HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

AstroLulu · Post by **AstroLulu** » Sun 13. Oct 2024, 19:33

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)
Ja

Server-Betriebssystem + Version
(z.B. Ubuntu 20.04)
Debian 12 Bookworm

Eingesetzte Server-Virtualisierung-Technologie
(z.B. keine, OpenVZ, KVM, XEN, etc.)
KVM

KeyHelp-Version + Build-Nummer
(z.B. 22.0 - Build 2366)
Neueste (vor 30 min installiert)

Problembeschreibung / Fehlermeldungen
Am anfang der installation wurde ich gefragt, eine domain zu setzen. Ich habe eine Domain die auf den Server zeigt.
Ich setze keyhelp.trinczek.xyz im installer.

Erwartetes Ergebnis
Ich kann mit keyhelp.trinczek.xyz auf das keyhelp webinterface zugreifen

Tatsächliches Ergebnis
Ich bekomme einen HSTS Fehler, und kann nicht über die Domain drauf zugreifen. Per IP funktioniert es.

Schritte zur Reproduktion
Installer ausführen, keyhelp.trinczek.xyz eingeben und normal installieren lassen.

Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))

apache2 error log

Code: Select all

[Sun Oct 13 19:12:53.055994 2024] [ssl:error] [pid 943:tid 943] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 205AC17131E5BB292C20A09BC488B890DB352241 / notbefore: Oct 13 17:07:34 2024 GMT / notafter: Oct 11 17:07:34 2034 GMT]
[Sun Oct 13 19:12:53.056009 2024] [ssl:error] [pid 943:tid 943] AH02604: Unable to configure certificate keyhelp.trinczek.xyz:443:0 for stapling
[Sun Oct 13 19:12:53.057488 2024] [ssl:warn] [pid 943:tid 943] AH01906: webmail:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Oct 13 19:12:53.057500 2024] [ssl:warn] [pid 943:tid 943] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 13 19:12:53.057819 2024] [ssl:error] [pid 943:tid 943] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 205AC17131E5BB292C20A09BC488B890DB352241 / notbefore: Oct 13 17:07:34 2024 GMT / notafter: Oct 11 17:07:34 2034 GMT]
[Sun Oct 13 19:12:53.057844 2024] [ssl:error] [pid 943:tid 943] AH02604: Unable to configure certificate webmail:443:0 for stapling

apache 2 keyhelp ordner error log

Code: Select all

[Sun Oct 13 19:07:53.820076 2024] [ssl:warn] [pid 16393:tid 16393] AH01906: keyhelp.trinczek.xyz:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Oct 13 19:07:53.820372 2024] [ssl:error] [pid 16393:tid 16393] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 205AC17131E5BB292C20A09BC488B890DB352241 / notbefore: Oct 13 17:07:34 2024 GMT / notafter: Oct 11 17:07:34 2034 GMT]
[Sun Oct 13 19:07:53.820379 2024] [ssl:error] [pid 16393:tid 16393] AH02604: Unable to configure certificate keyhelp.trinczek.xyz:443:0 for stapling
[Sun Oct 13 19:07:53.835549 2024] [ssl:warn] [pid 16394:tid 16394] AH01906: keyhelp.trinczek.xyz:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Oct 13 19:07:53.835818 2024] [ssl:error] [pid 16394:tid 16394] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 205AC17131E5BB292C20A09BC488B890DB352241 / notbefore: Oct 13 17:07:34 2024 GMT / notafter: Oct 11 17:07:34 2034 GMT]
[Sun Oct 13 19:07:53.835825 2024] [ssl:error] [pid 16394:tid 16394] AH02604: Unable to configure certificate keyhelp.trinczek.xyz:443:0 for stapling
[Sun Oct 13 19:12:53.022165 2024] [ssl:warn] [pid 912:tid 912] AH01906: keyhelp.trinczek.xyz:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Oct 13 19:12:53.022612 2024] [ssl:error] [pid 912:tid 912] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 205AC17131E5BB292C20A09BC488B890DB352241 / notbefore: Oct 13 17:07:34 2024 GMT / notafter: Oct 11 17:07:34 2034 GMT]
[Sun Oct 13 19:12:53.022620 2024] [ssl:error] [pid 912:tid 912] AH02604: Unable to configure certificate keyhelp.trinczek.xyz:443:0 for stapling
[Sun Oct 13 19:12:53.058788 2024] [ssl:warn] [pid 943:tid 943] AH01906: keyhelp.trinczek.xyz:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Oct 13 19:12:53.059099 2024] [ssl:error] [pid 943:tid 943] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=keyhelp.trinczek.xyz,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 205AC17131E5BB292C20A09BC488B890DB352241 / notbefore: Oct 13 17:07:34 2024 GMT / notafter: Oct 11 17:07:34 2034 GMT]
[Sun Oct 13 19:12:53.059109 2024] [ssl:error] [pid 943:tid 943] AH02604: Unable to configure certificate keyhelp.trinczek.xyz:443:0 for stapling

Auszug aus /var/log/keyhelp/install.log

Code: Select all

################################################################################
################################################################################

=> Installation finished successfully! <=

Finished install: 2024-10-13 17:11:52
Duration: 264 second(s)

Installation Ohne Probleme

Screenshot vom Chrome Fehler bzgl. invalid authority
https://prnt.sc/TmC036fAZxUF

Post by **Jolinar** » Sun 13. Oct 2024, 19:40

AstroLulu wrote: ↑Sun 13. Oct 2024, 19:33 Ich bekomme einen HSTS Fehler, und kann nicht über die Domain drauf zugreifen.

Dann lösche doch einfach den HSTS Eintrag für die betreffende Domain aus deinem Browser.
Hier eine Anleitung -> https://wiki.uni-jena.de/pages/viewpage ... =155811891

AstroLulu · Post by **AstroLulu** » Sun 13. Oct 2024, 19:45

Alles klar. Tatsächlich bekomme ich jetzt nur noch einen Fehler, den ich wegdrücken kann.

Ist der Installer aber nicht eigentlich dafür zuständig, ein gültiges Zertifikat für meine keyhelp Domain auszustellen?
Das funktioniert nach wie vor nicht.

Post by **Tobi** » Sun 13. Oct 2024, 19:48

Setze mal einen AAAA Record für keyhelp.trinczek.xyz.
Dann klappt es auch mit dem SSL-Zertifikat.

NACHTRAG:

Und der RDNS Record stimmt nicht.
Der zeigt noch auf den einprägsamen Servernamen v2202410145650289739.bestsrv.de

Post by **Tobi** » Sun 13. Oct 2024, 19:50

MODERATIVER HINWEIS:

Screenshots bitte immer hier hochladen.
Ich schaue mir keine extern eingebundenen Bilder an.
Es ist auch nicht klar wie lange die Bilder dort sein werden.
Damit hier die Diskussion konsistent ist, bitte hier die Bilder hochladen.

DANKE!!!

AstroLulu · Post by **AstroLulu** » Sun 13. Oct 2024, 21:11

Alles klar. Ihr habt recht. Ich hatte vorhin den AAAA Record entfernt weil ich was anderes testen wollte und habe vergessen ihn wieder hinzuzufügen. rDNS ist komplett an mir vorbeigegangen, weil neuer Server. War mir gar nicht bewusst dass ich das setzen muss. Ist beim letzten Server unbewusst geschehen, weil ich nich wusste was ich da eintrage.

Habe alles jetzt mal gesetzt und hoffe, dass sich was in den nächsten Stunden tut.

Das SSL Zertifikat, dürfte ja in der Regel demnächst einfach gültig werden, oder?

Post by **Jolinar** » Sun 13. Oct 2024, 21:19

AstroLulu wrote: ↑Sun 13. Oct 2024, 21:11 Das SSL Zertifikat, dürfte ja in der Regel demnächst einfach gültig werden, oder?

Entweder warten oder im Panel in der Sektion Wartungsintervalle die Zertifikatswartung manuell anstoßen.

AstroLulu · Post by **AstroLulu** » Sun 13. Oct 2024, 21:37

Andere Frage:
Ist ein AAAA Record wirklich vonnöten?

Ich habe einen Server bei einem Hoster. Auf dem Server läuft Proxmox. Ich habe mir grade eine zweite IPV4 Adresse gemietet, welche ich auf den Container wo Keyhelp läuft route, um nicht ganz wildes anderes Zeug Routen zu müssen, weil ich bei dem Hoster für meinen Server natürlich kein DHCP mit "unendlichen" IPs bekomme.

Habe hierfür nun aber keine IPV6 mehr, da ich nur eine IPV6 vom Rootserver habe.

Für meine Anwendungen auf Keyhelp, brauch ich auch eigentlich kein IPV6.

Geht nun rein um das Zertifikat.

HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

Re: HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

Re: HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

Re: HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

Re: HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

Re: HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

Re: HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation

Re: HSTS Fehler bei Keyhelp Hauptdomain nach neuinstallation