KeyHelp Community

Hallo zusammen,

bekomme seit einigen Tagen eine e-Mail und habe leider auf Grund der neuen Arbeit, recht wenig Zeit...

Inhalt der e-Mail:

Bei der routinemäßigen Überprüfung der SSL/TLS-Zertifikate traten folgende Probleme auf:

Certificate name: stream.retter-radio.de (Let's Encrypt)

Local resolving checks failed for domain "stream.retter-radio.de". Please ensure that your domain is locally resolvable!
Valid until: 2025-05-21 12:44:40 (0 day(s) left)

Ja es ist bereits abgelaufen

Für die Domain bzw. Sub Domain gibt es eine Apache Anweisung für https
Im Reiter Sicherhheit (im KeyHelp Panel) ist bei Let's-Encrypt-Zertifikat auch ein Punkt gesetzt.
Wenn ich auf speichern klicke dauert es ein bischen und dann ist in der Domain Übersicht auch der Schraubenschlüssel weg. Und ein grüner Kreis mit grünem Haken ist zu sehen.

Was kann ich machen?


Edit: Bei den anderen Sub Domains gibt es keine solchen Probleme, also kann es meiner Meinung nach nur an der Anweisung liegen

Hallo,

Fehlermeldung wrote:Please ensure that your domain is locally resolvable!

RR_Tappi wrote:Was kann ich machen?

Bitte überprüfe, ob die Domain Lokal - also von deinem Server aus - erreichbar ist.
Log dich dazu auf deinem Server ein und prüfe mit wget oder curl ob du die Domain erreichen kannst.

Danke dir, ich habe folgendes Ergebnis erhalten

wget https://stream.retter-radio.de
--2025-05-26 19:58:28-- https://stream.retter-radio.de/
Auflösen des Hostnamens stream.retter-radio.de (stream.retter-radio.de)… 193.32. 222.38
Verbindungsaufbau zu stream.retter-radio.de (stream.retter-radio.de)|193.32.222. 38|:443 … verbunden.
FEHLER: Dem Zertifikat von »stream.retter-radio.de« wird nicht vertraut.
FEHLER: Das Zertifikat von »stream.retter-radio.de« ist abgelaufen.
Das ausgestellte Zertifikat ist nicht mehr gültig.

curl https://stream.retter-radio.de
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Wenn er schon an dem Punkt ist, das er das Zertifikat anmeckert, dann kann er die Domain zumindest schonmal lokal auflösen. Das ist gut. Ruf einmal
auf und poste einmal die Fehlermeldung, die du erhälst.

Hallo,

das hier kam:

root@root2206:~# keyhelp run ssl-maintenance
[PID-3150494] [2025-05-27 21:19:16] INFO | forced to run "ssl_maintenance.php"
[PID-3150494] [2025-05-27 21:19:16] INFO | jobs to run: ssl_maintenance.php
[PID-3150494] [2025-05-27 21:19:16] INFO | >>> trying to run "ssl-maintenance"
[PID-3150494] [2025-05-27 21:19:16] INFO | lock "ssl-maintenance" acquired
[PID-3150494] [2025-05-27 21:19:16] INFO | processing the job ...
[2025-05-27 21:19:16] INFO | starting ssl certification maintenance
[2025-05-27 21:19:16] INFO | checking (normal) SSL/TLS certificates
[2025-05-27 21:19:16] INFO | check certificate "[ID 1]"
[2025-05-27 21:19:16] INFO | certificate name is "default"
[2025-05-27 21:19:16] INFO | certificate is valid until 2034-01-14 16:22:08 (315 3 days left)
[2025-05-27 21:19:16] INFO | checking lets encrypt certificates
[2025-05-27 21:19:16] INFO | remove unused accounts / certificates
[2025-05-27 21:19:16] INFO | check domain "bos-freunde.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-13 23:02:37 (78 days left)
[2025-05-27 21:19:16] INFO | check domain "www.bos-freunde.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-13 23:02:47 (78 days left)
[2025-05-27 21:19:16] INFO | check domain "feuerwehrlive.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:02:39 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "home4players.com'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:02:49 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "www.home4players.com'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-19 23:02:36 (84 days left)
[2025-05-27 21:19:16] INFO | check domain "retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:02:59 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "www.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:03:08 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "retterfreunde.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:03:20 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "www.retterfreunde.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:03:32 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "rr-tappi.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-16 23:02:39 (81 days left)
[2025-05-27 21:19:16] INFO | check domain "www.rr-tappi.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-16 23:02:50 (81 days left)
[2025-05-27 21:19:16] INFO | check domain "android.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:03:39 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "ebay.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:03:51 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "download.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:04:03 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "itunes.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:04:12 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "radiostatistik.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:04:22 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "plattenkiste.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:04:32 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "bnc-panel.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:04:39 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "homepage.feuerwehrlive.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:04:52 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "www.feuerwehrlive.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:05:02 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "php8.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-08-17 23:05:12 (82 days left)
[2025-05-27 21:19:16] INFO | check domain "liebevoll-selbstgemacht-bylisa.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-06-29 23:02:38 (33 days left)
[2025-05-27 21:19:16] INFO | check domain "www.liebevoll-selbstgemacht-bylisa.de '
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-06-29 23:02:50 (33 days left)
[2025-05-27 21:19:16] INFO | check domain "map.feuerwehrlive.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-06-28 00:02:38 (31 days left)
[2025-05-27 21:19:16] INFO | check domain "stream.retter-radio.de'
[2025-05-27 21:19:16] INFO | certificate is valid until 2025-05-21 12:44:40 (0 d ays left)
[2025-05-27 21:19:16] INFO | certificate is in renewal period
[2025-05-27 21:19:16] INFO | renew cert
[2025-05-27 21:19:16] INFO | Using certificate authority: "https://acme-v02.api. letsencrypt.org/" (PRODUCTION).
[2025-05-27 21:19:16] INFO | Getting endpoint URLs.
[2025-05-27 21:19:16] INFO | Account "retterradio" already registered. Continue.
[2025-05-27 21:19:16] INFO | Requesting Key ID.
[2025-05-27 21:19:16] INFO | Sending signed request to "https://acme-v02.api.let sencrypt.org/acme/new-acct".
[2025-05-27 21:19:17] INFO | Start certificate generation.
[2025-05-27 21:19:17] INFO | Delete old token "/home/keyhelp/www/.well-known/acm e-challenge/local-check-680c061ed82de4.96615433".
[2025-05-27 21:19:17] INFO | Token stored at: /home/keyhelp/www/.well-known/acme -challenge/local-check-68361035c9f201.48384600
[2025-05-27 21:19:17] INFO | URL: http://stream.retter-radio.de/.well-known/acme -challenge/local-check-68361035c9f201.48384600 | HTTP code: 403 | HTTP body (fir st 100 chars): <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><ti tle>403 Forbidden</title></head>
[2025-05-27 21:19:17] ERROR | a Let's Encrypt error occurred: Local resolving ch ecks failed for domain "stream.retter-radio.de". Please ensure that your domain is locally resolvable!
[2025-05-27 21:19:17] INFO | finished
[PID-3150494] [2025-05-27 21:19:17] INFO | <<< job done, releasing lock "ssl-mai ntenance"

Ich komm auch nicht auf

http://stream.retter-radio.de/.well-kno ... 1.48384600 bzw.
https://stream.retter-radio.de/.well-kn ... 1.48384600

Alles in http(s)://stream.retter-radio.de/.well-known/ wirft einen 503 Fehler.

und https://stream.retter-radio.de/ einen 500 Fehler

Da musst du auf deinem Server nochmal schauen, was da schief läuft (z.B. Domain-Fehlerprotokoll), und die Proxy Einstellungen nochmal kontrollieren.

Hallo Alexander,

danke dir erstmal.

Der Fehler ist hier aber eindeutig auf Lets Encrypt bzw. das Handling von Keyhelp im Zusammenhang mit Lets Encrypt zurückzuführen.

Jede Subdomain hat ein Zertifikat und dieses wird immer problemlos erstellt bzw. erneuert.
Nur bei stream.retter-radio.de geht es nicht mehr.

Ich habe jetzt mal eine neue Subdomain angelegt und hier auch die Apache Anweisung eingetragen, läuft ohne Probleme

https://test.retter-radio.de

Frage ist nur, was wenn auch hier das Zertifikat dann abläuft, wird es erneurt oder gibt es erneut Probleme?

Die Apache Anweisung ist ja diese hier:

<IfModule mod_proxy.c>
ProxyPass /.well-known/acme-challenge !
</IfModule>

Alias /.well-known/acme-challenge/ /home/keyhelp/www/.well-known/acme-challenge

ProxyPass / http://127.0.0.1:8000/
ProxyPassReverse / http://127.0.0.1:8000/



Was ich noch gefunden habe unter Webserver-Protokolle:

AH01630: client denied by server configuration: /home/keyhelp/www/.well-known/acme-challengelocal-check-683b7c1ea27579.83021780
GET /.well-known/acme-challenge/local-check-683b7c1ea27579.83021780 HTTP/2.0


Bei der neuen test Subdomain steht folgendes drin:

AH02218: ssl_stapling_init_cert: no OCSP URI in certificate and no SSLStaplingForceURL set [subject: CN=test.retter-radio.de / issuer: CN=R10,O=Let's Encrypt,C=US / serial: 0561D2AA05FE4F49E39D813E56762D6DDF1C / notbefore: May 31 21:31:39 2025 GMT / notafter: Aug 29 21:31:38 2025 GMT]

AH02604: Unable to configure certificate test.retter-radio.de:443:0 for stapling