Nochmal Letsencrypt Problem | FW und interne Adressen [GELÖST]

[thst-berlin]

Hallo,
auch ich habe ein Problem mit Letsencrypt und Firewall (mit internen Adressen).

Unser Setup: externe IP -> Firewall -> Server mit interner IP

Alle Dienste werden "genattet". Keyhelp läuft einwandfrei bis auf Letsencrypt. Die Validierung schlägt immer fehl.

In der update.log wir folgendes angezeigt:

Code: Select all

ERROR --> Apache: a lets encrypt error occurred: Self check is unable to access token URI "http://xxx.xxxx.xx/.well-known/acme-challenge/osiSzsjmkecTAtkR98-g-tD7Wsk-8xF1EytdQPoNdVw" | Hint: The local lookup of this URI failed. Either the domains does not point to the server, or there is an DNS resolve error. Try to perform a e.g. wget call to this URI and see, what kind of errors are thrown

Der generierte Letsencrypt-Token lässt sich sowohl extern im Browser als auch intern mit mit Curl aufrufen. Ein Eintrag in der "/etc/hosts" mit der Domain und der internen Adresse bringt keinen Erfolg!

Kennt jemand das Problem? Freue mich über jeden Hinweis der mich ein Stück weiter bringt.

Viele Grüße Thomas

[Tobi]

Der Token muss sowohl per IPV4 als auch IPV6 erreichbar sein.

Sofern nicht IPV6 auf dem Server _komplett_ deaktiviert ist.

[thst-berlin]

Hallo Tobi,
vielen Dank! Das war des Rätsels Lösung ...

Es funktioniert.

Was ich nun noch merkwürdig finde: In der update.log tauchen immer noch alte Fehlermeldungen auf obwohl die Zertifikate über das Keyhelp-Backend wieder raus genommen wurden. Meinem Verständnis nach sollten diese Tasks mit Löschen der Zertifikate nicht mehr aktiv sein.

Viele Grüße Thomas

[Alexander]

Was ich nun noch merkwürdig finde: In der update.log tauchen immer noch alte Fehlermeldungen auf obwohl die Zertifikate über das Keyhelp-Backend wieder raus genommen wurden. Meinem Verständnis nach sollten diese Tasks mit Löschen der Zertifikate nicht mehr aktiv sein.

Da sollten Sie auch nicht mehr auftauchen. Gegebenenfalls gibt es aber noch eine Domain, die ein Let's Encrypt Zertifikat laut Einstellungen verwenden soll.

Beispiel:
Du legst eine Domain example.com an und gibst ihr die Let's Encrypt Option mit auf den Weg.
Es wird nun example.com + www.example.com angelegt. Für beide ist Let's Encrypt aktiv.
Nun deaktivierst du für example.com die Let's Encrypt Option. Dann bleibt, sofern du nicht "Sicherheitsoptionen auch auf Subdomains übertragen" markiert hast die Option für www.example.com aktiv.

Am besten lässt du dir in der Domainübersicht mal alle Subdomains anzeigen, dann sollte man es gleich am blauen Schloss-Symbol erkennen, welche Domain noch auf Let's Encrypt steht.