Zertifikat wird bei einigen Domains nicht ausgestellt

[24unix]

Sag einfach was ich für Informationen bereit stellen soll, ich sorge für die Informationen und gemeinsam finden wir ne Lösung.
Ich bin mit meinem wissen leider am Ende... Daher komme ich auf die Community zu.

Nenne einfach den konkreten host, dann kann man schnell und unkompliziert die betreffenden Einstellungen überprüfen.

[Jolinar]

domain.de funktioniert, und leitet auf www.domain.de weiter.
test.domain.de meldet einen Zertifikatsfehler.

Aber wahrscheinlich geht s nicht um domain.de.

Willst Du Hilfe oder nicht?

Halb korrekt, die eigentliche Domain liegt nicht auf meinen Servern. Nur die test.domain.de wird an meine IP Adresse weitergegeben.
Ich würde gerne die Hilfe annehmen. Sag einfach was ich für Informationen bereit stellen soll, ich sorge für die Informationen und gemeinsam finden wir ne Lösung.
Ich bin mit meinem wissen leider am Ende... Daher komme ich auf die Community zu.

Der Hinweis ging in die Richtung, daß es nicht viel Sinn macht, hier mit "zensierten" Domainnamen zu arbeiten, weil man als Helfender dann nicht von außen prüfen kann, wo der Fehler liegt...

[Pummelfee]

Anbei das Fullog zu der entsprechenden Domain:

Code: Select all

[23-May-2022 19:30:02] INFO  --> check domain "test.sommernachtsfrauen.de'
[23-May-2022 19:30:02] INFO  --> certificate file does not exist
[23-May-2022 19:30:02] INFO  --> renew cert
[23-May-2022 19:30:02] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[23-May-2022 19:30:02] INFO  --> Getting endpoint URLs.
[23-May-2022 19:30:02] INFO  --> Account "adm-pmpmg" already registered. Continue.
[23-May-2022 19:30:02] INFO  --> Requesting Key ID.
[23-May-2022 19:30:02] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[23-May-2022 19:30:03] INFO  --> Start certificate generation.
[23-May-2022 19:30:03] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-628be0bb849893.53767643
[23-May-2022 19:30:03] INFO  --> Local resolving checks of domains successfully completed.
[23-May-2022 19:30:03] INFO  --> Requesting challenges for domain "test.sommernachtsfrauen.de".
[23-May-2022 19:30:03] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-order".
[23-May-2022 19:30:04] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/authz-v3/111807288266".
[23-May-2022 19:30:04] INFO  --> Start authorization process for "test.sommernachtsfrauen.de".
[23-May-2022 19:30:04] INFO  --> Deploy challenge.
[23-May-2022 19:30:04] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8
[23-May-2022 19:30:04] INFO  --> Notify CA that the challenge is ready.
[23-May-2022 19:30:04] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:05] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:05] INFO  --> Waiting for verification...
[23-May-2022 19:30:07] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:08] INFO  --> Waiting for verification...
[23-May-2022 19:30:10] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:10] INFO  --> Waiting for verification...
[23-May-2022 19:30:12] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:13] INFO  --> Waiting for verification...
[23-May-2022 19:30:15] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:15] INFO  --> Waiting for verification...
[23-May-2022 19:30:17] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:18] ERROR --> a Let's Encrypt error occurred: Verification ended with an error.
Details: 6
Type: urn:ietf:params:acme:error:unauthorized
Full response: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:unauthorized","detail":"62.4.69.237: Invalid response from http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8: 404","status":403},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/111807288266\/XfBXhg","token":"YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","validationRecord":[{"url":"http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","hostname":"test.sommernachtsfrauen.de","port":"80","addressesResolved":["62.4.69.237","2001:7f0:4000::932"],"addressUsed":"2001:7f0:4000::932"},{"url":"http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","hostname":"test.sommernachtsfrauen.de","port":"80","addressesResolved":["62.4.69.237","2001:7f0:4000::932"],"addressUsed":"62.4.69.237"}],"validated":"2022-05-23T19:30:05Z"}

[24unix]

Code: Select all

[0] % host test.sommernachtsfrauen.de
test.sommernachtsfrauen.de has address 62.4.69.237
test.sommernachtsfrauen.de has IPv6 address 2001:7f0:4000::932

tracer@tomcat ‹ master ●● › : ~/Projects/24unix.net/24unix.net_web
[0] % host 62.4.69.237
237.69.4.62.in-addr.arpa domain name pointer 62.4.69.237.deploy.akamaitechnologies.net.

tracer@tomcat ‹ master ●● › : ~/Projects/24unix.net/24unix.net_web
[0] % host 2001:7f0:4000::932
Host 2.3.9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.0.f.7.0.1.0.0.2.ip6.arpa not found: 3(NXDOMAIN)

Der host löst auf, das ist schon mal gut.
IPv4 rDNS ist fehlerhaft, IPv6 inexistent, das wird ein Problem, wenn Du mit dem Rechner Mails versenden willst.

Am Ende kommt ein 403, also LE kann nicht auf .well-known zugreifen.
Hast Du was besonderes am Setup? Evt. einen reverse Proxy oder so?

[Pummelfee]

Mails werden über diesen Server nicht Primär versendet.
Ich habe eine Sophos vor dem Server hängen, daher geht -bis zum ausstellen des R3- nur HTTP.
Das ist soweit auch in Ordnung da ich mir mit nem Skript die Zertifikate vom Server lade und auf der Sophos importieren lasse. Zusätzlich wird HTTPS über die Sophos laufen.

[Pummelfee]

@24unix kannst du bitte einmal die Domain test.myiv.de für mich überprüfen? Hier ist die Konfiguration kein wenig anders. Und diese erhält (aus dem lokalen Netz) ein gültiges R3.

Danke dir

[24unix]

@24unix kannst du bitte einmal die Domain test.myiv.de für mich überprüfen? Hier ist die Konfiguration kein wenig anders. Und diese erhält (aus dem lokalen Netz) ein gültiges R3.

Danke dir

Das ist aber nicht die, die ausgeliefert wird:

„This server could not prove that it is test.myiv.de; its security certificate is from *.p-mgmt.de. This may be caused by a misconfiguration or an attacker intercepting your connection.“

[Pummelfee]

Danke dir, hattest du http:// versucht?
Das sieht mir nach einem versuch über https:// aus. Das ist die Meldung bei jedem versucht durch die Sophos durch eine https Verbindung aufzubauen.
Dieses Phänomen ist mit bereits bekannt.

Was ich nicht verstehe: Ich habe die Domain test.sommernachtsfrauen.de auf einen anderen Server mit Keyhelp (außerhalb meines Konstrukts) geleitet und hier klappt alles wunderbar und ohne Probleme.

Ich suche immer noch nach dem Punkt was die Sophos damit zu tun haben soll. Leider ohne erfolgt.
Es werden die Domains weitergeleitet auf einen Host (internen V-Host). Der Host Header wird durchgereicht, und HTML wird auch umgeschrieben. Schutzeinstellungen habe ich keine hinterlegt und alle IPv4.

[24unix]

Danke dir, hattest du http:// versucht?

Ja, sicher, sonst bekomme ich ja kein Zertifikat

Das sieht mir nach einem versuch über https:// aus. Das ist die Meldung bei jedem versucht durch die Sophos durch eine https Verbindung aufzubauen.
Dieses Phänomen ist mit bereits bekannt.

Was ich nicht verstehe: Ich habe die Domain test.sommernachtsfrauen.de auf einen anderen Server mit Keyhelp (außerhalb meines Konstrukts) geleitet und hier klappt alles wunderbar und ohne Probleme.

Ich suche immer noch nach dem Punkt was die Sophos damit zu tun haben soll. Leider ohne erfolgt.
Es werden die Domains weitergeleitet auf einen Host (internen V-Host). Der Host Header wird durchgereicht, und HTML wird auch umgeschrieben. Schutzeinstellungen habe ich keine hinterlegt und alle IPv4. sophos_config.png

Verzeihe meine evtl. dumme Frage: Warum überhaupt der Overhead mit der Sophos?

[Pummelfee]

Ja, die Sophos ist ein spannendes Thema
in erster Linie ist Sie für die Organisation für die ich den Server hoste eine Sicherheit, dass NIEMAND außer die die es sollen weiter als https:// kommen.

Wir arbeiten mit Ländern zusammen die über LGBT feindliche Taten und Aktionen in Ihrem Land berichten. Um diese vor staatlicher Verfolgung (Gefängnis etc.) zu schützen dient uns die Sophos als VPN.
Mir ist bewusst, dass dies alles auch über eine die Einstellungen am Server gemacht werden kann, aber uns ging es hier um die Sicherheit der Daten und den Schutz der Personen die für uns berichten.

Der Nebeneffekt ist, dass man für alle Webseiten ein eigenes Zertifikat benötigt da die Sophos sonst nicht sicher übermitteln kann....

Ich hoffe es ist einigermaßen verständlich geschrieben.
Zusammengefasst: Schutz der Daten und Schutz von Reportern

[24unix]

Zusammengefasst: Schutz der Daten und Schutz von Reportern

MITM für vermeintliche Sicherheit.

Ich klinke mich dann mal aus dem Thread aus. Nicht wegen der Sophos, das hätte man hinbekommen können.

[mhagge]

Zusammengefasst: Schutz der Daten und Schutz von Reportern

Ich klinke mich dann mal aus dem Thread aus. Nicht wegen der Sophos, das hätte man hinbekommen können.

Den Zusammenhang verstehe ich nicht bzw. ich hoffe, ich verstehe ihn falsch

[space2place]

@Pummelfee
Arbeitest Du mit der UTM oder XG?
Ich vermute mal das Du mit der Web Application Firewall die Rules für die einzelnen Domains auf die internen Server lenkst, oder?
Habe mir das alles mal durchgelesen, bin aber leider nicht dahinter gestiegen wie Du die Sophos einsetzt.

[Pummelfee]

Hey space2place,

Ich habe deine Antwort leider erst jetzt gesehen.
Ich benutze eine XG 106.

Ich freue mich auf neue Erkenntnisse:)

[space2place]

Ich kann Dir jetzt nicht direkt die Lösung über den Zaun werfen. Arbeite seit Jahren mit UTM. Wir könnten uns telefonisch kurzschliessen und ich schau mir das zusammen über Teamviewer an. Das kann nicht viel sein. Wenn Du Interesse hast, melde Dich per PN.