KeyHelp Community

Hallo,

ich wollte gerade über das Panel eine neu eingetragene Domain mit SSL sichern, doch mir wird nur angezeigt, dass ein Fehler vorliegt. Einen genauen Fehlerlog habe ich leider nicht (im Wartungslog von den SSL Zertifikaten steht leider nichts). Als ich das ganze bei einer Domain ausprobiert habe, die schon seit wochen mit dem Server verbunden ist, welche ich momentan hauptsächlich für Emails verwende, hats auch nicht geklappt und der DNS-Record ist eingestellt.

Hat hier jemand eine Idee woran das liegen könnte, bzw. wo ich einen Fehlerlog herbekomme?

Mit freundlichen Grüßen

Jochen Mehlich

Hallo,

bei erstmaliger Ausstellung ist zunächst die Aufgabenbearbeitung (Protokoll: update.log) dafür zuständig. Hier sollten Sie fündig werden.

Hallo zusammen,

bevor ich jetzt den dritten Thread deswegen öffne, hänge ich mich hier dran (Sollte das nicht gewünscht sein, gerne sagen, ich bin erst seit ca. 1,5h User von keyhelp).

Ich habe einen frisch installierten Debian 10 - Server mit keyhelp ausgestattet. Alles läuft Rund.... bis auf lets encrypt.

im update.log findet sich folgender Eintrag:

Code: Select all

[28-Jan-2021 09:15:49] ERROR --> Apache: a Let's Encrypt error occurred: Curl: HTTP/2 stream 0 was not closed cleanly: PROTOCOL_ERROR (err 1) (https://acme-v02.api.letsencrypt.org/acme/finalize/110977006/7570046793)

Habt ihr eine Idee was ich machen muss?

Vg Oli

@oroth

Dein Server hat scheinbar ein Problem mit Curl und HTTP/2.
Bis auf minimal-Installation des OS + KeyHelp Install wurden keine Änderungen am Server vorgenommen, korrekt?
(Einstellungen über KeyHelp ausgenommen)

Poste bitte einmal das Ergebnis des Konsolenbefehls "curl -V"

Weiterhin wäre der Curl Abschnitt der phpinfo() Funktion hilfreich:

1) Hierzu eine PHP Datei (z.B. info.php) in den Ordner eines Users anlegen, der über die Standard PHP-Version des Betriebssystems läuft.
2) In die Datei den Inhalt "<?php phpinfo();" ablegen und über den Browser aufrufen.
3) Jetzt den Curl Abschnitt suchen und als Screenshot anhängen.

Weiterhin ggf. auch einmal "apt-get update && apt-get upgrade" ausführen und den PHP-FPM (service php-fpm7.3 restart) einmal neu starten, da es sich ggf. um einen Bug im Curl-System handelt.

Mit dem Befehl "keyhelp-toolbox" -> "Wartungsaufgaben starten" -> "Wartung von SSL/TLS-Zertifikaten (ssl-maintenance)" kannst du das ausstellen auch noch ein weiteres Mal probieren lassen.

Vielen Dank für die schnelle Antwort!

Korrekt, minimal-Installtion, sonst nix!

Hier der Auszug von curl:

Code: Select all

curl -V
curl 7.64.0 (x86_64-pc-linux-gnu) libcurl/7.64.0 OpenSSL/1.1.1d zlib/1.2.11 libidn2/2.0.5 libpsl/0.20.2 (+libidn2/2.0.5) libssh2/1.8.0 nghttp2/1.36.0 librtmp/2.3
Release-Date: 2019-02-06
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtmp rtsp scp sftp smb smbs smtp smtps telnet tftp 
Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz TLS-SRP HTTP2 UnixSockets HTTPS-proxy PSL

im Anhang der Screen vom Abschnitt curl in der phpinfo

ich habe auch das apt-get update & upgrade ausgeführt (ohne ergebnis) und den service restartet.
Danach die Wartung angestoßen und eine Mail bekommen mit dem gleichen Fehler.

Hallo,

poste bitte mal mehr von dem Log bezüglich Let's Encrypt.

Die Zeilen davor sind ggf auch interessant.

Und bitte einmal "apache2ctl -M" ausführen und posten.

Komisch.... habe nichts weiter dran gemacht, aber jetzt ist die Wartung ohne Fehler durchgelaufen, alles ok!

hier trotzdem nochmal die Logs der beiden Wartungsdurchläufe:

Code: Select all

====
[28-Jan-2021 10:25:01] INFO  --> starting ssl certification maintenance
[28-Jan-2021 10:25:01] INFO  --> checking (normal) SSL/TLS certificates
[28-Jan-2021 10:25:01] INFO  --> check certificate "[ID 1]"
[28-Jan-2021 10:25:01] INFO  --> certificate name is "default"
[28-Jan-2021 10:25:01] INFO  --> certificate is valid until 2031-01-26 00:13:19 (3649 days left)
[28-Jan-2021 10:25:01] INFO  --> checking lets encrypt certificates
[28-Jan-2021 10:25:01] INFO  --> remove unused accounts / certificates
[28-Jan-2021 10:25:01] INFO  --> check domain "sw6-demo.xxxx.de'
[28-Jan-2021 10:25:01] INFO  --> certificate file does not exist
[28-Jan-2021 10:25:01] INFO  --> renew cert
[28-Jan-2021 10:25:01] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[28-Jan-2021 10:25:01] INFO  --> Getting endpoint URLs.
[28-Jan-2021 10:25:02] INFO  --> Account "sw6-demo" already registered. Continue.
[28-Jan-2021 10:25:02] INFO  --> Requesting Key ID.
[28-Jan-2021 10:25:02] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[28-Jan-2021 10:25:04] ERROR --> a Let's Encrypt error occurred: Curl: OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to acme-v02.api.letsencrypt.org:443  (https://acme-v02.api.letsencrypt.org/acme/new-acct)
[28-Jan-2021 10:25:04] INFO  --> check domain "xxxx.de'
[28-Jan-2021 10:25:04] INFO  --> certificate is valid until 2021-04-28 00:19:11 (89 days left)
[28-Jan-2021 10:25:04] INFO  --> send notification to user "sw6-demo" (xxxx@gmail.com)
[28-Jan-2021 10:25:04] INFO  --> finished
====
[28-Jan-2021 12:17:01] INFO  --> starting ssl certification maintenance
[28-Jan-2021 12:17:01] INFO  --> checking (normal) SSL/TLS certificates
[28-Jan-2021 12:17:01] INFO  --> check certificate "[ID 1]"
[28-Jan-2021 12:17:01] INFO  --> certificate name is "default"
[28-Jan-2021 12:17:01] INFO  --> certificate is valid until 2031-01-26 00:13:19 (3649 days left)
[28-Jan-2021 12:17:01] INFO  --> checking lets encrypt certificates
[28-Jan-2021 12:17:01] INFO  --> remove unused accounts / certificates
[28-Jan-2021 12:17:01] INFO  --> check domain "sw6-demo.xxxx.de'
[28-Jan-2021 12:17:01] INFO  --> certificate file does not exist
[28-Jan-2021 12:17:01] INFO  --> renew cert
[28-Jan-2021 12:17:01] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[28-Jan-2021 12:17:01] INFO  --> Getting endpoint URLs.
[28-Jan-2021 12:17:02] INFO  --> Account "sw6-demo" already registered. Continue.
[28-Jan-2021 12:17:02] INFO  --> Requesting Key ID.
[28-Jan-2021 12:17:02] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[28-Jan-2021 12:17:03] INFO  --> Start certificate generation.
[28-Jan-2021 12:17:03] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/local-check-60129d2f9dc129.02514443
[28-Jan-2021 12:17:03] INFO  --> Local resolving checks of domains successfully completed.
[28-Jan-2021 12:17:03] INFO  --> Requesting challenges for domain "sw6-demo.xxxx.de".
[28-Jan-2021 12:17:03] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-order".
[28-Jan-2021 12:17:05] INFO  --> Start authorization process for "sw6-demo.xxxx.de".
[28-Jan-2021 12:17:05] INFO  --> Deploy challenge.
[28-Jan-2021 12:17:05] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/STXHLJ34K99ABoBvhIj-DJMp1PMuCUY3k4_B0l4n4Cg
[28-Jan-2021 12:17:05] INFO  --> Notify CA that the challenge is ready.
[28-Jan-2021 12:17:05] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/10417791538/CFMXtQ".
[28-Jan-2021 12:17:06] INFO  --> Verification successful.
[28-Jan-2021 12:17:06] INFO  --> Sending CSR.
[28-Jan-2021 12:17:06] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/finalize/110977006/7570046793".
[28-Jan-2021 12:17:09] INFO  --> Certificate received (Length: 3794).
[28-Jan-2021 12:17:09] INFO  --> Save as fullchain.pem.test
[28-Jan-2021 12:17:09] INFO  --> File seems okay!
[28-Jan-2021 12:17:09] INFO  --> Save as cert.pem.test
[28-Jan-2021 12:17:09] INFO  --> File seems okay!
[28-Jan-2021 12:17:09] INFO  --> Save as chain.pem.test
[28-Jan-2021 12:17:09] INFO  --> File seems okay!
[28-Jan-2021 12:17:09] INFO  --> Save as complete.pem.test
[28-Jan-2021 12:17:09] INFO  --> File seems okay!
[28-Jan-2021 12:17:09] INFO  --> Rename from fullchain.pem.test -> fullchain.pem
[28-Jan-2021 12:17:09] INFO  --> Rename from cert.pem.test -> cert.pem
[28-Jan-2021 12:17:09] INFO  --> Rename from chain.pem.test -> chain.pem
[28-Jan-2021 12:17:09] INFO  --> Rename from complete.pem.test -> complete.pem
[28-Jan-2021 12:17:09] INFO  --> All done.
[28-Jan-2021 12:17:09] INFO  --> check domain "xxxx.de'
[28-Jan-2021 12:17:09] INFO  --> certificate is valid until 2021-04-28 00:19:11 (89 days left)
[28-Jan-2021 12:17:09] INFO  --> Apache: reloadApache()
[28-Jan-2021 12:17:09] INFO  --> Apache: syntax ok
[28-Jan-2021 12:17:09] INFO  --> Apache: reloading apache
[28-Jan-2021 12:17:09] INFO  --> lets encrypt certificates updated
[28-Jan-2021 12:17:09] INFO  --> finished
====

und hier der Output von apache2ctl -M

Code: Select all

apache2ctl -M
Loaded Modules:
 core_module (static)
 so_module (static)
 watchdog_module (static)
 http_module (static)
 log_config_module (static)
 logio_module (static)
 version_module (static)
 unixd_module (static)
 access_compat_module (shared)
 actions_module (shared)
 alias_module (shared)
 auth_basic_module (shared)
 auth_digest_module (shared)
 authn_core_module (shared)
 authn_file_module (shared)
 authz_core_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgid_module (shared)
 deflate_module (shared)
 dir_module (shared)
 env_module (shared)
 expires_module (shared)
 fcgid_module (shared)
 filter_module (shared)
 headers_module (shared)
 http2_module (shared)
 include_module (shared)
 mime_module (shared)
 mpm_worker_module (shared)
 negotiation_module (shared)
 proxy_module (shared)
 proxy_fcgi_module (shared)
 reqtimeout_module (shared)
 rewrite_module (shared)
 setenvif_module (shared)
 socache_shmcb_module (shared)
 ssl_module (shared)
 status_module (shared)
 suexec_module (shared)

Alexander wrote: ↑Thu 28. Jan 2021, 09:19 Hallo,

bei erstmaliger Ausstellung ist zunächst die Aufgabenbearbeitung (Protokoll: update.log) dafür zuständig. Hier sollten Sie fündig werden.

Vielen Dank habs gefunden.

Dort erscheint

Code: Select all

28-Jan-2021 18:59:04] ERROR --> Apache: a Let's Encrypt error occurred: Failed to get account URL. Response: {"type":"urn:ietf:params:acme:error:malformed","detail":"must agree to terms of service","status":400}

Wo soll ich die TOS akzeptieren?

Mit freundlichen Grüßen

Jochen Mehlich

Die werden von KeyHelp immer akzeptiert.

1)
Versuche es am besten erstmal noch einmal. Bei den Mädels/Jungs der Let's Encrypt-CA lief es gefühlt gestern scheinbar nicht 100%-ig rund.

Mit dem Konsolen-Befehl "keyhelp-toolbox" -> "Wartungsaufgaben starten" -> "Wartung von SSL/TLS-Zertifikaten (ssl-maintenance)" kannst du das Ausstellen erneut triggern.

2)
Wenn das nicht hilft, lösche einmal das folgende Verzeichnis (mach dir aber vorher eine Sicherungskopie):

/etc/ssl/keyhelp/letsencrypt/<NAME DES BENUTZERS DER DOMAIN>

Anschließend triggerst du das erneute Ausstellen wie bei 1) beschrieben.

Punkt 2 hat super geklappt

, musste danach nur nochmal das ganze über das Webinterface neu triggern, dann hat alles geklappt. Vielen vielen Dank

KeyHelp Community

Lets encrypt erstellt keine Zertifikate mehr

Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr

Re: Lets encrypt erstellt keine Zertifikate mehr [GELÖST]

Re: Lets encrypt erstellt keine Zertifikate mehr