Page 1 of 2
Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 11:26
by xeppel
hallo,
ich habe meinen Server auf einen neuen Server mit neuer IP mittels der Anleitung hier im Forum wiederhergestellt. doch es gibt jetzt ein Problem mit dem Aufruf aller Webseiten. im Apache Log findet sich folgendes, warum auch immer "webmail" jetzt ein Problem darstellt:
Code: Select all
[Sat Jan 18 11:23:22.041222 2025] [mpm_event:notice] [pid 4447:tid 4447] AH00491: caught SIGTERM, shutting down
[Sat Jan 18 11:23:22.160571 2025] [ssl:warn] [pid 4934:tid 4934] AH01906: webmail:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 11:23:22.160624 2025] [ssl:warn] [pid 4934:tid 4934] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Sat Jan 18 11:23:22.161044 2025] [ssl:error] [pid 4934:tid 4934] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 3830339D458B0D8F3C2DA7A13C72861459xxxxx / notbefore: Jan 10 18:13:37 2023 GMT / notafter: Jan 7 18:13:37 2033 GMT]
[Sat Jan 18 11:23:22.161058 2025] [ssl:error] [pid 4934:tid 4934] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Sat Jan 18 11:23:22.245035 2025] [suexec:notice] [pid 4934:tid 4934] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Sat Jan 18 11:23:22.272829 2025] [ssl:warn] [pid 4935:tid 4935] AH01906: webmail:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 11:23:22.272853 2025] [ssl:warn] [pid 4935:tid 4935] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Sat Jan 18 11:23:22.273456 2025] [ssl:error] [pid 4935:tid 4935] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 3830339D458B0D8F3C2DA7A13C72861459xxxxx / notbefore: Jan 10 18:13:37 2023 GMT / notafter: Jan 7 18:13:37 2033 GMT]
[Sat Jan 18 11:23:22.273467 2025] [ssl:error] [pid 4935:tid 4935] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Sat Jan 18 11:23:22.359769 2025] [mpm_event:notice] [pid 4935:tid 4935] AH00489: Apache/2.4.62 (Debian) mod_fcgid/2.3.9 OpenSSL/3.0.15 configured -- resuming normal operations
[Sat Jan 18 11:23:22.359806 2025] [core:notice] [pid 4935:tid 4935] AH00094: Command line: '/usr/sbin/apache2'
/var/log/apache2/keyhelp/error.log :
Code: Select all
[Sat Jan 18 08:59:46.509050 2025] [ssl:warn] [pid 609:tid 609] AH01906: kh.domain.tld:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 08:59:46.521494 2025] [ssl:error] [pid 609:tid 609] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 61A71271939FCCC0B446805D2872149E1AF4DC4B / notbefore: Jan 18 08:56:32 2025 GMT / notafter: Jan 16 08:56:32 2035 GMT]
[Sat Jan 18 08:59:46.521505 2025] [ssl:error] [pid 609:tid 609] AH02604: Unable to configure certificate kh.domain.tld:443:0 for stapling
[Sat Jan 18 08:59:46.626587 2025] [ssl:warn] [pid 659:tid 659] AH01906: kh.domain.tld:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sat Jan 18 08:59:46.626965 2025] [ssl:error] [pid 659:tid 659] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.tld,CN=kh.domain.tld,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 61A71271939FCCC0B446805D2872149E1AF4DC4B / notbefore: Jan 18 08:56:32 2025 GMT / notafter: Jan 16 08:56:32 2035 GMT]
[Sat Jan 18 08:59:46.626973 2025] [ssl:error] [pid 659:tid 659] AH02604: Unable to configure certificate kh.domain.tld:443:0 for stapling
[Sat Jan 18 09:01:23.294186 2025] [authz_core:error] [pid 1552:tid 1615] [client 207.154.212.47:39108] AH01630: client denied by server configuration: /home/keyhelp/www/keyhelp/server-status
Die user configuration files habe ich bereits neu schreiben lassen. Hat jemand eine schnelle Lösung parat ?
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 12:22
by tab-kh
Bist du sicher, dass das nicht schon vorher so war?
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 12:53
by xeppel
was genau ?? Die Seiten waren natürlich aufrufbar, und die Fehler kommen ja direkt beim Aufruf...
edit: und ja solche Logeinträge sind nicht beim alten Server vorhanden.
wenn ich den originalen Ordner "/etc/ssl/keyhelp" verwende und die toolbox neu laufen lasse, kommt am Ende:
Code: Select all
[18-Jan-2025 12:51:31] ERROR | Apache: syntax error:
+++++
AH00526: Syntax error on line 36 of /etc/apache2/keyhelp/keyhelp.conf:
SSLCertificateFile: file '/etc/ssl/keyhelp/keyhelp.pem' does not exist or is emp ty
Action 'configtest' failed.
The Apache error log may have more information.
Die Datei gibts in der Tat nicht.
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 16:40
by xeppel
Keine Lösung ?
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 17:36
by Jolinar
xeppel wrote: ↑Sat 18. Jan 2025, 16:40
Keine Lösung ?
Seriously...?
Es ist Wochenende und du beschwerst dich schon nach 5 Stunden, daß niemand eine Lösung hat...?
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 18:13
by Florian
Hallo,
in /etc/ssl/keyhelp sollten schon die Links da sein die auf das jeweilig genutzte Zertifikat zeigen. Ansonsten gibt es Probleme
Wie sieht der Ordner aus? Wie sieht der Ordner im Backup aus?
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 18:25
by Tobi
Ich würde ganz pragmatisch an die Sache rangehen.
Panel per IP aufrufen und Panel-Zertifikat auf ein selbst-signiertes umstellen. Dann den Anweisungen am Bildschirm folgen und nach dem Reboot mindestens fünf Minuten warten.
Wenn dieser Schritt geklappt hat das Panel-Zertifikat wieder auf Let‘s Encrypt umstellen, reboot und wieder warten.
Dann sollte alles wieder laufen.
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 18:45
by 24unix
Tobi wrote: ↑Sat 18. Jan 2025, 18:25
Ich würde ganz pragmatisch an die Sache rangehen.
Panel per IP aufrufen und Panel-Zertifikat auf ein selbst-signiertes umstellen. Dann den Anweisungen am Bildschirm folgen und nach dem Reboot mindestens fünf Minuten warten.
Wenn dieser Schritt geklappt hat das Panel-Zertifikat wieder auf Let‘s Encrypt umstellen, reboot und wieder warten.
Dann sollte alles wieder laufen.
Ich weiß ja, dass Du gerne rebootest, aber das kann man sich wirklich sparen.
Ne shell auf:
Code: Select all
tail -f /var/log/keyhelp/cronjob/ssl-maintenance.log
Cert auf selbstgeneriertes Cert umstellen, zur vollen Minute warten, in der Shell sollte man nun Änderungen sehen.
Wieder auf LE, wieder zur vollen Minute warten, man sollte in der Shell sehen, wie das neue Cert geholt wird, fertig.
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 19:01
by xeppel
hi,
Code: Select all
root@kh:/etc/ssl/keyhelp# ls
files keyhelp-ca.crt mail-ca.crt root-ca.crt
ftp-ca.crt keyhelp.pem mail.pem webmail-ca.crt
ftp.pem letsencrypt pem webmail.pem
in "letsencrypt" befinden sich die Zertifikate der Webseiten, die hab ich ja aus dem /restore Verzeichnis alle verschoben bzw. kopiert, somit identisch wie im Backup. Ich hatte den gesamten /etc/ssl/keyhelp Ordner auch testweise nochmal manuell vom alten auf den neuen kopiert.
Wie stelle ich das Panel-Zertifikat auf ein selbst-signiertes um ?
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 19:35
by 24unix
Security => SSL/TSL Certificates => Da ist ein Button "Secure server services"
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 19:44
by xeppel
danke, aber da gibts nur Let's Encrypt? und bei Webmail ist gar nichts ? beim alten Server ist das aber genauso.
Wenn ich dort eines erstellen möchte kommt "Zertifikats-Repository ist nicht beschreibbar: /etc/ssl/keyhelp/files.". was sind hier die richtigen Berechtigungen auf den Ordner ? bei mir ist es "drwx------ 2 1000 1000" - 1000 gibt es als User gar nicht...
Code: Select all
root@kh:/etc/ssl/keyhelp# getent passwd 1000
root@kh:/etc/ssl/keyhelp#
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 19:49
by 24unix
Ich denke, wenn man bei $SnakeOil viel Geld für ein Cert bezahlt hat, wird das da auch angezeigt, aber ich habe keine Ahnung, seit es LE gibt habe ich dafür kein Geld mehr ausgegeben.
Ich hoffe, dass sich das mit WebMail mit KeyHelp 25.0 bald ändert.
Edit: Ach ja, ich lese den Thread gerade noch mal komplett.
Statt ls solltest Du Dir evtl ein alias angewöhnen, ll, für "ls -las" oder "lsd -las"
Ist aussagekräftiger, im Zweifel siehst Du auch ob symlinks broken sind:
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 19:58
by 24unix
Ich mache mal nen Doppelpost, damit das in den Edits nicht untergeht:
Das sind die Rechte auf /etc/ssl/keyhelp/files
drwx------ keyhelp keyhelp 4 KB Mon May 8 20:17:10 2023 files
Den user keyhelp gibt es hoffentlich bei Dir?
Code: Select all
keyhelp:x:1000:1000::/home/keyhelp/:/bin/false
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 19:59
by xeppel
Code: Select all
total 20
4 drwx------ 2 1000 1000 4096 Jan 19 2023 .
4 drwxr-xr-x 5 root root 4096 Jan 18 19:45 ..
4 -rw------- 1 1000 1000 2358 Jan 10 2023 default-ca.crt
4 -rw------- 1 1000 1000 1517 Jan 10 2023 default.crt
4 -rw------- 1 1000 1000 1708 Jan 10 2023 default.key
ja keyhelp gibts, ist bei mir ID 1002. Habs jetzt mal angepasst zu diesem User.
Re: Nach Backup-Restore: Problem mit SSL-Zertifikaten
Posted: Sat 18. Jan 2025, 20:00
by 24unix
Hmm, warum auch immer der ne andere UID hat:
Code: Select all
chown -R keyhelp:keyhelp /etc/ssl/keyhelp/files