Let`s Encrypt und XYZ Domain [GELÖST]

[MrUnknownDE]

Hey,


Mein Freund und ich habe uns eine frisch neue Keyhelp Instanz (Debian 9) aufgesetzt mit der Domain srv-01.andreasfink.xyz
Nur seit der Aufsetzung der Instanz wird durch LE die Webpanal Domain sowie die ganzen Dienste nicht abgesichert.Was könnte da der Fehler sein?

Fehler Code von der E-Mail

Code: Select all

Certificate name: srv-01.andreasfink.xyz (Let's Encrypt)
Message: Verification ended with an error. Response: {"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:connection","detail":"Fetching https:\/\/srv-01.andreasfink.xyz\/.well-known\/acme-challenge\/isnp9wRdl449kuS-EhO8CvVR3LfswZ37D8MB4EXTpMc: Timeout during connect (likely firewall problem)","status":400},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/9WW9wvtBdLezSyq9ptMJmX8B_6whWwlw6n0gsMO93_k\/18807498852","token":"isnp9wRdl449kuS-EhO8CvVR3LfswZ37D8MB4EXTpMc","validationRecord":[{"url":"http:\/\/srv-01.andreasfink.xyz\/.well-known\/acme-challenge\/isnp9wRdl449kuS-EhO8CvVR3LfswZ37D8MB4EXTpMc","hostname":"srv-01.andreasfink.xyz","port":"80","addressesResolved":["159.69.114.203","2a01:4f8:c010:2b82::"],"addressUsed":"2a01:4f8:c010:2b82::"},{"url":"http:\/\/srv-01.andreasfink.xyz\/.well-known\/acme-challenge\/isnp9wRdl449kuS-EhO8CvVR3LfswZ37D8MB4EXTpMc","hostname":"srv-01.andreasfink.xyz","port":"80","addressesResolved":["159.69.114.203","2a01:4f8:c010:2b82::"],"addressUsed":"159.69.114.203"},{"url":"https:\/\/srv-01.andreasfink.xyz\/.well-known\/acme-challenge\/isnp9wRdl449kuS-EhO8CvVR3LfswZ37D8MB4EXTpMc","hostname":"srv-01.andreasfink.xyz","port":"443","addressesResolved":["159.69.114.203","2a01:4f8:c010:2b82::"],"addressUsed":"2a01:4f8:c010:2b82::"}]}

Vielen Dank schonmal im Vorraus.

Mit freundlichen Grüßen
Johannes K. | MrUnknownDE

[stfn116]

funktioniert IPv6 bzw. das Routing?

AAAA-DNS Einträge soweit auch korrekt?


bei mir hat es die Anpassung des neigh Parameters gebracht.



Folgende Zeile in /etc/network/interfaces ergänzen:
up ip -6 neigh replace fe80::1 lladdr 00:aa:bb:cc:ff:ee dev eth0 nud permanent (Werte beim Betreiber erfragen)

oder IPv6 komplett deaktiveren. Danach sollte die LE Zertifikatserstellung klappen.

[Padaru]

hast du jetzt schon was geändert? beim Aufruf deiner Domain bekomme ich ein valides Zertifikat

[AndreasFink]

Jain, ich habe von Hand ein Zertifikat erstellt, so gehts auch .

[macoku]

Jain, ich habe von Hand ein Zertifikat erstellt, so gehts auch .

Hi, kannst mir bitte sagen, wie du per Hand das erstellt hast? Die Befehle dazu wären nett. Danke.

[AndreasFink]

Sorry, habs komplett nicht mitbekommen, dass Du hier geantwortet hast. Ich habe mir per Certbot eine Wildcard erstellt -> https://medium.com/@saurabh6790/generat ... 3e432794d7
Bei weiteren Fragen einfach ne email an andreas@andreasfink.xyz schicken

[Tobi]

Jain, ich habe von Hand ein Zertifikat erstellt, so gehts auch .

Hi, kannst mir bitte sagen, wie du per Hand das erstellt hast? Die Befehle dazu wären nett. Danke.

Du kannst auf deinem Server certbot-auto installieren und starten. Dann das Zertifikat für eine der aufgelisteten Domains beantragen aber keine Änderungen an den Apache Einstellungen vornehmen (lassen).
Nach erfolgreicher Beantragung bekommst du den Pfad zum Zertifikat angezeigt.
Diese Datei mit nano öffnen und den gesamten Inhalt entsprechend in KeyHelp unter SSL Verwaltung ==> neues Zertifikat anlegen, in die Felder reinkopieren.
Das Zertifikat kannst du anschließend der passenden Domain manuell zuweisen.

[superjogi]

Jain, ich habe von Hand ein Zertifikat erstellt, so gehts auch .

Hi, kannst mir bitte sagen, wie du per Hand das erstellt hast? Die Befehle dazu wären nett. Danke.

Du kannst auf deinem Server certbot-auto installieren und starten. Dann das Zertifikat für eine der aufgelisteten Domains beantragen aber keine Änderungen an den Apache Einstellungen vornehmen (lassen).
Nach erfolgreicher Beantragung bekommst du den Pfad zum Zertifikat angezeigt.
Diese Datei mit nano öffnen und den gesamten Inhalt entsprechend in KeyHelp unter SSL Verwaltung ==> neues Zertifikat anlegen, in die Felder reinkopieren.
Das Zertifikat kannst du anschließend der passenden Domain manuell zuweisen.

Ich habe dies auch gerade verwendet, und es funktionierte sehr gut, nachdem das Erstellen eines letsencrypt Zertifikates bei einer Domain die gerade umgestellt wurde nicht funktioniert hat:

apt-get update
apt-get install python-minimal
python --version
apt-get install git-core
git --version

cd /opt
git clone https://github.com/certbot/certbot.git
cd certbot && ./certbot-auto

Im Folder /etc/letsencrypt/live/DOMAIN/ finde man verschiedene Zertifikate:
cert.pem
chain.pem
fullchain.pem
privkey.pem

Ich habe dann getestet und die richtige Reihenfolge für den Upload ist: privkey.pem, cert.pem, fullchain.pem
Dann in der Domain zuordnen.

Ich weiß nicht, ob hier dann auch schon ein autorenew funktioniert. Vielleicht kann dazu jemand noch eine Info geben.
Ansonsten kucke ich dann auch hier weiter unter renew: https://www.howtoforge.com/how-to-manag ... h-certbot/

[Martin]

Hallo,

ein autorenew wird auf diese weise nicht gehen.

Certbot halte ich auf einem KeyHelp System grundsätzlich nicht für empfehlenswert, da KeyHelp seinen eigenen Mechanismus mitliefert. Nur für wenige (manuell konfigurierte) Spezialfälle wäre hier der Certbot ggf. interessant.

Auch bei .xyz Domains kann, sofern der DNS korrekt konfiguriert ist, der KeyHelp Mechanismus für den Bezug normaler Let's Encrypt Zertifikate genutzt werden (nutze hier selbst einen .xyz Domain für welche das KeyHelp System auch der authoritative Nameserver ist)