Let's Encrypt Einrichtung bei Serverdomain schlägt fehl [GELÖST]

[ThomasTailor93]

Guten Abend liebe Gemeinde!

ich habe da ein kleines Problem mit Let's Encrypt für die Serverdomain. Wenn ich das Zertifikat einstelle finde ich nur noch im Log unter "Servermeldungen" folgendes:

23:08:36 - 13. Oktober 2016 vhosts changed
23:08:35 - 13. Oktober 2016 service certificates refreshed
23:08:35 - 13. Oktober 2016 missing certificate component for realm "panel"
23:08:35 - 13. Oktober 2016 error while acquiring lets encrypt certificate for server services

Das Zertifikat wird demnach nicht installiert. Auf meinem Development System funktioniert es wiederum tadellos. Hat da jemand eine Ahnung? Würde mich freuen

Viele Grüße

[Martin]

Hallo,

im "update.log" unter Panel-Aufgaben-Logs sollte sich dann eine Let's Encrypt Fehlermeldung finden lassen. Aus dieser sollten sich dann genauere Informationen entnehmen lassen.

Ist eine entsprechende Fehlermeldung vorhanden? (ggf. nochmal Let's Encrypt Serverdomain Zertifikat konfigurieren und nach 1-2 Minuten ganz unten im update.log nachsehen)

[ThomasTailor93]

Hallo,

ja, da ist tatsächlich eine Fehlermeldung. Hier ist der komplette Log:



[13-Oct-2016 23:08:01] INFO --> load tasks ... 1 found
[13-Oct-2016 23:08:01] DEBUG --> task type IDs: 810
[13-Oct-2016 23:08:01] INFO --> CRON_SSL_REFRESHSERVICE
[13-Oct-2016 23:08:01] DEBUG --> params: - no params -
[13-Oct-2016 23:08:01] DEBUG --> no lets encrypt certs found, we request a new one
[13-Oct-2016 23:08:01] DEBUG --> Using certificate authority "https://acme-v01.api.letsencrypt.org".
[13-Oct-2016 23:08:01] DEBUG --> Account already registered. Continue.
[13-Oct-2016 23:08:01] DEBUG --> Start certificate generation process for domains.
[13-Oct-2016 23:08:01] DEBUG --> Request callenge for "km11443-03.keymachine.de".
[13-Oct-2016 23:08:01] DEBUG --> Sending signed request to "/acme/new-authz".
[13-Oct-2016 23:08:02] DEBUG --> Got challenge token for "km11443-03.keymachine.de".
[13-Oct-2016 23:08:02] DEBUG --> Token stored at (Token entfernt, da ich nicht weiss ob Außenstehende den sehen sollten)
[13-Oct-2016 23:08:02] DEBUG --> Token should be available at (Token entfernt, da ich nicht weiss ob Außenstehende den sehen sollten)
[13-Oct-2016 23:08:02] DEBUG --> Sending request to challenge
[13-Oct-2016 23:08:02] DEBUG --> Sending signed request to (Token entfernt, da ich nicht weiss ob Außenstehende den sehen sollten)
[13-Oct-2016 23:08:03] DEBUG --> Verification ended with status "valid".
[13-Oct-2016 23:08:03] DEBUG --> Generate CSR.
[13-Oct-2016 23:08:03] DEBUG --> Sending signed request to "/acme/new-cert".
[13-Oct-2016 23:08:35] ERROR --> error while acquiring lets encrypt certificate for server services: Invalid HTTP code "500" as response to CSR. Response: {"type":"urn:acme:error:serverInternal","detail":"Error creating new cert","status":500}
[13-Oct-2016 23:08:35] ERROR --> missing certificate component for realm "panel" (complete file: "/etc/ssl/keyhelp/letsencrypt/keyhelp/km11443-03.keymachine.de/complete.pem" | chain file: "/etc/ssl/keyhelp/letsencrypt/keyhelp/km11443-03.keymachine.de/chain.pem"
[13-Oct-2016 23:08:35] DEBUG --> service certificates refreshed
[13-Oct-2016 23:08:35] DEBUG --> Apache: applyAllConfigChanges
[13-Oct-2016 23:08:35] DEBUG --> Apache: checkDirectories
[13-Oct-2016 23:08:35] DEBUG --> Apache: cleanAll
[13-Oct-2016 23:08:35] DEBUG --> Apache: cleanVhosts
[13-Oct-2016 23:08:35] DEBUG --> Apache: cleanPhpFpmPools
[13-Oct-2016 23:08:35] DEBUG --> Apache: cleanHtpasswd
[13-Oct-2016 23:08:35] DEBUG --> Apache: getUserIdsWithModifiedDomains
[13-Oct-2016 23:08:35] DEBUG --> Apache: no config file is marked for refresh, we have nothing more to do...
[13-Oct-2016 23:08:35] DEBUG --> Apache: reloadApache
[13-Oct-2016 23:08:35] DEBUG --> Apache: syntax ok
[13-Oct-2016 23:08:35] INFO --> Apache: reloading apache
[13-Oct-2016 23:08:35] DEBUG --> Apache: reloadPhpFpm
[13-Oct-2016 23:08:35] INFO --> Apache: reloading php-fpm

Explizit kann ich mit der Fehlermeldung nichts anfangen. Ich sehe nur, dass die Dateien complete.pem und chain.pem nicht vorhanden sind.

Viele Grüße

[Martin]

Hallo,

ich kann sehen, dass Sie Kunde unseren Unternehmens sind. Sofern Sie hier auf kcm.keyweb.de ein Ticket eröffnen, so würde ich dieses Problem gern einmal genauer untersuchen.

Ein Error 500 deutet auf eine Fehlkonfiguration hin, wurden hier ggf. manuelle Änderungen an der Webserverkonfiguration vorgenommen (welche dann ggf. mit chattr +i gesichert wurden)?

Davon abgesehen kann es aktuell bei Serverhostnamen unter der keymachine.de zu folgender Fehlermeldung kommen:

Code: Select all

[14-Oct-2016 01:05:05] ERROR --> error while acquiring lets encrypt certificate for server services: Invalid HTTP code "429" as response to CSR. Response: {"type":"urn:acme:error:rateLimited","detail":"Error creating new cert :: Too many certificates already issued for: keymachine.de","status":429}

Da ein solcher Hostname quasi eine Subdomain zu keymachine.de ist, so geht Let's Encrypt aktuell davon aus, dass hier bereits zu viele Zertifikate für diese Subdomain existieren.

Dieses Problem war uns bereits bei den Tests aufgefallen und entsprechend habe ich für die fragliche Domain "keymachine.de" die Aufnahme in die Public Suffix List beantragt, welche dieses Problem behebt. Let's Encrypt beachtet diese Liste. (https://publicsuffix.org)
Die Aufnahme wurde nun gestern auch bestätigt, es kann allerdings sein, dass Let's Encrpyt noch einige Tage benötigt um die aktualisierte Version der Liste in die eignen Datenbanken aufzunehmen.

[ThomasTailor93]

Hallo,

korrekt

Das Problem hat sich heute von selbst erledigt. Ich hatte gerade eben erneut die Zertifikate "beantragt" (einfach nur nochmal auf "Speichern" geklickt) und jetzt lief es durch. Lag wahrscheinlich wirklich daran, dass zu viele Zertifikate für keymachine.de beantragt wurden.

Ich bedanke mich für die schnelle Hilfe!

Viele Grüße