Page 1 of 1
letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 14:47
by smithers
Hallo und guten Tag,
ich betreibe einen Debian Server mit apache2.4 und keyhelp als Admin-Tool. Alle Domains habe ich mit Zertifikaten von letzsencrypt abgesichert mit zwangsweiser Umleitung zu https.
Seit heute ist jedoch keine einzige der Domains mehr aufrufbar und auch die Keyhelp Admin-Oberfläche will sich mir nicht mehr zeigen.
Fehlermeldung des Browsers: ERR_SSL_PROTOCOL_ERROR
Komisch finde ich auch, dass heute morgen der apache down war. Ich habe aber seit Tagen keine Änderungen mehr am Server vorgenommen.
Den log-Dateien kann ich leider keine Fehlermeldungen entlocken (oder ich habe mir nicht die richtigen Dateien angeschaut). Die ssl-maintenance.log verrät mir, dass alle Zertifikate noch bis Juni Gültigkeit haben.
Kann ich keyhelp per Konsole umkonfigurieren, so dass ich temporär mal ssl für alle Domains deaktiviere?
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 14:51
by Jolinar
Auch wenn es banal klingen mag, hast du den Server mal neugestartet?
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 15:18
by smithers
Ich halte mich mit reboot immer zurück, aber habe grad mal einen gemacht. Keine Änderung. Leider.
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 15:20
by Jolinar
Was sagt denn:
Was sagt das Webserverlog?
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 15:29
by smithers
in der error.log hab ich jetzt was gefunden
Code: Select all
[Tue Mar 29 15:11:36.642460 2022] [ssl:warn] [pid 2289:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.642813 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov 5 20:25:17 2021 GMT / notafter: Nov 3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.642818 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Tue Mar 29 15:11:36.665221 2022] [ssl:warn] [pid 2291:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.665336 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov 5 20:25:17 2021 GMT / notafter: Nov 3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.665342 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 16:58
by OlliTheDarkness
smithers wrote: ↑Tue 29. Mar 2022, 15:29
in der error.log hab ich jetzt was gefunden
Code: Select all
[Tue Mar 29 15:11:36.642460 2022] [ssl:warn] [pid 2289:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.642813 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov 5 20:25:17 2021 GMT / notafter: Nov 3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.642818 2022] [ssl:error] [pid 2289:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Tue Mar 29 15:11:36.665221 2022] [ssl:warn] [pid 2291:tid 140154877734208] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 29 15:11:36.665336 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=domain.de,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 1CBFE7633745E956B3ED4B02172A99B6345D6963 / notbefore: Nov 5 20:25:17 2021 GMT / notafter: Nov 3 20:25:17 2031 GMT]
[Tue Mar 29 15:11:36.665342 2022] [ssl:error] [pid 2291:tid 140154877734208] AH02604: Unable to configure certificate webmail:443:0 for stapling
Kein wirklicher Fehler, den findest auf jedem Server.
Der bringt dich bei deinem Problem also nicht weiter.
Code: Select all
/var/log/apache2
/var/log/apache2/keyhelp
/var/log/php7.4-fpm.log
/var/log/keyhelp
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 17:22
by smithers
verdammt.
Die error.log der keyhelp-user sind leer
Auch sonst kann ich nirgends Fehlerlogs erkennen....
/var/log/apache2
/var/log/apache2/keyhelp
/var/log/php7.4-fpm.log
/var/log/keyhelp
/var/log/apache2 --> error.log siehe oben
/var/log/apache2/keyhelp --> alle log leer
/var/log/php7.4-fpm.log --> kein Fehlereintrag
/var/log/keyhelp --> keine Fehlereinträge
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 17:54
by Jolinar
Hängt da eventuell irgendeine externe Firewall dazwischen?
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 21:56
by smithers
nicht das ich wüsste.
Ich habe jetzt einfach mal die keyhelp.conf von Hand umgeschrieben, um den redirect zu https "abzuschalten". Jetzt komme ich zumindest wieder auf das Admin-Panel, kann mich aber nicht einloggen. Nach Eingabe von Benutzer und Passwort erscheint nur die login-Seite erneut. Ohne Fehlermeldung. Ach man....
Re: letsencrypt - was stimmt da nicht?
Posted: Tue 29. Mar 2022, 22:11
by Jolinar
Hast du schon versucht, die User Configs am CLI mit der keyhelp-toolbox neu zu schreiben?
Re: letsencrypt - was stimmt da nicht?
Posted: Wed 30. Mar 2022, 07:50
by smithers
oh, das ist ein sehr guter Hinweis. Da ich bislang noch keine weiteren Probleme mit keyhelp hatte, kannte ich die Toolbox tatsächlich bislang nicht.
Es erscheint folgende Fehlermeldung beim neuanlegen der User Configs:
Code: Select all
sh: 1: named-checkzone: not found
[30-Mar-2022 07:37:40] ERROR --> Bind: Syntax error in zone of domain domain.de (/etc/bind/keyhelp_domains/domain)
sh: 1: named-checkconf: not found
[30-Mar-2022 07:37:40] ERROR --> Bind: syntax error - cannot reload bind9
sh: 1: postmap: not found
[30-Mar-2022 07:37:40] ERROR --> Failed to update SNI configuration
[30-Mar-2022 07:37:40] ERROR --> Apache: syntax error: sh: 1: apachectl: not found
[30-Mar-2022 07:37:40] ERROR --> Apache: no reload due syntax error
[30-Mar-2022 07:37:40] ERROR --> Apache: failed to reload
Re: letsencrypt - was stimmt da nicht?
Posted: Wed 30. Mar 2022, 08:02
by smithers
OK, diese Fehlermeldungen sind auf Grund eines falsch gesetzten §PATH entstanden.
Das neu Schreiben der User Configs läuft jetzt fehlerfrei durch. Nur leider hat es bei meinem Hauptproblem zu keiner Änderung geführt.
Re: letsencrypt - was stimmt da nicht?
Posted: Wed 30. Mar 2022, 09:27
by Alexander
Hallo,
schick mir mal bitte die Logindaten per PM.
Re: letsencrypt - was stimmt da nicht? [SOLVED]
Posted: Wed 30. Mar 2022, 10:54
by Alexander
Problem gelöst: Eine in /etc/apache2/sites-enabled/ hinterlegte Konfiguration hatte zur folge, das am Ende keine Domain des Servers mehr funktionierte.