call to this URI and see, what kind of errors are thrown.
------------

Teilweise hat auch Postfix damit ein Problem:

Code: Select all

postfix/smtpd[32083]: warning: TLS library problem: error:02001002:system library:fopen:No such file or directory:bss_file.c:175:fopen('/etc/ssl/keyhelp/mail-ca.crt','r'):

Code: Select all

apache2ctl configtest
AH00526: Syntax error on line 35 of /etc/apache2/keyhelp/keyhelp.conf:
SSLCertificateFile: file '/etc/ssl/keyhelp/keyhelp.pem' does not exist or is empty
Action 'configtest' failed.
The Apache error log may have more information.

Das ganze fing an,nach dem automatischen Update von KeyHelp an. Vorher ging alles problemlos.

Was kann ich tun, um das Problem zu Lösen?

[Alexander]

Hallo,

Im ersten geposteten Log-Auszug wird folgender Hinweis gegeben:

Hint: The local lookup of this URI failed. Either the domains does not point to the server, or there is an DNS resolve error. Try to perform a e.g. wget call to this URI and see, what kind of errors are thrown.

Dies bitte einmal prüfen.

[macoku]

Die Domain ist auflösbar, auch der Link ist ausführbar:
http://fqdn.domain.de/.well-known/acme- ... Qw_YOeJ900

Code: Select all

[14-Aug-2019 15:58:02] INFO  --> starting ssl certification maintenance
[14-Aug-2019 15:58:02] INFO  --> checking (normal) SSL/TLS certificates
[14-Aug-2019 15:58:02] INFO  --> ... skipped
[14-Aug-2019 15:58:02] INFO  --> checking lets encrypt certificates
[14-Aug-2019 15:58:02] INFO  --> remove unused accounts / certificates
[14-Aug-2019 15:58:02] INFO  --> check domain "fqdn.domain.de'
[14-Aug-2019 15:58:02] INFO  --> certificate is valid until 2019-09-19 23:00:20 (36 days left)
[14-Aug-2019 15:58:02] INFO  --> check domain "fqdn.domain.de'
[14-Aug-2019 15:58:02] INFO  --> certificate file does not exist
[14-Aug-2019 15:58:02] INFO  --> renew cert
[14-Aug-2019 15:58:02] INFO  --> Using certificate authority "https://acme-v01.api.letsencrypt.org".
[14-Aug-2019 15:58:02] INFO  --> Using terms of service "https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf".
[14-Aug-2019 15:58:02] INFO  --> Account already registered. Continue.
[14-Aug-2019 15:58:02] INFO  --> Start certificate generation process for domains.
[14-Aug-2019 15:58:02] INFO  --> Request callenge for "fqdn.domain.de".
[14-Aug-2019 15:58:02] INFO  --> Sending signed request to "/acme/new-authz".
[14-Aug-2019 15:58:03] INFO  --> Got challenge token for  "fqdn.domain.de".
[14-Aug-2019 15:58:03] INFO  --> Token stored at "/home/keyhelp/www/.well-known/acme-challenge/HruGFjeRHZfv25gmu_oy4p6HDaD9o5yhxQw_YOeJ900".
[14-Aug-2019 15:58:03] INFO  --> Token should be available at "http://fqdn.domain.de/.well-known/acme-challenge/HruGFjeRHZfv25gmu_oy4p6HDaD9o5yhxQw_YOeJ900".
[14-Aug-2019 15:59:03] ERROR --> a lets encrypt error occurred: Self check is unable to access token URI "http://fqdn.domain.de/.well-known/acme-challenge/HruGFjeRHZfv25gmu_oy4p6HDaD9o5yhxQw_YOeJ900" | Hint: The local lookup of this URI failed. Either the domains does not point to the server, or there is an DNS resolve error. Try to perform a e.g. wget call to this URI and see, what kind of errors are thrown.
[14-Aug-2019 15:59:03] INFO  --> send notification to admin "sueremail" (Alternate email: email@email.com)
[14-Aug-2019 15:59:03] INFO  --> finished

[Tobi]

IPV4 & IPV6?

[macoku]

IPV4 & IPV6?

Wie meinst du das?

IPv4 und ipv6 ist aktiv.

[OlliTheDarkness]

IPV4 & IPV6?

Wie meinst du das?

IPv4 und ipv6 ist aktiv.

Er meint das du auch beide (IP4 & IP6) auf den Server leiten musst wenn sie am Server aktiv sind.
LE erkennt beim erstellen beide IP´s und versucht dann natürlich auch beide zu verifizieren.

Aber das ist nicht das Problem denke ich weil in dem Fall gäbe es eine andere (aussagekräftigere) Fehlermeldung.
Zumindest war es in der Vergangenheit so.

Korrigiere mich falls du es anders meintest Tobi ^^

[Tobi]

Olli der Tobiversteher

[OlliTheDarkness]

Olli der Tobiversteher

Immer
Der Mann dem die Tobi´s vertrauen hahaha

[Alexander]

Die Domain ist auflösbar, auch der Link ist ausführbar:
http://fqdn.domain.de/.well-known/acme- ... Qw_YOeJ900

Es spielt keine Rolle ob der Link in deinem Browser aufrufbar ist, für den "self-check" ist die lokale Auflösung relevant.

Der self-check prüft lokal ob die URL aufgerufen werden kann. Deswegen der der Hinweis mit wget. Versuche die Domain lokal zu kontaktieren und schau dir die Fehlermeldung an.

[macoku]

Hi,

fehlermeldung über ipv6: failed: Connection timed out.

Fehlerferi über ipv4: connected.

Code: Select all

root@ubuntu~ # wget https://fqdn.de/.well-known/acme-challenge/HruGFjeRHZfv25gmu_oy4p6HDaD9o6yhxQw_YOeJ900
--2019-08-16 17:02:30--  https://fqdn.de/.well-known/acme-challenge/HruGFjeRHZfv25gmu_oy4p6HDaD9o6yhxQw_YOeJ900
Resolving fqdn.de (fqdn.de)... 2a01:2f8:9c1c:d0ac::2, 1.1.1.1
Connecting to fqdn.de (fqdn.de)|2a01:2f8:9c1c:d0ac::2|:443... failed: Connection timed out.
Connecting to fqdn.de (fqdn.de)|1.1.1.1|:443... connected.
ERROR: cannot verify fqdn.de's certificate, issued by ‘CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US’:
  Issued certificate has expired.
To connect to fqdn.de insecurely, use `--no-check-certificate'.

[Tobi]

Genau das meinte ich.

Also entweder AAAA-Record setzen oder IPV6 auf der Maschine komplett deaktivieren.

Dann klappt's auch mit LE.

[OlliTheDarkness]

Tod und Hass der IP6

Und bevor Tobi mir jetzt sagt das ip6 und ich uns angefreundet hatten sei gesagt , wir sind nach einigen zwischenFällen geschieden worden xD
Härtefall Scheidung!

[Tobi]

Tod und Hass der IP6

Und bevor Tobi mir jetzt sagt das ip6 und ich uns angefreundet hatten sei gesagt , wir sind nach einigen zwischenFällen geschieden worden xD
Härtefall Scheidung!

Sozusagen Trennung wegen unüberbrückbaren Differenzen

[OlliTheDarkness]

Tod und Hass der IP6

Und bevor Tobi mir jetzt sagt das ip6 und ich uns angefreundet hatten sei gesagt , wir sind nach einigen zwischenFällen geschieden worden xD
Härtefall Scheidung!

Sozusagen Trennung wegen unüberbrückbaren Differenzen

Genau so

[macoku]

ich habe im DNS einen AAAA eintrag hinterlegt und jetzt ist der server nicht erreichbar.

Gibt es eine Reparaturbefehl über Terminal für keyhelp um letscrypt neu zu generieren oder bzw. ipv6 auf die schnelle zu deaktivieren?

Bin dankbar für schnellen input.