KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

Nochmal Letsencrypt Problem | FW und interne Adressen

https://community.keyhelp.de/viewtopic.php?t=8497

Page 1 of 1

Nochmal Letsencrypt Problem | FW und interne Adressen

Posted: Mon 26. Aug 2019, 16:29
by thst-berlin
Hallo,
auch ich habe ein Problem mit Letsencrypt und Firewall (mit internen Adressen).

Unser Setup: externe IP -> Firewall -> Server mit interner IP

Alle Dienste werden "genattet". Keyhelp läuft einwandfrei bis auf Letsencrypt. Die Validierung schlägt immer fehl.

In der update.log wir folgendes angezeigt:

Code: Select all

ERROR --> Apache: a lets encrypt error occurred: Self check is unable to access token URI "http://xxx.xxxx.xx/.well-known/acme-challenge/osiSzsjmkecTAtkR98-g-tD7Wsk-8xF1EytdQPoNdVw" | Hint: The local lookup of this URI failed. Either the domains does not point to the server, or there is an DNS resolve error. Try to perform a e.g. wget call to this URI and see, what kind of errors are thrown
Der generierte Letsencrypt-Token lässt sich sowohl extern im Browser als auch intern mit mit Curl aufrufen. Ein Eintrag in der "/etc/hosts" mit der Domain und der internen Adresse bringt keinen Erfolg!

Kennt jemand das Problem? Freue mich über jeden Hinweis der mich ein Stück weiter bringt.

Viele Grüße Thomas

Re: Nochmal Letsencrypt Problem | FW und interne Adressen  [GELÖST]

Posted: Mon 26. Aug 2019, 21:16
by Tobi
Der Token muss sowohl per IPV4 als auch IPV6 erreichbar sein.

Sofern nicht IPV6 auf dem Server _komplett_ deaktiviert ist.

Re: Nochmal Letsencrypt Problem | FW und interne Adressen

Posted: Tue 27. Aug 2019, 11:32
by thst-berlin
Hallo Tobi,
vielen Dank! Das war des Rätsels Lösung ...

Es funktioniert.

Was ich nun noch merkwürdig finde: In der update.log tauchen immer noch alte Fehlermeldungen auf obwohl die Zertifikate über das Keyhelp-Backend wieder raus genommen wurden. Meinem Verständnis nach sollten diese Tasks mit Löschen der Zertifikate nicht mehr aktiv sein.

Viele Grüße Thomas

Re: Nochmal Letsencrypt Problem | FW und interne Adressen

Posted: Mon 2. Sep 2019, 12:24
by Alexander
thst-berlin wrote: Tue 27. Aug 2019, 11:32 Was ich nun noch merkwürdig finde: In der update.log tauchen immer noch alte Fehlermeldungen auf obwohl die Zertifikate über das Keyhelp-Backend wieder raus genommen wurden. Meinem Verständnis nach sollten diese Tasks mit Löschen der Zertifikate nicht mehr aktiv sein.

Da sollten Sie auch nicht mehr auftauchen. Gegebenenfalls gibt es aber noch eine Domain, die ein Let's Encrypt Zertifikat laut Einstellungen verwenden soll.

Beispiel:
Du legst eine Domain example.com an und gibst ihr die Let's Encrypt Option mit auf den Weg.
Es wird nun example.com + www.example.com angelegt. Für beide ist Let's Encrypt aktiv.
Nun deaktivierst du für example.com die Let's Encrypt Option. Dann bleibt, sofern du nicht "Sicherheitsoptionen auch auf Subdomains übertragen" markiert hast die Option für www.example.com aktiv.

Am besten lässt du dir in der Domainübersicht mal alle Subdomains anzeigen, dann sollte man es gleich am blauen Schloss-Symbol erkennen, welche Domain noch auf Let's Encrypt steht.
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited