Letsencrypt "Local resolving checks failed"  [GELÖST]

Locked
alex9849
Posts: 32
Joined: Fri 1. Feb 2019, 08:09

Letsencrypt "Local resolving checks failed"

Post by alex9849 »

Hey

Ich habe bei mir folgendes Problem, wenn ich versuche ein ssl Zertifikat via Letsencrypt von KeyHelp generieren zu lassen.

Code: Select all

[31-Oct-2019 11:41:03] INFO  --> Apache: request lets encrypt cert
[31-Oct-2019 11:41:03] INFO  --> Apache: request for domain "alextest.***.***.net"
[31-Oct-2019 11:41:03] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[31-Oct-2019 11:41:03] INFO  --> Getting endpoint URLs.
[31-Oct-2019 11:41:03] INFO  --> Account "alextest" not registered yet.
[31-Oct-2019 11:41:03] INFO  --> Creating a new account.
[31-Oct-2019 11:41:03] INFO  --> Generate account keys.
[31-Oct-2019 11:41:04] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[31-Oct-2019 11:41:05] INFO  --> Requesting Key ID.
[31-Oct-2019 11:41:05] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[31-Oct-2019 11:41:05] INFO  --> Start certificate generation.
[31-Oct-2019 11:41:05] ERROR --> Apache: a lets encrypt error occurred: Local resolving checks failed for domain "alextest.***.***.net".
Woran könnte das liegen? In meiner Firewall sind die Ports 80 und 443 freigegeben und die DNS Einträge stimmen eigentlich auch.
KeyHelp wurde gestern mit der neusten Version auf einem frisch aufgesetzten Server installiert. Die einzige Besonderheit wäre, dass der Server hinter einer Firewall steht und eine interne und eine externe IP hat.

Edit: Das Webinterface ließ sich problemlos installieren und hat auch ein LetsEncrypt Zertifikat.

MfG

- alex9849
Last edited by alex9849 on Thu 31. Oct 2019, 14:09, edited 2 times in total.
alex9849
Posts: 32
Joined: Fri 1. Feb 2019, 08:09

Re: Letsencrypt "Local resolving checks failed"

Post by alex9849 »

Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: Letsencrypt "Local resolving checks failed"

Post by stfn116 »

bei mir war heute morgen zufällig eine Domain zur Erneuerung - lief ohne Probleme mit ACME2. ;)

Code: Select all

[31-Oct-2019 00:00:31] INFO  --> check domain "www.kundendomain123.de'
[31-Oct-2019 00:00:31] INFO  --> certificate is valid until 2019-11-29 22:01:07 (29 days left)
[31-Oct-2019 00:00:31] INFO  --> certificate is in renewal period
[31-Oct-2019 00:00:31] INFO  --> renew cert
[31-Oct-2019 00:00:31] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[31-Oct-2019 00:00:31] INFO  --> Getting endpoint URLs.
[31-Oct-2019 00:00:31] INFO  --> Account "XXXXXXX" already registered. Continue.
[31-Oct-2019 00:00:31] INFO  --> Requesting Key ID.
[31-Oct-2019 00:00:31] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[31-Oct-2019 00:00:33] INFO  --> Start certificate generation.
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Local resolving checks of domains successfully completed.
[31-Oct-2019 00:00:33] INFO  --> Requesting challenges for domain "www.kundendomain123.de".
[31-Oct-2019 00:00:33] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-order".
[31-Oct-2019 00:00:34] INFO  --> Start authorization process for "www.kundendomain123.de".
[31-Oct-2019 00:00:34] INFO  --> Deploy challenge.
[31-Oct-2019 00:00:34] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129
[31-Oct-2019 00:00:34] INFO  --> Notify CA that the challenge is ready.
[31-Oct-2019 00:00:34] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:36] INFO  --> Waiting for verification...
[31-Oct-2019 00:00:38] INFO  --> Verification successful.
[31-Oct-2019 00:00:38] INFO  --> Sending CSR.
[31-Oct-2019 00:00:38] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/finalize/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:42] INFO  --> Certificate received.
[31-Oct-2019 00:00:42] INFO  --> Store fullchain.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Store cert.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Store chain.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Store complete.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Rename from fullchain.pem.test -> fullchain.pem
[31-Oct-2019 00:00:42] INFO  --> Rename from cert.pem.test -> cert.pem
[31-Oct-2019 00:00:42] INFO  --> Rename from chain.pem.test -> chain.pem
[31-Oct-2019 00:00:42] INFO  --> Rename from complete.pem.test -> complete.pem
[31-Oct-2019 00:00:42] INFO  --> All done.
Attachments
Brower-Anzeige nach renew
Brower-Anzeige nach renew
ssl-cert-acme2.png (8.6 KiB) Viewed 6315 times
Last edited by stfn116 on Fri 1. Nov 2019, 09:24, edited 2 times in total.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: Letsencrypt "Local resolving checks failed"

Post by stfn116 »

alex9849 wrote: Thu 31. Oct 2019, 12:56 Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|
Mir ist gerade aufgefallen, dass

du subsub.sub.domain.net stehen hast, hast - daher die Frage wieder
was sagen die Logfiles
und stimmen die DNS-Records.

Wenn nicht lege einen Eintrag für *.sub.domain.net an, dann sollte der Userspace auch mit einem SSL-Zertifikat ausgestattet werden.


Des Weiteren gibt es seit Debian 10 -Buster, aktuell gar keine Firewall-Configuration, diese wird in einer der nächsten Versionen wieder implementiert. Derzeit geht alles über die Konsole.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
alex9849
Posts: 32
Joined: Fri 1. Feb 2019, 08:09

Re: Letsencrypt "Local resolving checks failed"

Post by alex9849 »

stfn116 wrote: Thu 31. Oct 2019, 17:09
alex9849 wrote: Thu 31. Oct 2019, 12:56 Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|
Mir ist gerade aufgefallen, dass

du subsub.sub.domain.net stehen hast, hast - daher die Frage wieder
was sagen die Logfiles
und stimmen die DNS-Records.

Wenn nicht lege einen Eintrag für *.sub.domain.net an, dann sollte der Userspace auch mit einem SSL-Zertifikat ausgestattet werden.


Des Weiteren gibt es seit Debian 10 -Buster, aktuell gar keine Firewall-Configuration, diese wird in einer der nächsten Versionen wieder implementiert. Derzeit geht alles über die Konsole.
Leider ist das auch nicht die Lösung des Problems. :/
Die Domain hab ich schon die ganze Zeit so eingestellt.
Aber das mit der Firewall ist gut zu wissen :)
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Letsencrypt "Local resolving checks failed"

Post by Alexander »

Im genannten Schritt versucht der Server diese Domain lokal zu erreichen. Das schlägt fehl, da die Domain nicht korrekt auflöst.
Du kannst das Problem näher untersuchen, indem du von deinem Server aus versucht die Domain zu erreichen:

Z.B. mit einem wget auf die Domain.

Eine Forensuche nach "Self check" sollte einige Ergebnisse zu Tage fordern.
(Vorher hieß die Zeile "Self check is unable to access token URI ..." Jetzt habe ich mich für die o.g. neue Bezeichnung entschieden.)

alex9849 wrote: Thu 31. Oct 2019, 12:56 Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|
Das ist für Debian 10 seit 19.2 so - alle anderen Version haben die Firewall-Verwaltung noch.
Eine Erwähnung fand unter anderem hier statt: https://www.keyhelp.de/news/keyhelp-19-2/
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
alex9849
Posts: 32
Joined: Fri 1. Feb 2019, 08:09

Re: Letsencrypt "Local resolving checks failed"  [GELÖST]

Post by alex9849 »

Ok wunderbar. Jetzt geht alles. Das Problem war, dass die externen IP-Adressen durch PF-Sense nicht innerhalb des Netzwerkes erreichbar waren.
Falls jemand das selbe Problem hat. Die Lösung ist in PF-Sense die NAT-Reflection anzuschalten.
Hier mehr dazu:
https://docs.netgate.com/pfsense/en/lat ... ction.html
Locked