Apache startet nicht mehr [GELÖST]

[Sokoban]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
denke schon weil from scratch installiert und eingerichtet nach Anleitung

Server-Betriebssystem + Version
Distributor ID: Debian
Description: Debian GNU/Linux 12 (bookworm)
Release: 12
Codename: bookworm


Eingesetzte Server-Virtualisierung-Technologie
KVM Libvirt

KeyHelp-Version + Build-Nummer
KeyHelp 24.0 (Build 3220)


Problembeschreibung / Fehlermeldungen
Let's encrypt aktualiesiert die die Zertifikate der Kundendomains nicht!

Erwartetes Ergebnis
Automatisch alle paar Monate

Tatsächliches Ergebnis
Abgelaufene Zertifikate der Domains im KUNDEN-Bereich

Schritte zur Reproduktion
Einfach laufen lassen

Zusätzliche Informationen
Keine Änderungen außer denen die Das system automatisch per Cron macht
Updates usw. alles einfach so laufen lassen KEINE HÄNDISCHEN Änderungen! die Letzten 2 Monate nicht mal auf das System geschaut.

ich suche jetzt nach hinweisen um schnell zum erfolg zu kommen ALLE Zertifikate LÖSCHEN und einfach mal Neu erstellen.
weder im Handbuch noch im Forum was gefunden.

Fehler beim händischen abgleich über die keytools
Check webserver config for missing '/' in redirect target.
eine Domain falsche IPv4 im DNS (.) erwartet: Fehler abfangen diese Domain auf IPv4 deaktiviren und weiter?

Also alle betreffenden nicht erneuerbaren Zertifikate ausgeschaltet, umbenannt und neu generieren lassen

Neustart Server

danach Fehler im Apache bzw. der startet nicht (checkconfig "Syntax OK") *grrrrrrr

Config über die keytools NEU Schreiben lassen (Benutzer-Konfigurationsdateien neu schreiben (Apache, Bind9, PHP-FPM) da gehe ich dann davon aus das die Infos NEU zusammengestellt werden und aufgrund der localen Variablen erneuert und richtig configuriert werden? )


dann kommt

Code: Select all

[Fri May 10 16:23:02.604587 2024] [ssl:warn] [pid 2184:tid 139920048187264] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Fri May 10 16:23:02.604983 2024] [ssl:error] [pid 2184:tid 139920048187264] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=misp.fblan.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=misp.fblan.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 49CF6CEA5ED79B0EA2863C3A44EA0042C061A95A / notbefore: Feb  9 15:24:10 2024 GMT / notafter: Feb  6 15:24:10 2034 GMT]
[Fri May 10 16:23:02.604991 2024] [ssl:error] [pid 2184:tid 139920048187264] AH02604: Unable to configure certificate webmail:443:0 for stapling
AH00016: Configuration Failed

in Webmail.conf alle SSL als Kommentare versehen

Code: Select all

<VirtualHost *:80>
    ServerName webmail
    ServerAlias webmail.*
#    Redirect / https://misp.fblan.de/webmail/
</VirtualHost>

#<VirtualHost *:443>
#    ServerName webmail
#    ServerAlias webmail.*

#    SSLEngine On
#    SSLCertificateFile /etc/ssl/keyhelp/webmail.pem
#    SSLCertificateChainFile /etc/ssl/keyhelp/webmail-ca.crt

 #   Redirect / https://misp.fblan.de/webmail/
#</VirtualHost>

immer noch Fehler
AH00016: Configuration Failed

mhh nach 6 Stunden suche kurz vorm .... wir müssen schauen das es einfach wieder läuft und wie ist egal

P.S. ich liebe Software die Klartext kann mit deren Fehlermeldungen man einmal sucht und die lösung in den ersten 10 Posts findet




[Mod-Edit]
CODE-Tags eingefügt.
Konsolenausgaben, Inhalte von Konfigurationsdateien, Auszüge aus Logfiles o.ä. bitte zukünftig immer mit CODE-Tags versehen!

[Tobi]

Einen allgemeinen KeyHelp, Apache oder Lets Encrypt Fehler kann ich kategorisch ausschließen. Ansonsten würde das Forum überlaufen und mein Telefon nicht mehr still stehen.

Jetzt zu deinem Problem:

Der erste Fehler war mit Sicherheit das System zwei Monate unbeaufsichtigt zu lassen.
Fehler Nr. zwei sind deine fehlerhaften DNS Einstellungen (IPv4 im DNS)
Fehler Nr. drei ist erst irgendwas LÖSCHEN und dann erst nachfragen. Ein schlichtes umbenennen wäre wesentlich weniger invasiv gewesen...

Meine Befürchtung ist, dass du durch das Löschen der Zertifikate dir deine SSL Konfiguration versaut hast und nun Apache nicht mehr startet. Da du leider keine Angaben zu Domain oder IP gemacht hast kann ich diesbezüglich nur raten.

Was sagt die Ausgabe von:

Code: Select all

systemctl status apache2

[Sokoban]

ich hab deine telefonnummer nicht (noch nicht)

wenn ich löschen dann hab ich schon noch einen umbenannte Variante da

1. Fehler

Mai 10 19:03:01 misp.fblan.de apachectl[1286]: apache2: Syntax error on line 228 of /etc/apache2/apache2.conf: Syntax error on line 169 of /etc/apache2/keyhelp/keyhelp.conf: Syntax error on line 11 of /etc/apache2/keyhelp/webmail.conf:

behoben ein # vergessen (im Error.log war das nicht zu sehen)

2. Fehler

Mai 10 19:04:21 misp.fblan.de apachectl[1425]: SSLCertificateFile: file '/etc/ssl/keyhelp/keyhelp.pem' does not exist or is empty

wieder zurück umbenannt will er dennoch nicht

immer noch

Mai 10 19:05:01 misp.fblan.de apachectl[1472]: SSLCertificateFile: file '/etc/ssl/keyhelp/keyhelp.pem' does not exist or is empty
Mai 10 19:05:01 misp.fblan.de apachectl[1469]: Action 'start' failed.

l /etc/ssl/keyhelp/keyhelp.pem
lrwxrwxrwx 1 root root 63 9. Feb 17:39 /etc/ssl/keyhelp/keyhelp.pem -> /etc/ssl/keyhelp/letsencrypt/keyhelp/misp.fblan.de/complete.pem

l /etc/ssl/keyhelp/letsencrypt/keyhelp/misp.fblan.de/complete.pem
-rw------- 1 root root 7206 10. Apr 00:02 /etc/ssl/keyhelp/letsencrypt/keyhelp/misp.fblan.de/complete.pem

schon mal danke fürs schupsen (aber nicht zu feste bitte )

noch einen gefunden

[Fri May 10 19:22:11.483768 2024] [ssl:warn] [pid 2747:tid 139742339409792] AH01906: webmail.:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri May 10 19:22:11.483817 2024] [ssl:warn] [pid 2747:tid 139742339409792] AH01909: webmail.:443:0 server certificate does NOT include an ID which matches the server name
[Fri May 10 19:22:11.484216 2024] [ssl:error] [pid 2747:tid 139742339409792] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=misp.fblan.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=misp.fblan.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 49CF6CEA5ED79B0EA2863C3A44EA0042C061A95A / notbefore: Feb 9 15:24:10 2024 GMT / notafter: Feb 6 15:24:10 2034 GMT]
[Fri May 10 19:22:11.484224 2024] [ssl:error] [pid 2747:tid 139742339409792] AH02604: Unable to configure certificate webmail.:443:0 for stapling
AH00016: Configuration Failed

[10-May-2024 19:24:11] INFO | check domain "misp.fblan.de'
[10-May-2024 19:24:11] INFO | certificate is valid until 2024-07-08 23:02:07 (59 days left)
[10-May-2024 19:24:11] INFO | finished

[Sokoban]

so falls da jemand ähnliches erleben sollte.

Apache Fehler "AH00016: Configuration Failed" im Error.log

Scheinbar fehlerhafte Zertifikate (woher auch immer, Warum auch immer, kann es eigentlich nicht geben weil "automatisiert" )

Alle Userconfs in "/etc/apache2/keyhelp/vhosts" "moven" Damit euer Apache wieder startet.
jedes Kunden .conf einzel (oder mehrere) wieder rein, restart apache, läuft? dann die nächsten, läuft nicht die wieder raus und die anderen rein bis das ihr das/die kaputte/n habt. (wird beim arbeiten an den Domains wieder sauber erstellt)

>> In der Oberfläche für diese Domains die Zertifikate deaktivieren <<.
auf der Shell die Kunden .pem's bzw. den ganzen Kunden Zertifikatsspeicher unter /etc/ssl/keyhelp/letsencrypt umbenennen oder auch gleich moven /löschen (wird alles wieder neu erstellt).

die keyhelp-toolbox schafft das leider nicht alleine
unter Domains/Domain-bearbeiten /Sicherheit - Sichere Verbindung erzwingen erst im 2. Schritt aktivieren (oder auch auslassen)

Es begann damit das keyhelp warum auch immer die Zertifikate nicht verlängern konnte.

„[07-May-2024 00:01:26] ERROR | a Let's Encrypt error occurred: Verification ended with an error.”

Kann alles und NIX heißen, kann alles mögliche sein und sollte im Zweifel nicht dazu führen das KEINE Domain des "Kunden", bei mehreren, mehr abgesichert ist.

well-known/acme-challenge/LoX5sugcRxvDisox4YCAHvgqCbd6tYMqcHJW8Qd6P5A: Error getting validation data
Type: urn:ietf:params:acme:error:connection

Die angebene Domain hat alle DNS Einträge richtig und bei einer anderen war die wildcard auf einen anderen Server verzweigt.
Ist legitim und darf auch nicht zu einem Fehler führen!
weil Domain.de und WWW.domain.de auf den richtigen Server mit der Ip verwiesen hat.(das sind auch die Subdomains die im Zertifikat verwendet werden.)

und ja nicht alle kennen die Spielchen im DNS oder Nutzen diese funktionell.

[Sokoban]

Jetzt zu deinem Problem:

Der erste Fehler war mit Sicherheit das System zwei Monate unbeaufsichtigt zu lassen.

bei der Menge die da automatisch rennt ....
entweder automatsich und bei fehler bekomme ich nachricht oder ich muss nichtzautomatisieren..
Das Alte Verwaltungssystem erforderte nur marginale Aufmerksamkeit und läuft imme rnoch mit minimalen Eingriffen und Kontrollen

Fehler Nr. zwei sind deine fehlerhaften DNS Einstellungen (IPv4 im DNS)

wo auch immer die sein sollen, es ist nichts im DNS was nicht erlaubt oder funktionieren darf
aber nur her damit ich bin auch nicht unfehlbar

Fehler Nr. drei ist erst irgendwas LÖSCHEN und dann erst nachfragen. Ein schlichtes umbenennen wäre wesentlich weniger invasiv gewesen...

öhm ich antworte mal mit der Bibel "wenn dich dein Auge ärgert reiß es raus"
Fehler abgelaufene Zertifikate, werden neu erstellt wenn es sein muss, ist erlaubt und legitim bei Let's encrypt.

Meine Befürchtung ist, dass du durch das Löschen der Zertifikate dir deine SSL Konfiguration versaut hast und nun Apache nicht mehr startet. Da du leider keine Angaben zu Domain oder IP gemacht hast kann ich diesbezüglich nur raten.

Grundsätzlich war es so, aber dürfte so nicht passieren. (bzw. hat zu einem Fehler in den User-Configs geführt)
aber das Neuerstellen war letztendlich die Lösung des Problems. (back to the roots )

Ente gut und knusprig, alles gut, Lösungsweg steht im Forum.
evtl. kann man keyhelp in der Funktion in dieser Richtung verbessern. (iss ja closed source da kann ich nicht frickeln )

[tab-kh]

öhm ich antworte mal mit der Bibel "wenn dich dein Auge ärgert reiß es raus"
Fehler abgelaufene Zertifikate, werden neu erstellt wenn es sein muss, ist erlaubt und legitim bei Let's encrypt.

Öfter als zwei Mal im Leben kannst du das aber auch nicht machen. Und du darfst dich dann auch nicht wundern, dass du nichts mehr siehst. Keyhelp geht davon aus, dass die Zertifikate unter seiner Kontrolle sind und sie niemand zu einem beliebigen Zeitpunkt "rausreißt". Normalerweise kann sich die Pflege der Zertifikate darauf beschränken, dass einmal pro Tag geschaut wird, welche Zertifikate zur Erneuerung anstehen und diese dann zu erneuern. Zertifikate werden ja auch nicht anlasslos "fehlerhaft", da muss schon etwas vorgefallen sein oder totkonfiguriert. Schaun mer mal ob die Entwickler dazu noch was sagen.

[Sokoban]

Öfter als zwei Mal im Leben kannst du das aber auch nicht machen. Und du darfst dich dann auch nicht wundern, dass du nichts mehr siehst. Keyhelp geht davon aus, dass die Zertifikate unter seiner Kontrolle sind und sie niemand zu einem beliebigen Zeitpunkt "rausreißt". Normalerweise kann sich die Pflege der Zertifikate darauf beschränken, dass einmal pro Tag geschaut wird, welche Zertifikate zur Erneuerung anstehen und diese dann zu erneuern. Zertifikate werden ja auch nicht anlasslos "fehlerhaft", da muss schon etwas vorgefallen sein oder totkonfiguriert. Schaun mer mal ob die Entwickler dazu noch was sagen.

tja wenn da was schief läuft dann läuft es eben schief (.)
wenns schief läuft muss eingegriffen werden können (.)

Was keyhelp erwartet ist bei einem Fehler 2. ranging (.)
zuerst war der Fehler dann habe ich eingegriffen, vorher war ALLES über die Oberfläche konfiguriert und das system durfte tun was es für richtig gehalten hat.

Wie der Fehler behoben werden kann (und der ist mindestens NOCH EINMAL im Forum beschrieben) hab ich gepostet.
Kann man so machen oder man macht es anders wichtig ist der Erfolg und die Doku wie es geht.

ich liebe Opensource weil da kann man alles nachlesen und debuggen wenn es mal kniffelig wird.
Fehlermeldungen eindeutigund beschreibung was in den seltenen Fällen zu tun ist wenn die Konstellationen mal wieder im Uranus stehen.
erspart Aufwand, Zeit und Nerven und macht Software einfacher wartbar.

wenn ich länger als 2 Stunden suchen muß dann bin ich ganz schnell mit "wir setzen neu mit anderer Software auf " dann wissen wir das es rennt wie wir es wollen
das geht auch schnell mit 500 Domains und 5000 Mailkonten. Heute ist es wichtig das Software schnell wieder ans laufen kommt und nicht unnötig lange gesucht werden muss.