Panel ungültiges Zertifikat nach Hostname Änderung [GELÖST]

[juergschwarz]

---------------------------------------------------------------------------

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt. (Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)

Ja

Server-Betriebssystem + Version (z.B. Ubuntu 20.04)

Debian 11.2

Eingesetzte Server-Virtualisierung-Technologie (z.B. keine, OpenVZ, KVM, XEN, etc.)

KVM

KeyHelp-Version + Build-Nummer (z.B. 22.0 (Build 2366))

21.3 (2344)

Problembeschreibung / Fehlermeldungen

Dazu muss ich ausholen. Ich habe/hatte 2 Server am laufen. Den Hauptserver mail.domain.ch und als Backup-Server den mailnew.domain.ch. Alles tip top. Damit ich nun den Hauptserver mail.domain.ch upgraden konnte, habe ich alle Websites und Emails auf den Backup-Server per Restore eingespielt. Das funktionierte für alle Domains tadellos. Diese laufen auch jetzt noch perfekt.

Was die Email-Zugänge betrifft klappt das leider nicht, wenn der Zugang nun eben mailnew.domain.ch heissen soll. Damit das geht, habe ich den Backup-Server umbenannt nach mail.domain.ch. Und hier kommt mein Problem. Ich komme nicht mehr auf das Panel. Ich habe natürlich den DNS Eintrag auf die neue IP angepasst. Auch den Reverse-DNS habe ich bei Hetzner auf mail.domain.ch gesetzt. Jetzt nach 6 h wurde mir dieser auch richtig per Ping angezeigt. Ich habe auch die Keyhelp-Toolbox benutzt um die Zertifikate neu zu generieren. Ich finde jedoch nirgends eine Meldung zur einem Zertifikat für das Panel.

Erwartetes Ergebnis

Dass das Panel mit gültigem Zertifikat läuft.

Tatsächliches Ergebnis

Ungültiges Zertifikat.

Schritte zur Reproduktion

Hostname umbenennen. DNS Anpassen.

Zusätzliche Informationen (kürzlich durchgeführte Änderungen am Server) / Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.)

[OlliTheDarkness]

Sicherheit >> SSL/TLS-Zertifikate >> Serverdienste absichern

Auf default setzen, 5 min warten, danach wieder auf LE setzen und nach ein wenig Geduld sollte wieder alles ok sein.

Sollte eig. funktionieren.

[juergschwarz]

Sicherheit >> SSL/TLS-Zertifikate >> Serverdienste absichern

Auf default setzen, 5 min warten, danach wieder auf LE setzen und nach ein wenig Geduld sollte wieder alles ok sein.

Sollte eig. funktionieren.

Danke - hast mein Sonntag gerettet NEIN - ich komme ja NICHT auf das Panel. Wie mach ich das per Komandozeile??

[Tobi]

Nutze deine IP

[juergschwarz]

Nutze deine IP

Da kommt derselbe Fehler. Ungültiges Zertifikat.

Aber ich habe einen Weg gefunden. Man benutzt den Inkognito Modus des Browsers. Dann kommt der Hinweis immer noch, jedoch nach dem Klick auf "Erweitert" bekommt man die Auswahl "Weiter zu <IP> (unsicher). Damit hats dann geklappt.

Daaanke

[Alexander]

Hallo,

im Hilfetext zur Hostnamenänderung steht eigentlich alles erklärt, was mit den Zertifikaten passiert.

Hostname *
Hier können Sie den Hostnamen dieses Servers ändern und damit die Domain, unter der Sie auf das Control Panel zugreifen können.
Um einen reibungslosen Übergang zwischen einer Aktualisierung des Hostnamens zu gewährleisten, werden Ihre Let's Encrypt-Zertifikate, die zum Schutz von Serverdiensten verwendet werden, auf ein vorläufiges selbstsigniertes Zertifikat umgestellt. Sobald Ihr neuer Hostname vollständig auflösbar ist, können Sie über die SSL/TLS-Zertifikatsverwaltung wieder zu Let's Encrypt wechseln.
Ein Backup aller geänderten Konfigurationsdateien finden Sie unter /home/keyhelp/keyhelp.backup/before_hostname_change/.
Bitte beachten Sie: Benutzerdefinierte DNS-Einstellungen werden nicht geändert!

[juergschwarz]

Hallo,

im Hilfetext zur Hostnamenänderung steht eigentlich alles erklärt, was mit den Zertifikaten passiert.

Hostname *
Hier können Sie den Hostnamen dieses Servers ändern und damit die Domain, unter der Sie auf das Control Panel zugreifen können.
Um einen reibungslosen Übergang zwischen einer Aktualisierung des Hostnamens zu gewährleisten, werden Ihre Let's Encrypt-Zertifikate, die zum Schutz von Serverdiensten verwendet werden, auf ein vorläufiges selbstsigniertes Zertifikat umgestellt. Sobald Ihr neuer Hostname vollständig auflösbar ist, können Sie über die SSL/TLS-Zertifikatsverwaltung wieder zu Let's Encrypt wechseln.
Ein Backup aller geänderten Konfigurationsdateien finden Sie unter /home/keyhelp/keyhelp.backup/before_hostname_change/.
Bitte beachten Sie: Benutzerdefinierte DNS-Einstellungen werden nicht geändert!

Bildschirmfoto vom 2022-03-14 09-53-11.png

Ja klar. Das habe ich natürlich gelesen und verstanden. Nur, warum bekomme ich dann beim selbstsignierten zertifikat trotzdem diesen Hinweis betreffen Zertifikatsfehler? nachträglich konnte ich sehen, dass er ein selbstsigniertes erstellt hat. Aber eben ...

[Alexander]

Selbst-signierte Zertifikate erzeugen immer eine Zertifikatswarnung (es sei denn man definiert auf seinem System Ausnahmen, aber wer macht das schon).

Normalerweise ruft man über die URL das Panel auf - dann erscheint die Zertifikatswarnung (da selbst-signiertes Zertifikat) - Klickt dann irgendwo auf

Chrome: "Erweitert" -> Weiter zu "meinkeyhelp.de" (unsicher)
Firefox: "Erweitert..." -> Risiko akzeptieren und fortfahren
Opera: "Help me understand" -> Proceed to "meinkeyhelp.de" (unsafe)
etc...

(Sollte HSTS aktiviert sein, muss ggf. zuvor noch der Browsercache geleehrt werden).

Anschließend aktivierst du wieder Let's Encrypt: "Sicherheit >> SSL/TLS-Zertifikate >> Serverdienste absichern"
und kannst nach 1 minute (korrekte Auslösung des neuen Hostnamens vorrausgesetzt) wieder ohne Zertifikatswarnung auf KeyHelp zugreifen.

[Jolinar]

Sollte HSTS aktiviert sein, muss ggf. zuvor noch der Browsercache geleehrt werden

Je nach verwendetem Browser reicht Cache löschen nicht aus, da muß man HSTS Einstellungen händisch zurücksetzen, siehe zB. hier:
https://der-linux-admin.de/2016/08/brow ... -loeschen/

[MLan]

Die KH panel.domain.de hat standardmäßig aber gar kein HSTS.

[Alexander]

Sicher das Der Link noch so aktuell ist? "Veröffentlicht am 10. August 2016"
Bei Chrome hatte ich zumindest keine Probleme mit Cache leeren (mit anderen Browsern hab ich es nicht probiert)

HSTS stand lange zeit auskommentiert in der /etc/apache2/keyhelp/keyhelp.conf, mit kommenden Update ist es dann aber standardmäßig aktiviert.

[Jolinar]

Sicher das Der Link noch so aktuell ist? "Veröffentlicht am 10. August 2016"
Bei Chrome hatte ich zumindest keine Probleme mit Cache leeren (mit anderen Browsern hab ich es nicht probiert)

Ich kann jetzt nicht für alle Browser sprechen, aber ich nutze Opera (basiert ja auf Chromium) und da muß ich auch heute noch HSTS Einstellungen manuell zurücksetzen (opera://net-internals/#hsts)