Let's Encrypt Fehler bei nur einer Domain unter vielen [GELÖST]

[Tobi_BB21]

Let's encrypt auto renewal funktioniert bei einer Domain nicht, bei allen anderen Problemlos. Woran kann das liegen? Es funktionierte in der Vergangenheit und an der Domain wurde nichts gemacht.

Das ist die Ausgabe der Log-Datei:
(Domain durch "Domainname" ersetzt)

Code: Select all

[09-Jan-2019 06:00:10] DEBUG --> Got challenge token for  "Domainname".
[09-Jan-2019 06:00:10] DEBUG --> Token stored at "/home/keyhelp/www/.well-known/acme-challenge/lJW7VR6yan8D49ZCzqT_Vm0J4ZriRdM42WFpeRbq0Mw".
[09-Jan-2019 06:00:10] DEBUG --> Token should be available at "http://Domainname/.well-known/acme-challenge/lJW7VR6yan8D49ZCzqT_Vm0J4ZriRdM42WFpeRbq0Mw".
[09-Jan-2019 06:00:10] ERROR --> a lets encrypt error occurred: Self check is unable to access token uri "http://Domainname/.well-known/acme-challenge/lJW7VR6yan8D49ZCzqT_Vm0J4ZriRdM42WFpeRbq0Mw"

Ggfls. hilft ja Domain löschen und neu hinzufügen, aber vielleicht geht es auch ohne diesen Kniff. Hat jemand eine Idee?

[Alexander]

Wie die Meldung andeutet kann das Script die angegebene URL nicht erreichen.

Du kannst selbst einmal Testen, ob du z.B. mit wget auf die angegebene URL zugreifen kannst. Es sollte im Idealfall eine Fehlermeldung erscheinen, mit Hilfe sich die Ursache genauer eingrenzen lässt.

Code: Select all

wget http://Domainname/.well-known/acme-challenge/lJW7VR6yan8D49ZCzqT_Vm0J4ZriRdM42WFpeRbq0Mw

[Tobi_BB21]

Vielen Dank für die Antwort.

Das wget der Datei führte zu 404 nicht gefunden. In welchem Verzeichnis sollten die auf dem Server liegen bzw. wie bekomme ich das "neu"? Domain löschen und neu hinzufügen hat nicht geholfen.

[Enigma]

Physikalisch liegen die Dateien in /home/keyhelp/www/.well-known/acme-challenge/. Möglicherweise wird die HTTP-Anfrage aber auch einfach umgeleitet. Das passiert leicht bei Nutzung als Proxy, ist aber wohl auch bei unglücklichen .htaccess-Rewrites etc. denkbar.

Gruß
Jan

[Tobi_BB21]

Ja, ich verwende einen Reverse Proxy zur Ansteuerung von Etherpad.

Ich habe jetzt Folgendes gemacht:
1. Domain gelöscht
2. Dateien der Domain auf dem Server gelöscht (home/user/name/www/domain.tld)
3. Domain wieder angelegt, Default-page ist erschienen
4. Zertifikat neu abgerufen (KeyHelp Sicherheitseinstellungen)
= gleicher Fehler, .well-known... nicht gefunden.

Der String ist in dem Verzeichnis /home/keyhelp/www/.well-known/acme-challenge/

Sollte ich ihn dort einmal löschen?

[Tobi_BB21]

Der Abruf schlägt zwar fehl (gleicher Fehler), dennoch hat die Domain jetzt das "alte" Zertifikat wieder; also das vor dem Löschen der Domain...!?

[Enigma]

Die Domain wird aber auf den richtigen Server geroutet (Nameservereinträge)? Vorher lässt sich auch kein Zertifikat anlegen.

Gruß
Jan

[Tobi_BB21]

Ja natürlich; sie hat ja wieder ein korrektes Zertifikat, eben nur das alte, welches in 2 Tagen abläuft.

[Tobi_BB21]

Ich dachte ja, ich lösche das alte Zertifikat, indem ich die Domain lösche und neu aufschalte. Allerdings wird das alte wieder benutzt und es lässt sich nach wie vor kein neues generieren.

[Enigma]

Bist Du Keyweb-Kunde? Dann könntest Du mal beim Support nachfragen.

Irgendeinen Grund muss es ja aber geben, dass die .well-known-URL einen 404 liefert. Ist die Datei im genannten Verzeichnis vorhanden? Gibt es definitiv keine Weiterleitung?

In der Datei /etc/apache2/conf-available/acme.conf sollte Folgendes zu finden sein:

Code: Select all

Alias "/.well-known/acme-challenge" "/home/keyhelp/www/.well-known/acme-challenge"
<Directory "/home/keyhelp/www/.well-known/acme-challenge">
    Require all granted
</Directory>

Eingebunden ist dies in der /etc/apache2/apache2.conf (ich nutze Ubuntu 18.04) mittels

Code: Select all

IncludeOptional conf-enabled/*.conf

(dort liegt ein entsprechender Symlink). Könnte da bei Dir etwas durcheinandergeraten sein?

Gruß
Jan

[Tobi_BB21]

Hab gerade nachgeschaut. Die Datei gibt es und die anderen beiden Einstellungen ist exakt so!

Ich kann auch eine neue Domain aufschalten und erhalte ein korrektes Zertifikat. Nur für die eine bestimmte Domain nicht. Dann ich die Domain irgendwie so löschen, dass ich sie - wie eine neue - nochmal neu aufschalten kann?

In KH gelöscht, Verzeichnis gelöscht und alles neu habe ich schon versucht: Dann hat die Domain wieder das alte (noch kurze Zeit gültige) Zertifikat. Kann man dieses Zertifikat irgendwie löschen? Vielleicht "zieht" KH dann ein neues für diese Domain.

[Tobi_BB21]

OK, es lag wohl an Let's Encrypt. Beim nochmaligen manuellen Auslösen wurde ein neues Zertifikat korrekt erstellt und eingebunden.

Damit gelöst, wenn auch der Grund noch schleierhaft ist.

Vielen Dank für die Antworten!

[Enigma]

Ja, ich verwende einen Reverse Proxy zur Ansteuerung von Etherpad.

Um das Problem in Zukunft zu vermeiden, solltest Du, sofern nicht bereits geschehen, bei der Erstellung des Proxy den URL-Pfad /.well-known/ oder zumindest /.well-known/acme-challenge/ ausnehmen:

Code: Select all

ProxyPass /.well-known/ !
ProxyPass / https://deine-zieldomain.tld/
ProxyPassReverse / https://deine-zieldomain.tld/

Gruß
Jan

[Tobi_BB21]

Vielen Dank! Hab es so bei allen Domains mit RP geändert bzw. hinzugefügt.