Nenne einfach den konkreten host, dann kann man schnell und unkompliziert die betreffenden Einstellungen überprüfen.
Zertifikat wird bei einigen Domains nicht ausgestellt
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
- Jolinar
- Community Moderator
- Posts: 3607
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Der Hinweis ging in die Richtung, daß es nicht viel Sinn macht, hier mit "zensierten" Domainnamen zu arbeiten, weil man als Helfender dann nicht von außen prüfen kann, wo der Fehler liegt...Pummelfee wrote: ↑Tue 24. May 2022, 14:34Halb korrekt, die eigentliche Domain liegt nicht auf meinen Servern. Nur die test.domain.de wird an meine IP Adresse weitergegeben.24unix wrote: ↑Mon 23. May 2022, 22:50 domain.de funktioniert, und leitet auf www.domain.de weiter.
test.domain.de meldet einen Zertifikatsfehler.
Aber wahrscheinlich geht s nicht um domain.de.
Willst Du Hilfe oder nicht?
Ich würde gerne die Hilfe annehmen. Sag einfach was ich für Informationen bereit stellen soll, ich sorge für die Informationen und gemeinsam finden wir ne Lösung.
Ich bin mit meinem wissen leider am Ende... Daher komme ich auf die Community zu.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Anbei das Fullog zu der entsprechenden Domain:
Code: Select all
[23-May-2022 19:30:02] INFO --> check domain "test.sommernachtsfrauen.de'
[23-May-2022 19:30:02] INFO --> certificate file does not exist
[23-May-2022 19:30:02] INFO --> renew cert
[23-May-2022 19:30:02] INFO --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[23-May-2022 19:30:02] INFO --> Getting endpoint URLs.
[23-May-2022 19:30:02] INFO --> Account "adm-pmpmg" already registered. Continue.
[23-May-2022 19:30:02] INFO --> Requesting Key ID.
[23-May-2022 19:30:02] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[23-May-2022 19:30:03] INFO --> Start certificate generation.
[23-May-2022 19:30:03] INFO --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-628be0bb849893.53767643
[23-May-2022 19:30:03] INFO --> Local resolving checks of domains successfully completed.
[23-May-2022 19:30:03] INFO --> Requesting challenges for domain "test.sommernachtsfrauen.de".
[23-May-2022 19:30:03] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-order".
[23-May-2022 19:30:04] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/authz-v3/111807288266".
[23-May-2022 19:30:04] INFO --> Start authorization process for "test.sommernachtsfrauen.de".
[23-May-2022 19:30:04] INFO --> Deploy challenge.
[23-May-2022 19:30:04] INFO --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8
[23-May-2022 19:30:04] INFO --> Notify CA that the challenge is ready.
[23-May-2022 19:30:04] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:05] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:05] INFO --> Waiting for verification...
[23-May-2022 19:30:07] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:08] INFO --> Waiting for verification...
[23-May-2022 19:30:10] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:10] INFO --> Waiting for verification...
[23-May-2022 19:30:12] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:13] INFO --> Waiting for verification...
[23-May-2022 19:30:15] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:15] INFO --> Waiting for verification...
[23-May-2022 19:30:17] INFO --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:18] ERROR --> a Let's Encrypt error occurred: Verification ended with an error.
Details: 6
Type: urn:ietf:params:acme:error:unauthorized
Full response: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:unauthorized","detail":"62.4.69.237: Invalid response from http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8: 404","status":403},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/111807288266\/XfBXhg","token":"YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","validationRecord":[{"url":"http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","hostname":"test.sommernachtsfrauen.de","port":"80","addressesResolved":["62.4.69.237","2001:7f0:4000::932"],"addressUsed":"2001:7f0:4000::932"},{"url":"http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","hostname":"test.sommernachtsfrauen.de","port":"80","addressesResolved":["62.4.69.237","2001:7f0:4000::932"],"addressUsed":"62.4.69.237"}],"validated":"2022-05-23T19:30:05Z"}
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Code: Select all
[0] % host test.sommernachtsfrauen.de
test.sommernachtsfrauen.de has address 62.4.69.237
test.sommernachtsfrauen.de has IPv6 address 2001:7f0:4000::932
tracer@tomcat ‹ master ●● › : ~/Projects/24unix.net/24unix.net_web
[0] % host 62.4.69.237
237.69.4.62.in-addr.arpa domain name pointer 62.4.69.237.deploy.akamaitechnologies.net.
tracer@tomcat ‹ master ●● › : ~/Projects/24unix.net/24unix.net_web
[0] % host 2001:7f0:4000::932
Host 2.3.9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.0.f.7.0.1.0.0.2.ip6.arpa not found: 3(NXDOMAIN)
IPv4 rDNS ist fehlerhaft, IPv6 inexistent, das wird ein Problem, wenn Du mit dem Rechner Mails versenden willst.
Am Ende kommt ein 403, also LE kann nicht auf .well-known zugreifen.
Hast Du was besonderes am Setup? Evt. einen reverse Proxy oder so?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Mails werden über diesen Server nicht Primär versendet.
Ich habe eine Sophos vor dem Server hängen, daher geht -bis zum ausstellen des R3- nur HTTP.
Das ist soweit auch in Ordnung da ich mir mit nem Skript die Zertifikate vom Server lade und auf der Sophos importieren lasse. Zusätzlich wird HTTPS über die Sophos laufen.
Ich habe eine Sophos vor dem Server hängen, daher geht -bis zum ausstellen des R3- nur HTTP.
Das ist soweit auch in Ordnung da ich mir mit nem Skript die Zertifikate vom Server lade und auf der Sophos importieren lasse. Zusätzlich wird HTTPS über die Sophos laufen.
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
@24unix kannst du bitte einmal die Domain test.myiv.de für mich überprüfen? Hier ist die Konfiguration kein wenig anders. Und diese erhält (aus dem lokalen Netz) ein gültiges R3.
Danke dir
Danke dir
- Attachments
-
- R3_test.myiv.de.png (18.43 KiB) Viewed 1227 times
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Das ist aber nicht die, die ausgeliefert wird:
„This server could not prove that it is test.myiv.de; its security certificate is from *.p-mgmt.de. This may be caused by a misconfiguration or an attacker intercepting your connection.“
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Danke dir, hattest du http:// versucht?
Das sieht mir nach einem versuch über https:// aus. Das ist die Meldung bei jedem versucht durch die Sophos durch eine https Verbindung aufzubauen.
Dieses Phänomen ist mit bereits bekannt.
Was ich nicht verstehe: Ich habe die Domain test.sommernachtsfrauen.de auf einen anderen Server mit Keyhelp (außerhalb meines Konstrukts) geleitet und hier klappt alles wunderbar und ohne Probleme.
Ich suche immer noch nach dem Punkt was die Sophos damit zu tun haben soll. Leider ohne erfolgt.
Es werden die Domains weitergeleitet auf einen Host (internen V-Host). Der Host Header wird durchgereicht, und HTML wird auch umgeschrieben. Schutzeinstellungen habe ich keine hinterlegt und alle IPv4.
Das sieht mir nach einem versuch über https:// aus. Das ist die Meldung bei jedem versucht durch die Sophos durch eine https Verbindung aufzubauen.
Dieses Phänomen ist mit bereits bekannt.
Was ich nicht verstehe: Ich habe die Domain test.sommernachtsfrauen.de auf einen anderen Server mit Keyhelp (außerhalb meines Konstrukts) geleitet und hier klappt alles wunderbar und ohne Probleme.
Ich suche immer noch nach dem Punkt was die Sophos damit zu tun haben soll. Leider ohne erfolgt.
Es werden die Domains weitergeleitet auf einen Host (internen V-Host). Der Host Header wird durchgereicht, und HTML wird auch umgeschrieben. Schutzeinstellungen habe ich keine hinterlegt und alle IPv4.
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Ja, sicher, sonst bekomme ich ja kein Zertifikat
Verzeihe meine evtl. dumme Frage: Warum überhaupt der Overhead mit der Sophos?Pummelfee wrote: ↑Fri 3. Jun 2022, 19:24
Das sieht mir nach einem versuch über https:// aus. Das ist die Meldung bei jedem versucht durch die Sophos durch eine https Verbindung aufzubauen.
Dieses Phänomen ist mit bereits bekannt.
Was ich nicht verstehe: Ich habe die Domain test.sommernachtsfrauen.de auf einen anderen Server mit Keyhelp (außerhalb meines Konstrukts) geleitet und hier klappt alles wunderbar und ohne Probleme.
Ich suche immer noch nach dem Punkt was die Sophos damit zu tun haben soll. Leider ohne erfolgt.
Es werden die Domains weitergeleitet auf einen Host (internen V-Host). Der Host Header wird durchgereicht, und HTML wird auch umgeschrieben. Schutzeinstellungen habe ich keine hinterlegt und alle IPv4. sophos_config.png
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Ja, die Sophos ist ein spannendes Thema
in erster Linie ist Sie für die Organisation für die ich den Server hoste eine Sicherheit, dass NIEMAND außer die die es sollen weiter als https:// kommen.
Wir arbeiten mit Ländern zusammen die über LGBT feindliche Taten und Aktionen in Ihrem Land berichten. Um diese vor staatlicher Verfolgung (Gefängnis etc.) zu schützen dient uns die Sophos als VPN.
Mir ist bewusst, dass dies alles auch über eine die Einstellungen am Server gemacht werden kann, aber uns ging es hier um die Sicherheit der Daten und den Schutz der Personen die für uns berichten.
Der Nebeneffekt ist, dass man für alle Webseiten ein eigenes Zertifikat benötigt da die Sophos sonst nicht sicher übermitteln kann....
Ich hoffe es ist einigermaßen verständlich geschrieben.
Zusammengefasst: Schutz der Daten und Schutz von Reportern
in erster Linie ist Sie für die Organisation für die ich den Server hoste eine Sicherheit, dass NIEMAND außer die die es sollen weiter als https:// kommen.
Wir arbeiten mit Ländern zusammen die über LGBT feindliche Taten und Aktionen in Ihrem Land berichten. Um diese vor staatlicher Verfolgung (Gefängnis etc.) zu schützen dient uns die Sophos als VPN.
Mir ist bewusst, dass dies alles auch über eine die Einstellungen am Server gemacht werden kann, aber uns ging es hier um die Sicherheit der Daten und den Schutz der Personen die für uns berichten.
Der Nebeneffekt ist, dass man für alle Webseiten ein eigenes Zertifikat benötigt da die Sophos sonst nicht sicher übermitteln kann....
Ich hoffe es ist einigermaßen verständlich geschrieben.
Zusammengefasst: Schutz der Daten und Schutz von Reportern
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
MITM für vermeintliche Sicherheit.
Ich klinke mich dann mal aus dem Thread aus. Nicht wegen der Sophos, das hätte man hinbekommen können.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Den Zusammenhang verstehe ich nicht bzw. ich hoffe, ich verstehe ihn falsch
- space2place
- Posts: 494
- Joined: Tue 24. Mar 2020, 11:02
- Contact:
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
@Pummelfee
Arbeitest Du mit der UTM oder XG?
Ich vermute mal das Du mit der Web Application Firewall die Rules für die einzelnen Domains auf die internen Server lenkst, oder?
Habe mir das alles mal durchgelesen, bin aber leider nicht dahinter gestiegen wie Du die Sophos einsetzt.
Arbeitest Du mit der UTM oder XG?
Ich vermute mal das Du mit der Web Application Firewall die Rules für die einzelnen Domains auf die internen Server lenkst, oder?
Habe mir das alles mal durchgelesen, bin aber leider nicht dahinter gestiegen wie Du die Sophos einsetzt.
i-MSCP => KeyHelp Migration: https://github.com/TheCry/i-mscp-keyhelp-migration
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Hey space2place,
Ich habe deine Antwort leider erst jetzt gesehen.
Ich benutze eine XG 106.
Ich freue mich auf neue Erkenntnisse:)
Ich habe deine Antwort leider erst jetzt gesehen.
Ich benutze eine XG 106.
Ich freue mich auf neue Erkenntnisse:)
- space2place
- Posts: 494
- Joined: Tue 24. Mar 2020, 11:02
- Contact:
Re: Zertifikat wird bei einigen Domains nicht ausgestellt
Ich kann Dir jetzt nicht direkt die Lösung über den Zaun werfen. Arbeite seit Jahren mit UTM. Wir könnten uns telefonisch kurzschliessen und ich schau mir das zusammen über Teamviewer an. Das kann nicht viel sein. Wenn Du Interesse hast, melde Dich per PN.
i-MSCP => KeyHelp Migration: https://github.com/TheCry/i-mscp-keyhelp-migration