Nach Backup-Restore: Problem mit SSL-Zertifikaten

[xeppel]

hallo,

ich habe meinen Server auf einen neuen Server mit neuer IP mittels der Anleitung hier im Forum wiederhergestellt. doch es gibt jetzt ein Problem mit dem Aufruf aller Webseiten. im Apache Log findet sich folgendes, warum auch immer "webmail" jetzt ein Problem darstellt:

Code: Select all

[Sat Jan 18 11:23:22.041222 2025] [mpm_event:notice] [pid 4447:tid 4447] AH00491: caught SIGTERM, shutting down
[Sat Jan 18 11:23:22.160571 2025] [ssl:warn] [pid 4934:tid 4934] AH01906: webmail:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 11:23:22.160624 2025] [ssl:warn] [pid 4934:tid 4934] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Sat Jan 18 11:23:22.161044 2025] [ssl:error] [pid 4934:tid 4934] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 3830339D458B0D8F3C2DA7A13C72861459xxxxx / notbefore: Jan 10 18:13:37 2023 GMT / notafter: Jan  7 18:13:37 2033 GMT]
[Sat Jan 18 11:23:22.161058 2025] [ssl:error] [pid 4934:tid 4934] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Sat Jan 18 11:23:22.245035 2025] [suexec:notice] [pid 4934:tid 4934] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Sat Jan 18 11:23:22.272829 2025] [ssl:warn] [pid 4935:tid 4935] AH01906: webmail:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 11:23:22.272853 2025] [ssl:warn] [pid 4935:tid 4935] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Sat Jan 18 11:23:22.273456 2025] [ssl:error] [pid 4935:tid 4935] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 3830339D458B0D8F3C2DA7A13C72861459xxxxx / notbefore: Jan 10 18:13:37 2023 GMT / notafter: Jan  7 18:13:37 2033 GMT]
[Sat Jan 18 11:23:22.273467 2025] [ssl:error] [pid 4935:tid 4935] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Sat Jan 18 11:23:22.359769 2025] [mpm_event:notice] [pid 4935:tid 4935] AH00489: Apache/2.4.62 (Debian) mod_fcgid/2.3.9 OpenSSL/3.0.15 configured -- resuming normal operations
[Sat Jan 18 11:23:22.359806 2025] [core:notice] [pid 4935:tid 4935] AH00094: Command line: '/usr/sbin/apache2'

/var/log/apache2/keyhelp/error.log :

Code: Select all

[Sat Jan 18 08:59:46.509050 2025] [ssl:warn] [pid 609:tid 609] AH01906: kh.domain.tld:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 08:59:46.521494 2025] [ssl:error] [pid 609:tid 609] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 61A71271939FCCC0B446805D2872149E1AF4DC4B / notbefore: Jan 18 08:56:32 2025 GMT / notafter: Jan 16 08:56:32 2035 GMT]
[Sat Jan 18 08:59:46.521505 2025] [ssl:error] [pid 609:tid 609] AH02604: Unable to configure certificate kh.domain.tld:443:0 for stapling
[Sat Jan 18 08:59:46.626587 2025] [ssl:warn] [pid 659:tid 659] AH01906: kh.domain.tld:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 08:59:46.626965 2025] [ssl:error] [pid 659:tid 659] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 61A71271939FCCC0B446805D2872149E1AF4DC4B / notbefore: Jan 18 08:56:32 2025 GMT / notafter: Jan 16 08:56:32 2035 GMT]
[Sat Jan 18 08:59:46.626973 2025] [ssl:error] [pid 659:tid 659] AH02604: Unable to configure certificate kh.domain.tld:443:0 for stapling
[Sat Jan 18 09:01:23.294186 2025] [authz_core:error] [pid 1552:tid 1615] [client 207.154.212.47:39108] AH01630: client denied by server configuration: /home/keyhelp/www/keyhelp/server-status

Die user configuration files habe ich bereits neu schreiben lassen. Hat jemand eine schnelle Lösung parat ?

[tab-kh]

Bist du sicher, dass das nicht schon vorher so war?

[xeppel]

was genau ?? Die Seiten waren natürlich aufrufbar, und die Fehler kommen ja direkt beim Aufruf...

edit: und ja solche Logeinträge sind nicht beim alten Server vorhanden.

wenn ich den originalen Ordner "/etc/ssl/keyhelp" verwende und die toolbox neu laufen lasse, kommt am Ende:

Code: Select all

[18-Jan-2025 12:51:31] ERROR | Apache: syntax error:
+++++
AH00526: Syntax error on line 36 of /etc/apache2/keyhelp/keyhelp.conf:
SSLCertificateFile: file '/etc/ssl/keyhelp/keyhelp.pem' does not exist or is emp                                                                                                                                                             ty
Action 'configtest' failed.
The Apache error log may have more information.

Die Datei gibts in der Tat nicht.

[xeppel]

Keine Lösung ?

[Jolinar]

Keine Lösung ?

Seriously...?
Es ist Wochenende und du beschwerst dich schon nach 5 Stunden, daß niemand eine Lösung hat...?

[Florian]

Hallo,

in /etc/ssl/keyhelp sollten schon die Links da sein die auf das jeweilig genutzte Zertifikat zeigen. Ansonsten gibt es Probleme

Wie sieht der Ordner aus? Wie sieht der Ordner im Backup aus?

[Tobi]

Ich würde ganz pragmatisch an die Sache rangehen.

Panel per IP aufrufen und Panel-Zertifikat auf ein selbst-signiertes umstellen. Dann den Anweisungen am Bildschirm folgen und nach dem Reboot mindestens fünf Minuten warten.

Wenn dieser Schritt geklappt hat das Panel-Zertifikat wieder auf Let‘s Encrypt umstellen, reboot und wieder warten.

Dann sollte alles wieder laufen.

[24unix]

Ich würde ganz pragmatisch an die Sache rangehen.

Panel per IP aufrufen und Panel-Zertifikat auf ein selbst-signiertes umstellen. Dann den Anweisungen am Bildschirm folgen und nach dem Reboot mindestens fünf Minuten warten.

Wenn dieser Schritt geklappt hat das Panel-Zertifikat wieder auf Let‘s Encrypt umstellen, reboot und wieder warten.

Dann sollte alles wieder laufen.

Ich weiß ja, dass Du gerne rebootest, aber das kann man sich wirklich sparen.

Ne shell auf:

Code: Select all

tail -f /var/log/keyhelp/cronjob/ssl-maintenance.log

Cert auf selbstgeneriertes Cert umstellen, zur vollen Minute warten, in der Shell sollte man nun Änderungen sehen.
Wieder auf LE, wieder zur vollen Minute warten, man sollte in der Shell sehen, wie das neue Cert geholt wird, fertig.

[xeppel]

hi,

Code: Select all

root@kh:/etc/ssl/keyhelp# ls
files       keyhelp-ca.crt  mail-ca.crt  root-ca.crt
ftp-ca.crt  keyhelp.pem     mail.pem     webmail-ca.crt
ftp.pem     letsencrypt     pem          webmail.pem

in "letsencrypt" befinden sich die Zertifikate der Webseiten, die hab ich ja aus dem /restore Verzeichnis alle verschoben bzw. kopiert, somit identisch wie im Backup. Ich hatte den gesamten /etc/ssl/keyhelp Ordner auch testweise nochmal manuell vom alten auf den neuen kopiert.

Wie stelle ich das Panel-Zertifikat auf ein selbst-signiertes um ?

[24unix]

Security => SSL/TSL Certificates => Da ist ein Button "Secure server services"

[xeppel]

danke, aber da gibts nur Let's Encrypt? und bei Webmail ist gar nichts ? beim alten Server ist das aber genauso.

Wenn ich dort eines erstellen möchte kommt "Zertifikats-Repository ist nicht beschreibbar: /etc/ssl/keyhelp/files.". was sind hier die richtigen Berechtigungen auf den Ordner ? bei mir ist es "drwx------ 2 1000 1000" - 1000 gibt es als User gar nicht...

Code: Select all

root@kh:/etc/ssl/keyhelp# getent passwd 1000
root@kh:/etc/ssl/keyhelp#

[24unix]

Ich denke, wenn man bei $SnakeOil viel Geld für ein Cert bezahlt hat, wird das da auch angezeigt, aber ich habe keine Ahnung, seit es LE gibt habe ich dafür kein Geld mehr ausgegeben.

Ich hoffe, dass sich das mit WebMail mit KeyHelp 25.0 bald ändert.

Edit: Ach ja, ich lese den Thread gerade noch mal komplett.

Statt ls solltest Du Dir evtl ein alias angewöhnen, ll, für "ls -las" oder "lsd -las"

Ist aussagekräftiger, im Zweifel siehst Du auch ob symlinks broken sind:

[24unix]

Ich mache mal nen Doppelpost, damit das in den Edits nicht untergeht:

Das sind die Rechte auf /etc/ssl/keyhelp/files

drwx------ keyhelp keyhelp 4 KB Mon May 8 20:17:10 2023  files

Den user keyhelp gibt es hoffentlich bei Dir?

Code: Select all

keyhelp:x:1000:1000::/home/keyhelp/:/bin/false

[xeppel]

Code: Select all

total 20
4 drwx------ 2 1000 1000 4096 Jan 19  2023 .
4 drwxr-xr-x 5 root root 4096 Jan 18 19:45 ..
4 -rw------- 1 1000 1000 2358 Jan 10  2023 default-ca.crt
4 -rw------- 1 1000 1000 1517 Jan 10  2023 default.crt
4 -rw------- 1 1000 1000 1708 Jan 10  2023 default.key

ja keyhelp gibts, ist bei mir ID 1002. Habs jetzt mal angepasst zu diesem User.

[24unix]

Hmm, warum auch immer der ne andere UID hat:

Code: Select all

chown -R keyhelp:keyhelp /etc/ssl/keyhelp/files