SSL Zertifikat wird nicht ausgestellt [GELÖST]

[queermeet]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
ja


Server-Betriebssystem + Version
Debian 12


Eingesetzte Server-Virtualisierung-Technologie
Proxmox


KeyHelp-Version + Build-Nummer
25.0 (Build 3398)


Problembeschreibung / Fehlermeldungen
Beim Ausstellen des Zertifikats kommt ein Fehler



Log Ausschnitt:


\[2025-05-09 10:21:01] INFO | starting ssl certification maintenance
\[2025-05-09 10:21:01] INFO | checking (normal) SSL/TLS certificates
\[2025-05-09 10:21:01] INFO | check certificate "\[ID 1]"
\[2025-05-09 10:21:01] INFO | certificate name is "default"
\[2025-05-09 10:21:01] INFO | certificate is valid until 2035-05-06 17:14:39 (3649 days left)
\[2025-05-09 10:21:01] INFO | checking lets encrypt certificates
\[2025-05-09 10:21:01] INFO | remove unused accounts / certificates
\[2025-05-09 10:21:01] INFO | check domain "queermeet.de'
\[2025-05-09 10:21:01] INFO | certificate file does not exist
\[2025-05-09 10:21:01] INFO | renew cert
\[2025-05-09 10:21:01] INFO | Using certificate authority: "[https://acme-v02.api.letsencrypt.org/](https://acme-v02.api.letsencrypt.org/)" (PRODUCTION).
\[2025-05-09 10:21:01] INFO | Getting endpoint URLs.
\[2025-05-09 10:21:02] INFO | Account "mrcrossii" already registered. Continue.
\[2025-05-09 10:21:02] INFO | Requesting Key ID.
\[2025-05-09 10:21:02] INFO | Sending signed request to "[https://acme-v02.api.letsencrypt.org/acme/new-acct](https://acme-v02.api.letsencrypt.org/acme/new-acct)".
\[2025-05-09 10:21:03] INFO | Start certificate generation.
\[2025-05-09 10:21:03] INFO | Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-681dbaef590ef2.87272567
\[2025-05-09 10:21:03] INFO | URL: [http://queermeet.de/.well-known/acme-ch ... 2.87272567](http://queermeet.de/.well-known/acme-ch ... 2.87272567) | HTTP code: 404 | HTTP body (first 100 chars): <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">\<h
\[2025-05-09 10:21:03] ERROR | a Let's Encrypt error occurred: Local resolving checks failed for domain "queermeet.de". Please ensure that your domain is locally resolvable!
\[2025-05-09 10:21:03] INFO | check domain "[www.queermeet.de](http://www.queermeet.de)'
\[2025-05-09 10:21:03] INFO | certificate file does not exist
\[2025-05-09 10:21:03] INFO | renew cert
\[2025-05-09 10:21:03] INFO | Using certificate authority: "[https://acme-v02.api.letsencrypt.org/](https://acme-v02.api.letsencrypt.org/)" (PRODUCTION).
\[2025-05-09 10:21:03] INFO | Getting endpoint URLs.
\[2025-05-09 10:21:03] INFO | Account "mrcrossii" already registered. Continue.
\[2025-05-09 10:21:03] INFO | Requesting Key ID.
\[2025-05-09 10:21:03] INFO | Sending signed request to "[https://acme-v02.api.letsencrypt.org/acme/new-acct](https://acme-v02.api.letsencrypt.org/acme/new-acct)".
\[2025-05-09 10:21:04] INFO | Start certificate generation.
\[2025-05-09 10:21:04] INFO | Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-681dbaf0c602f7.49538345
\[2025-05-09 10:21:04] INFO | URL: [http://www.queermeet.de/.well-known/acm ... 7.49538345](http://www.queermeet.de/.well-known/acm ... 7.49538345) | HTTP code: 404 | HTTP body (first 100 chars): <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">\<h
\[2025-05-09 10:21:04] ERROR | a Let's Encrypt error occurred: Local resolving checks failed for domain "[www.queermeet.de](http://www.queermeet.de)". Please ensure that your domain is locally resolvable!
\[2025-05-09 10:21:04] INFO | check domain "mrcrossii.de'
\[2025-05-09 10:21:04] INFO | certificate file does not exist
\[2025-05-09 10:21:04] INFO | renew cert
\[2025-05-09 10:21:04] INFO | Using certificate authority: "[https://acme-v02.api.letsencrypt.org/](https://acme-v02.api.letsencrypt.org/)" (PRODUCTION).
\[2025-05-09 10:21:04] INFO | Getting endpoint URLs.
\[2025-05-09 10:21:05] INFO | Account "mrcrossii" already registered. Continue.
\[2025-05-09 10:21:05] INFO | Requesting Key ID.
\[2025-05-09 10:21:05] INFO | Sending signed request to "[https://acme-v02.api.letsencrypt.org/acme/new-acct](https://acme-v02.api.letsencrypt.org/acme/new-acct)".
\[2025-05-09 10:21:06] INFO | Start certificate generation.
\[2025-05-09 10:21:06] INFO | Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-681dbaf22d2949.45568155
\[2025-05-09 10:21:06] INFO | URL: [http://mrcrossii.de/.well-known/acme-ch ... 9.45568155](http://mrcrossii.de/.well-known/acme-ch ... 9.45568155) | HTTP code: 404 | HTTP body (first 100 chars): <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">\<h
\[2025-05-09 10:21:06] ERROR | a Let's Encrypt error occurred: Local resolving checks failed for domain "mrcrossii.de". Please ensure that your domain is locally resolvable!
\[2025-05-09 10:21:06] INFO | check domain "[www.mrcrossii.de](http://www.mrcrossii.de)'
\[2025-05-09 10:21:06] INFO | certificate file does not exist
\[2025-05-09 10:21:06] INFO | renew cert
\[2025-05-09 10:21:06] INFO | Using certificate authority: "[https://acme-v02.api.letsencrypt.org/](https://acme-v02.api.letsencrypt.org/)" (PRODUCTION).
\[2025-05-09 10:21:06] INFO | Getting endpoint URLs.

[Florian]

Hallo,

die Domains zeigen korrekt auf den Server? Hast du geprüft, dass der Server die Domains richtig auflösen kann?

[Alexander]

Hallo,

hast du das denn überprüft?

Code: Select all

ERROR | a Let's Encrypt error occurred: Local resolving checks failed for domain "queermeet.de". Please ensure that your domain is locally resolvable!

Einfach mal AUF DEM SERVER mittels z.B. wget, curl o.Ä. versuchen, die Domain zu erreichen, bzw. diese URL:

Code: Select all

http://queermeet.de/.well-known/acme-challenge/local-check-681dbaef590ef2.87272567

[queermeet]

Wir haben gestern eine Umstellung auf einen anderen Server gemacht, aber das DNS Lookup zeigt bereits auf die richtigen Server und ich kann die Domain auch aufrufen über meinen Browser

Hier auch direkt mit test.php im root Verzeichnis der Domain

http://queermeet.de/test.php



Wenn ich die Domain http://queermeet.de/.well-known/acme-ch ... 2.87272567

aufrufe zeigt mir das System an:

[Florian]

Hallo,

du musst die URL mal auf Deinem Server aufrufen.

Es kann ferner auch noch etwas dauern bis Let's Encpryt die DNS Änderung übernommen hat.

[queermeet]

Ja, scheint wohl so, denn beim Aufruf über curl im Terminal findet der Server noch die alte Liveconfig "Domain nicht gefunden" Seite

[queermeet]

Ich hab nochmal eine Frage, ich bin nämlich neu in der Netzwerktechnik


warum wird der token unter/home/keyhelp/www/.well-known/acme-challenge/local-check-681dffe229cc86.38720675 gespeichert, obwohl meine Domain unter /home/users/mrcrossii/www/queermeet.de liegt?


Ich verstehen nicht so ganz, wie ich dann über http://www.queermeet.de/.well-known/acm ... 6.38720675 den Check über den Server richtig aufrufen soll?

[queermeet]

und was ich auch nicht verstehe:

wenn ich queermeet.de direkt aufrufe oder auch über https://dnschecker.org/ prüfe, wird auf allen Servern der richtie IP und NS Eintrag erkannt, aber warum zeigt curl immer noch die alte Version an, wenn ich die local-check Domain aufrufe?

[Alexander]

Ich verstehen nicht so ganz, wie ich dann über http://www.queermeet.de/.well-known/acm ... 6.38720675 den Check über den Server richtig aufrufen soll?

Die Antwort liegt in dieser Datei:

/etc/apache2/conf-available/acme.conf

Code: Select all

#
# KeyHelp webserver config file for Apache 2.4
#

Alias "/.well-known/acme-challenge" "/home/keyhelp/www/.well-known/acme-challenge"
<Directory "/home/keyhelp/www/.well-known/acme-challenge">
    Require all granted
</Directory>

Dies erzeugt für jede Domain auf dem Server einen Alias für die URL <DOMAIN-NAME>/.well-known/acme-challenge der auf Dateiebene auf diesen Ordner zeigt: /home/keyhelp/www/.well-known/acme-challenge

Wenn ich das nicht machen würde, müsste ich immer wenn ein Let's Encrypt Zertifikat beantragt werden soll, in den Dateien der Nutzer herumpfuschen und diesen Ordner manuell erstellen und das wäre für alle Beteiligten äußerst unschön .

[queermeet]

Ah okay, danke.

Aber ich verstehe trotzdem nicht, warum nach mittlerweile 24 Stunden die curl Antwort im terminal auf dem Server immer noch den alten HTML Output des alten Servers anzeigt

Wie gesagt, ich habe 3 Seiten ausprobiert, die NS und A Einträge anzeigen und alle Server, egal ob Deutsche oder irgendwelche im Ausland zeigen alle die Richtige IP und den richtigen NS an, ist doch irgendwie komisch

[Florian]

Hallo,

welche Nameserver nutzt Dein Server für resolving?

[Alexander]

Du kannst übrigens auch temporär die Lokale Überprüfung deaktivieren:

Im KeyHelp -> Konfiguration -> SSL/TLS-Zertifikate -> Lokale Prüfungen der Domain-Namen-Auflösung durchführen -> Einstellung deaktivieren

Sofern die DNS-Einstellungen bei Let's Encrypt schon aktuell sind, solltest du das Zertifikat beziehen können. Das Problem der lokalen Auflösung solltest du dann aber trotzdem beheben (und die oben genannte Option dann wieder aktivieren).

[queermeet]

@Florian:

Ich nutze die meines Server-Anbieters

dns51.cloudns.net.
dns52.cloudns.net.
dns53.cloudns.net.
dns54.cloudns.net.

@Alexander:

danke, das hat geholfen, ich habe das Zertifikat bekommen