403 Forbidden beim Erneuern von Zertifikaten [GELÖST]

[ThiralaAlelia]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)
Ich hoffe es doch. Wenigstens wüsste ich nicht, woran es sonst liegen sollte.

Server-Betriebssystem + Version
(z.B. Ubuntu 20.04)
Ubuntu 22.04.5

Eingesetzte Server-Virtualisierung-Technologie
(z.B. keine, OpenVZ, KVM, XEN, etc.)
KVM

KeyHelp-Version + Build-Nummer
(z.B. 22.0 - Build 2366)
24.2 - Build 3326

Problembeschreibung / Fehlermeldungen
SSL-Zertifikate werden nicht aktualisiert. Auch nach einem manuellen anstoßen über die Toolbox, kommt folgende Fehlermeldung:

Code: Select all

[27-Sep-2024 23:44:05] INFO | Start certificate generation.
[27-Sep-2024 23:44:05] INFO | Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-66f72725c213a1.31142448
[27-Sep-2024 23:44:05] INFO | URL: http://mahlendur.de/.well-known/acme-challenge/local-check-66f72725c213a1.31142448 | HTTP code: 403 | HTTP body (first 100 chars): <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>403 Forbidden</title></head>
[27-Sep-2024 23:44:05] ERROR | a Let's Encrypt error occurred: Local resolving checks failed for domain "mahlendur.de". Please ensure that your domain is locally resolvable!

Ja, die Domain ist erreichbar, wenn ich die genannte Datei curle, bekomme ich einen 301 zurückgemeldet.

An den Berechtigungen habe ich nichts gedreht. Eigentlich habe ich an dem Server die letzten Monate außer Updates nichts gemacht...

Erwartetes Ergebnis
Aktuelle Zertifikate

Tatsächliches Ergebnis
Keine aktuellen Zertifikate
Das Webinterface ist aufgrund HSTS nicht einmal mehr aufrufbar.

Schritte zur Reproduktion
Zertifikate ablaufen lassen --> keyhelp-toolbox --> Zertifikate aktualisieren

Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))

[technotravel]

Kann es sein, dass du für die Domain den IPv6 (AAAA record) nicht oder falsch eingetragen hast?

[ThiralaAlelia]

Nein, die ist korrekt. Auch für die anderen Domains auf anderen Servern passt alles.
Curl kann ja auch etwas finden. Nur darf halt nicht darauf zugreifen. Mir scheint, die Dateien in /Home/keyhelp/www/.well-known/ haben falsche Zugriffsrechte. Wobei ich daran nichts verändert habe...

[Tobi]

Der IPV6 RDNS Eintrag deines Servers ist nicht gesetzt.
Ebenso sollte der Server einen FQDN haben.

Wenn beides behoben ist sollte es auch wieder mit den Zertifikaten klappen.

NACHTRAG:
Das Webinterface ist IMMER über die IP erreichbar und hat da auch kein Zertifikat.

[ThiralaAlelia]

RR ist jetzt gesetzt. Der Server an sich hat einen FQDN, wenigstens laut Ausgabe von "hostname".
Leider nach wie vor dasselbe Ergebnis.

Irgendwie war ich gestern nicht wach genug. Ein Blick ins Error-Log hat mir die richtige Fehlermeldung gegeben. Es war tatsächlich ein Berechtigungsproblem. chmod -R +x auf /keyhelp/ und /users/ hat die Lösung gebracht. Wenigstens fürs Erste...

Einige Subdomains waren aus irgendeinem Grund nicht (mehr) in der Zone vorhanden. Gut, das lässt sich auch lösen.

Allerdings gibt es jetzt bei mehreren Zertifikaten folgenden Fehler:

Code: Select all

[28-Sep-2024 17:12:03] INFO | Curl: error:0A000438:SSL routines::tlsv1 alert internal error (http://gothic.mahlendur.de/.well-known/acme-challenge/local-check-66f81cc3d41478.53947130)

Was das bedeutet, ist mir grundsätzlich klar... Ich weiß nur gerade absolut nicht, wo ich die SSL-Version einstelle.
Kann mir da jemand auf die Sprünge helfen?

[ThiralaAlelia]

Holy... Da scheint bei mir einiges schiefgelaufen zu sein, beim letzten OS-Upgrade.
Jetzt das Upgrade auf 24.04 hinterher geschoben, hat immer noch nicht gänzlich funktioniert, aus irgendeinem Grund versucht apache2 PHP8.1 zu laden, obwohl es nicht einmal installiert ist...
Wie dem auch sei. Jetzt passt's wieder