Zertifikat wird bei einigen Domains nicht ausgestellt

Haben Sie einen Bug entdeckt? Teilen Sie es uns mit.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by 24unix »

Pummelfee wrote: Tue 24. May 2022, 14:34 Sag einfach was ich für Informationen bereit stellen soll, ich sorge für die Informationen und gemeinsam finden wir ne Lösung.
Ich bin mit meinem wissen leider am Ende... Daher komme ich auf die Community zu.
Nenne einfach den konkreten host, dann kann man schnell und unkompliziert die betreffenden Einstellungen überprüfen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by Jolinar »

Pummelfee wrote: Tue 24. May 2022, 14:34
24unix wrote: Mon 23. May 2022, 22:50 domain.de funktioniert, und leitet auf www.domain.de weiter.
test.domain.de meldet einen Zertifikatsfehler.

Aber wahrscheinlich geht s nicht um domain.de.

Willst Du Hilfe oder nicht?
Halb korrekt, die eigentliche Domain liegt nicht auf meinen Servern. Nur die test.domain.de wird an meine IP Adresse weitergegeben.
Ich würde gerne die Hilfe annehmen. Sag einfach was ich für Informationen bereit stellen soll, ich sorge für die Informationen und gemeinsam finden wir ne Lösung.
Ich bin mit meinem wissen leider am Ende... Daher komme ich auf die Community zu.
Der Hinweis ging in die Richtung, daß es nicht viel Sinn macht, hier mit "zensierten" Domainnamen zu arbeiten, weil man als Helfender dann nicht von außen prüfen kann, wo der Fehler liegt...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Pummelfee
Posts: 28
Joined: Mon 27. Sep 2021, 14:01

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by Pummelfee »

Anbei das Fullog zu der entsprechenden Domain:

Code: Select all

[23-May-2022 19:30:02] INFO  --> check domain "test.sommernachtsfrauen.de'
[23-May-2022 19:30:02] INFO  --> certificate file does not exist
[23-May-2022 19:30:02] INFO  --> renew cert
[23-May-2022 19:30:02] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[23-May-2022 19:30:02] INFO  --> Getting endpoint URLs.
[23-May-2022 19:30:02] INFO  --> Account "adm-pmpmg" already registered. Continue.
[23-May-2022 19:30:02] INFO  --> Requesting Key ID.
[23-May-2022 19:30:02] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[23-May-2022 19:30:03] INFO  --> Start certificate generation.
[23-May-2022 19:30:03] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-628be0bb849893.53767643
[23-May-2022 19:30:03] INFO  --> Local resolving checks of domains successfully completed.
[23-May-2022 19:30:03] INFO  --> Requesting challenges for domain "test.sommernachtsfrauen.de".
[23-May-2022 19:30:03] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-order".
[23-May-2022 19:30:04] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/authz-v3/111807288266".
[23-May-2022 19:30:04] INFO  --> Start authorization process for "test.sommernachtsfrauen.de".
[23-May-2022 19:30:04] INFO  --> Deploy challenge.
[23-May-2022 19:30:04] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8
[23-May-2022 19:30:04] INFO  --> Notify CA that the challenge is ready.
[23-May-2022 19:30:04] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:05] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:05] INFO  --> Waiting for verification...
[23-May-2022 19:30:07] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:08] INFO  --> Waiting for verification...
[23-May-2022 19:30:10] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:10] INFO  --> Waiting for verification...
[23-May-2022 19:30:12] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:13] INFO  --> Waiting for verification...
[23-May-2022 19:30:15] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:15] INFO  --> Waiting for verification...
[23-May-2022 19:30:17] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/111807288266/XfBXhg".
[23-May-2022 19:30:18] ERROR --> a Let's Encrypt error occurred: Verification ended with an error.
Details: 6
Type: urn:ietf:params:acme:error:unauthorized
Full response: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:unauthorized","detail":"62.4.69.237: Invalid response from http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8: 404","status":403},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/111807288266\/XfBXhg","token":"YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","validationRecord":[{"url":"http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","hostname":"test.sommernachtsfrauen.de","port":"80","addressesResolved":["62.4.69.237","2001:7f0:4000::932"],"addressUsed":"2001:7f0:4000::932"},{"url":"http:\/\/test.sommernachtsfrauen.de\/.well-known\/acme-challenge\/YxgNmyFJq73K-akPE2BIfYuCRGrKv_Gz6qy-gQfg5x8","hostname":"test.sommernachtsfrauen.de","port":"80","addressesResolved":["62.4.69.237","2001:7f0:4000::932"],"addressUsed":"62.4.69.237"}],"validated":"2022-05-23T19:30:05Z"}
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by 24unix »

Code: Select all

[0] % host test.sommernachtsfrauen.de
test.sommernachtsfrauen.de has address 62.4.69.237
test.sommernachtsfrauen.de has IPv6 address 2001:7f0:4000::932

tracer@tomcat ‹ master ●● › : ~/Projects/24unix.net/24unix.net_web
[0] % host 62.4.69.237
237.69.4.62.in-addr.arpa domain name pointer 62.4.69.237.deploy.akamaitechnologies.net.

tracer@tomcat ‹ master ●● › : ~/Projects/24unix.net/24unix.net_web
[0] % host 2001:7f0:4000::932
Host 2.3.9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.0.f.7.0.1.0.0.2.ip6.arpa not found: 3(NXDOMAIN)
Der host löst auf, das ist schon mal gut.
IPv4 rDNS ist fehlerhaft, IPv6 inexistent, das wird ein Problem, wenn Du mit dem Rechner Mails versenden willst.

Am Ende kommt ein 403, also LE kann nicht auf .well-known zugreifen.
Hast Du was besonderes am Setup? Evt. einen reverse Proxy oder so?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Pummelfee
Posts: 28
Joined: Mon 27. Sep 2021, 14:01

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by Pummelfee »

Mails werden über diesen Server nicht Primär versendet.
Ich habe eine Sophos vor dem Server hängen, daher geht -bis zum ausstellen des R3- nur HTTP.
Das ist soweit auch in Ordnung da ich mir mit nem Skript die Zertifikate vom Server lade und auf der Sophos importieren lasse. Zusätzlich wird HTTPS über die Sophos laufen.
User avatar
Pummelfee
Posts: 28
Joined: Mon 27. Sep 2021, 14:01

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by Pummelfee »

@24unix kannst du bitte einmal die Domain test.myiv.de für mich überprüfen? Hier ist die Konfiguration kein wenig anders. Und diese erhält (aus dem lokalen Netz) ein gültiges R3.

Danke dir
Attachments
R3_test.myiv.de.png
R3_test.myiv.de.png (18.43 KiB) Viewed 1167 times
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by 24unix »

Pummelfee wrote: Fri 3. Jun 2022, 17:49 @24unix kannst du bitte einmal die Domain test.myiv.de für mich überprüfen? Hier ist die Konfiguration kein wenig anders. Und diese erhält (aus dem lokalen Netz) ein gültiges R3.

Danke dir
Das ist aber nicht die, die ausgeliefert wird:

„This server could not prove that it is test.myiv.de; its security certificate is from *.p-mgmt.de. This may be caused by a misconfiguration or an attacker intercepting your connection.“
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Pummelfee
Posts: 28
Joined: Mon 27. Sep 2021, 14:01

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by Pummelfee »

Danke dir, hattest du http:// versucht?
Das sieht mir nach einem versuch über https:// aus. Das ist die Meldung bei jedem versucht durch die Sophos durch eine https Verbindung aufzubauen.
Dieses Phänomen ist mit bereits bekannt.

Was ich nicht verstehe: Ich habe die Domain test.sommernachtsfrauen.de auf einen anderen Server mit Keyhelp (außerhalb meines Konstrukts) geleitet und hier klappt alles wunderbar und ohne Probleme.

Ich suche immer noch nach dem Punkt was die Sophos damit zu tun haben soll. Leider ohne erfolgt.
Es werden die Domains weitergeleitet auf einen Host (internen V-Host). Der Host Header wird durchgereicht, und HTML wird auch umgeschrieben. Schutzeinstellungen habe ich keine hinterlegt und alle IPv4.
sophos_config.png
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by 24unix »

Pummelfee wrote: Fri 3. Jun 2022, 19:24 Danke dir, hattest du http:// versucht?
Ja, sicher, sonst bekomme ich ja kein Zertifikat :-)
Pummelfee wrote: Fri 3. Jun 2022, 19:24
Das sieht mir nach einem versuch über https:// aus. Das ist die Meldung bei jedem versucht durch die Sophos durch eine https Verbindung aufzubauen.
Dieses Phänomen ist mit bereits bekannt.

Was ich nicht verstehe: Ich habe die Domain test.sommernachtsfrauen.de auf einen anderen Server mit Keyhelp (außerhalb meines Konstrukts) geleitet und hier klappt alles wunderbar und ohne Probleme.

Ich suche immer noch nach dem Punkt was die Sophos damit zu tun haben soll. Leider ohne erfolgt.
Es werden die Domains weitergeleitet auf einen Host (internen V-Host). Der Host Header wird durchgereicht, und HTML wird auch umgeschrieben. Schutzeinstellungen habe ich keine hinterlegt und alle IPv4. sophos_config.png
Verzeihe meine evtl. dumme Frage: Warum überhaupt der Overhead mit der Sophos?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Pummelfee
Posts: 28
Joined: Mon 27. Sep 2021, 14:01

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by Pummelfee »

Ja, die Sophos ist ein spannendes Thema :D
in erster Linie ist Sie für die Organisation für die ich den Server hoste eine Sicherheit, dass NIEMAND außer die die es sollen weiter als https:// kommen.

Wir arbeiten mit Ländern zusammen die über LGBT feindliche Taten und Aktionen in Ihrem Land berichten. Um diese vor staatlicher Verfolgung (Gefängnis etc.) zu schützen dient uns die Sophos als VPN.
Mir ist bewusst, dass dies alles auch über eine die Einstellungen am Server gemacht werden kann, aber uns ging es hier um die Sicherheit der Daten und den Schutz der Personen die für uns berichten.

Der Nebeneffekt ist, dass man für alle Webseiten ein eigenes Zertifikat benötigt da die Sophos sonst nicht sicher übermitteln kann....

Ich hoffe es ist einigermaßen verständlich geschrieben.
Zusammengefasst: Schutz der Daten und Schutz von Reportern
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by 24unix »

Pummelfee wrote: Fri 3. Jun 2022, 19:49 Zusammengefasst: Schutz der Daten und Schutz von Reportern
MITM für vermeintliche Sicherheit.

Ich klinke mich dann mal aus dem Thread aus. Nicht wegen der Sophos, das hätte man hinbekommen können.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
mhagge
Community Moderator
Posts: 487
Joined: Wed 8. Aug 2018, 15:19

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by mhagge »

24unix wrote: Fri 3. Jun 2022, 19:56
Pummelfee wrote: Fri 3. Jun 2022, 19:49 Zusammengefasst: Schutz der Daten und Schutz von Reportern
Ich klinke mich dann mal aus dem Thread aus. Nicht wegen der Sophos, das hätte man hinbekommen können.
Den Zusammenhang verstehe ich nicht bzw. ich hoffe, ich verstehe ihn falsch :shock:
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by space2place »

@Pummelfee
Arbeitest Du mit der UTM oder XG?
Ich vermute mal das Du mit der Web Application Firewall die Rules für die einzelnen Domains auf die internen Server lenkst, oder?
Habe mir das alles mal durchgelesen, bin aber leider nicht dahinter gestiegen wie Du die Sophos einsetzt.
User avatar
Pummelfee
Posts: 28
Joined: Mon 27. Sep 2021, 14:01

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by Pummelfee »

Hey space2place,

Ich habe deine Antwort leider erst jetzt gesehen.
Ich benutze eine XG 106.

Ich freue mich auf neue Erkenntnisse:)
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Zertifikat wird bei einigen Domains nicht ausgestellt

Post by space2place »

Ich kann Dir jetzt nicht direkt die Lösung über den Zaun werfen. Arbeite seit Jahren mit UTM. Wir könnten uns telefonisch kurzschliessen und ich schau mir das zusammen über Teamviewer an. Das kann nicht viel sein. Wenn Du Interesse hast, melde Dich per PN.
Post Reply