Keine Lets Encrypt Zertifikate möglich

[Andy]

STOP - Bitte lesen Sie die nächsten Zeilen aufmerksam!

1) Bitte füllen Sie die unten stehende Beitragsvorlage vollständig aus!
2) Die Mitglieder dieses Forum stellen ihre wertvolle Zeit zur Verfügung, um zu helfen! Bitte stellen Sie im Gegenzug soviel Informationen wie möglich zur Verfügung und seien Sie in der Fehlerbeschreibung konkret. Beiträge die geringe Eigeninitiative zeigen werden wahrscheinlich keine guten Antworten erhalten!

Sie können diesen oberen Teil der Beitragsvorlage entfernen.
Die folgende Beitragsvorlage darf jedoch in keinem Fall entfernt werden.
---------------------------------------------------------------------------


Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)

ja

Server-Betriebssystem + Version
Debian 12.7 (64-bit)


Eingesetzte Server-Virtualisierung-Technologie
(z.B. keine, OpenVZ, KVM, XEN, etc.)
KVM

KeyHelp-Version + Build-Nummer

24.2 (Build 3326)

Problembeschreibung / Fehlermeldungen

ES werden keine Domains mit Lets Encrypt abgesichert.

Erwartetes Ergebnis

aktives Lets Encrypt Zertifikat

Tatsächliches Ergebnis
Unter Ereignis-Protokolle steht
Failed to aquire a Let's Encrypt certificate for meinedomain.tld.
Curl: OpenSSL/3.0.14: error:0A000119:SSL routines::decryption failed or bad record mac (https://acme-v02.api.letsencrypt.org/directory)

Schritte zur Reproduktion

Kann es sein, dass Lets Encrypt gerade etwas Probleme hat?

Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))

Es wurden keine Änderungen vorgenommen

[tab-kh]

Möglich ist natürlich vieles, auch dass LE Probleme hat. Oder dass das Netzwerk in irgendeiner Form Probleme hat. Jedenfalls habe ich bei mir gerade problemlos ein LE-Zerifikat für eine neue Domain erstellen lassen. Wenn LE also Probleme hat, dann entweder nur sporadisch oder sie sind bereits gelöst.

[Andy]

Bei mir geht es leider überhaupt nicht. Server neu gestartet hatte ich auch mal, aber ohne Erfolg.

[omexlu]

Hi,

- Ist es eine neue Domain?
- Sind die A und AAAA-Records korrekt?

Falls die Domain neu ist sind eventuell die DNS-Changes noch nicht um die Welt (hatte das Problem auch Mal).

[Andy]

Das ist alles in Ordnung. Es ist nicht nur bei neuen Domains, sondern auch bei alten Domains.
Bei allen Domains die bisher keine Zertifikat hatten, geht es nicht.

[24unix]

- Sind die A und AAAA-Records korrekt?

So was könnte man ja schnell verifizieren, wenn die Leute aus den Domains nicht immer ein Staatsgeheimnis machen würden.
Wenn ich Threads mit "meinedomain.tld." sehe, ignorier ich die meistens, die Leute wollen ja eh kein konstruktive Hilfe, sondern Kristallkugelleser.

[Andy]

Zb: Subdomain x5.andreas.s1.joserv-server.de
Routing ist auf die richtige IP.

[24unix]

Zb: Subdomain x5.andreas.s1.joserv-server.de
Routing ist auf die richtige IP.

Da kommt ein 307 redirect auf Port 80. Evtl. mag LE das nicht, nimm den redirect mal raus.

[Andy]

Geht nicht

[24unix]

Mach mal eine Shell (wahrscheinlich Putty) auf, gehe in das log Verzeichnis der betreffenden Domain, und gibt ein

Code: Select all

tail -f *.log

lass, das Fenster offen, und jetzt trigger eine Zertifikatserneuerung, an einfachsten, die Domain auf ohne Zertifikat stellen, eine Minute warten, bis die Änderung durch ist (Cron zur vollen Minute), dann wieder auf LE stellen, und dann in der Shell gucken, ob LE versucht, auf den Server zuzugreifen.

Du kannst auch in die Datei: /var/log/keyhelp/cronjob/ssl-maintenance.log
gucken, und ggf. Fehlmeldungen hier posten (in Code-Blocks).

[Andy]

Ich wollte es jetzt mal mit einen neu angelegten Account testen.
Ich bekomme beim Anlegen eines neuen Kunden folgende Meldung.
Failed to check the password against https://haveibeenpwned.com/.
The following error occurred: Curl: OpenSSL/3.0.14: error:0A00041A:SSL routines::tlsv1 alert decode error (https://api.pwnedpasswords.com/range/B43D1)

Die Zugangsdaten vom neu angelegten Account funktionieren.
Für die automatisch erstellte Subdomain konnte ich ein Zertifikat anlegen.
Die in meiner Domainverwaltung neu angelegte Sub-Domain wird als bereits vorhanden erkannt, was nicht sein kann.
Als Admin kann ich die Domain dem neu angelegten Kunden zuordnen.
Ein Zertifikat für heuteneuertests1.joserv-server.de ist nicht möglich.
------------------------------------------------------------------------------------------------------------------------------------------------------
Hier spukt es anscheinend. Ohne das ich am Server etwas geändert habe, funktioniert plötzlich alles wieder einwandfrei.
Keine Fehlermeldungen bei Anlegen von Kunden, Domains lassen sich vom Kunden wieder eintragen und die Zertifikate funktionieren auch wieder.
Wie kann das sein....
Vielen Dank für die Hilfe...