letsencrypt - was stimmt da nicht?

smithers · Post by **smithers** » Tue 29. Mar 2022, 14:47

Hallo und guten Tag,

ich betreibe einen Debian Server mit apache2.4 und keyhelp als Admin-Tool. Alle Domains habe ich mit Zertifikaten von letzsencrypt abgesichert mit zwangsweiser Umleitung zu https.

Seit heute ist jedoch keine einzige der Domains mehr aufrufbar und auch die Keyhelp Admin-Oberfläche will sich mir nicht mehr zeigen.

Fehlermeldung des Browsers: ERR_SSL_PROTOCOL_ERROR

Komisch finde ich auch, dass heute morgen der apache down war. Ich habe aber seit Tagen keine Änderungen mehr am Server vorgenommen.

Den log-Dateien kann ich leider keine Fehlermeldungen entlocken (oder ich habe mir nicht die richtigen Dateien angeschaut). Die ssl-maintenance.log verrät mir, dass alle Zertifikate noch bis Juni Gültigkeit haben.

Kann ich keyhelp per Konsole umkonfigurieren, so dass ich temporär mal ssl für alle Domains deaktiviere?

Post by **Jolinar** » Tue 29. Mar 2022, 14:51

Auch wenn es banal klingen mag, hast du den Server mal neugestartet?

smithers · Post by **smithers** » Tue 29. Mar 2022, 15:18

Ich halte mich mit reboot immer zurück, aber habe grad mal einen gemacht. Keine Änderung. Leider.

Post by **Jolinar** » Tue 29. Mar 2022, 15:20

Was sagt denn:

Code: Select all

systemctl status apache2

Was sagt das Webserverlog?

smithers · Post by **smithers** » Tue 29. Mar 2022, 15:29

in der error.log hab ich jetzt was gefunden

Code: Select all

[Tue Mar 29 15:11:36.642460 2022] [ssl:warn] [pid 2289:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.642813 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov  5 20:25:17 2021 GMT / notafter: Nov  3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.642818 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Tue Mar 29 15:11:36.665221 2022] [ssl:warn] [pid 2291:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.665336 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov  5 20:25:17 2021 GMT / notafter: Nov  3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.665342 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling

OlliTheDarkness · Post by **OlliTheDarkness** » Tue 29. Mar 2022, 16:58

smithers wrote: ↑Tue 29. Mar 2022, 15:29 in der error.log hab ich jetzt was gefunden

Code: Select all

[Tue Mar 29 15:11:36.642460 2022] [ssl:warn] [pid 2289:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.642813 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov  5 20:25:17 2021 GMT / notafter: Nov  3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.642818 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Tue Mar 29 15:11:36.665221 2022] [ssl:warn] [pid 2291:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.665336 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov  5 20:25:17 2021 GMT / notafter: Nov  3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.665342 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling

Kein wirklicher Fehler, den findest auf jedem Server.
Der bringt dich bei deinem Problem also nicht weiter.

Code: Select all

/var/log/apache2
/var/log/apache2/keyhelp
/var/log/php7.4-fpm.log
/var/log/keyhelp

smithers · Post by **smithers** » Tue 29. Mar 2022, 17:22

verdammt.

Die error.log der keyhelp-user sind leer

Auch sonst kann ich nirgends Fehlerlogs erkennen....

/var/log/apache2
/var/log/apache2/keyhelp
/var/log/php7.4-fpm.log
/var/log/keyhelp

/var/log/apache2 --> error.log siehe oben
/var/log/apache2/keyhelp --> alle log leer
/var/log/php7.4-fpm.log --> kein Fehlereintrag
/var/log/keyhelp --> keine Fehlereinträge

Post by **Jolinar** » Tue 29. Mar 2022, 17:54

Hängt da eventuell irgendeine externe Firewall dazwischen?

smithers · Post by **smithers** » Tue 29. Mar 2022, 21:56

nicht das ich wüsste.

Ich habe jetzt einfach mal die keyhelp.conf von Hand umgeschrieben, um den redirect zu https "abzuschalten". Jetzt komme ich zumindest wieder auf das Admin-Panel, kann mich aber nicht einloggen. Nach Eingabe von Benutzer und Passwort erscheint nur die login-Seite erneut. Ohne Fehlermeldung. Ach man....

Post by **Jolinar** » Tue 29. Mar 2022, 22:11

Hast du schon versucht, die User Configs am CLI mit der keyhelp-toolbox neu zu schreiben?

smithers · Post by **smithers** » Wed 30. Mar 2022, 07:50

oh, das ist ein sehr guter Hinweis. Da ich bislang noch keine weiteren Probleme mit keyhelp hatte, kannte ich die Toolbox tatsächlich bislang nicht.

Es erscheint folgende Fehlermeldung beim neuanlegen der User Configs:

Code: Select all

sh: 1: named-checkzone: not found
[30-Mar-2022 07:37:40] ERROR --> Bind: Syntax error in zone of domain domain.de (/etc/bind/keyhelp_domains/domain)
sh: 1: named-checkconf: not found
[30-Mar-2022 07:37:40] ERROR --> Bind: syntax error - cannot reload bind9
sh: 1: postmap: not found
[30-Mar-2022 07:37:40] ERROR --> Failed to update SNI configuration
[30-Mar-2022 07:37:40] ERROR --> Apache: syntax error: sh: 1: apachectl: not found
[30-Mar-2022 07:37:40] ERROR --> Apache: no reload due syntax error
[30-Mar-2022 07:37:40] ERROR --> Apache: failed to reload

smithers · Post by **smithers** » Wed 30. Mar 2022, 08:02

OK, diese Fehlermeldungen sind auf Grund eines falsch gesetzten §PATH entstanden.
Das neu Schreiben der User Configs läuft jetzt fehlerfrei durch. Nur leider hat es bei meinem Hauptproblem zu keiner Änderung geführt.

Post by **Alexander** » Wed 30. Mar 2022, 09:27

Hallo,

schick mir mal bitte die Logindaten per PM.

Post by **Alexander** » Wed 30. Mar 2022, 10:54

Problem gelöst: Eine in /etc/apache2/sites-enabled/ hinterlegte Konfiguration hatte zur folge, das am Ende keine Domain des Servers mehr funktionierte.

letsencrypt - was stimmt da nicht? [SOLVED]

letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht?

Re: letsencrypt - was stimmt da nicht? [SOLVED]