KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

Letsencrypt "Local resolving checks failed"

https://community.keyhelp.de/viewtopic.php?t=8762

Page 1 of 1

Letsencrypt "Local resolving checks failed"

Posted: Thu 31. Oct 2019, 12:24
by alex9849
Hey

Ich habe bei mir folgendes Problem, wenn ich versuche ein ssl Zertifikat via Letsencrypt von KeyHelp generieren zu lassen.

Code: Select all

[31-Oct-2019 11:41:03] INFO  --> Apache: request lets encrypt cert
[31-Oct-2019 11:41:03] INFO  --> Apache: request for domain "alextest.***.***.net"
[31-Oct-2019 11:41:03] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[31-Oct-2019 11:41:03] INFO  --> Getting endpoint URLs.
[31-Oct-2019 11:41:03] INFO  --> Account "alextest" not registered yet.
[31-Oct-2019 11:41:03] INFO  --> Creating a new account.
[31-Oct-2019 11:41:03] INFO  --> Generate account keys.
[31-Oct-2019 11:41:04] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[31-Oct-2019 11:41:05] INFO  --> Requesting Key ID.
[31-Oct-2019 11:41:05] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[31-Oct-2019 11:41:05] INFO  --> Start certificate generation.
[31-Oct-2019 11:41:05] ERROR --> Apache: a lets encrypt error occurred: Local resolving checks failed for domain "alextest.***.***.net".
Woran könnte das liegen? In meiner Firewall sind die Ports 80 und 443 freigegeben und die DNS Einträge stimmen eigentlich auch.
KeyHelp wurde gestern mit der neusten Version auf einem frisch aufgesetzten Server installiert. Die einzige Besonderheit wäre, dass der Server hinter einer Firewall steht und eine interne und eine externe IP hat.

Edit: Das Webinterface ließ sich problemlos installieren und hat auch ein LetsEncrypt Zertifikat.

MfG

- alex9849

Re: Letsencrypt "Local resolving checks failed"

Posted: Thu 31. Oct 2019, 12:56
by alex9849
Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|

Re: Letsencrypt "Local resolving checks failed"

Posted: Thu 31. Oct 2019, 17:08
by stfn116
bei mir war heute morgen zufällig eine Domain zur Erneuerung - lief ohne Probleme mit ACME2. ;)

Code: Select all

[31-Oct-2019 00:00:31] INFO  --> check domain "www.kundendomain123.de'
[31-Oct-2019 00:00:31] INFO  --> certificate is valid until 2019-11-29 22:01:07 (29 days left)
[31-Oct-2019 00:00:31] INFO  --> certificate is in renewal period
[31-Oct-2019 00:00:31] INFO  --> renew cert
[31-Oct-2019 00:00:31] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[31-Oct-2019 00:00:31] INFO  --> Getting endpoint URLs.
[31-Oct-2019 00:00:31] INFO  --> Account "XXXXXXX" already registered. Continue.
[31-Oct-2019 00:00:31] INFO  --> Requesting Key ID.
[31-Oct-2019 00:00:31] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[31-Oct-2019 00:00:33] INFO  --> Start certificate generation.
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Delete old token "/home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:33] INFO  --> Local resolving checks of domains successfully completed.
[31-Oct-2019 00:00:33] INFO  --> Requesting challenges for domain "www.kundendomain123.de".
[31-Oct-2019 00:00:33] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-order".
[31-Oct-2019 00:00:34] INFO  --> Start authorization process for "www.kundendomain123.de".
[31-Oct-2019 00:00:34] INFO  --> Deploy challenge.
[31-Oct-2019 00:00:34] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129
[31-Oct-2019 00:00:34] INFO  --> Notify CA that the challenge is ready.
[31-Oct-2019 00:00:34] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:36] INFO  --> Waiting for verification...
[31-Oct-2019 00:00:38] INFO  --> Verification successful.
[31-Oct-2019 00:00:38] INFO  --> Sending CSR.
[31-Oct-2019 00:00:38] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/finalize/XXXXXXXXXx-SOME-RANDOM-TOKEN12391239129129".
[31-Oct-2019 00:00:42] INFO  --> Certificate received.
[31-Oct-2019 00:00:42] INFO  --> Store fullchain.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Store cert.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Store chain.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Store complete.pem.test
[31-Oct-2019 00:00:42] INFO  --> File seems okay!
[31-Oct-2019 00:00:42] INFO  --> Rename from fullchain.pem.test -> fullchain.pem
[31-Oct-2019 00:00:42] INFO  --> Rename from cert.pem.test -> cert.pem
[31-Oct-2019 00:00:42] INFO  --> Rename from chain.pem.test -> chain.pem
[31-Oct-2019 00:00:42] INFO  --> Rename from complete.pem.test -> complete.pem
[31-Oct-2019 00:00:42] INFO  --> All done.

Re: Letsencrypt "Local resolving checks failed"

Posted: Thu 31. Oct 2019, 17:09
by stfn116
alex9849 wrote: Thu 31. Oct 2019, 12:56 Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|
Mir ist gerade aufgefallen, dass

du subsub.sub.domain.net stehen hast, hast - daher die Frage wieder
was sagen die Logfiles
und stimmen die DNS-Records.

Wenn nicht lege einen Eintrag für *.sub.domain.net an, dann sollte der Userspace auch mit einem SSL-Zertifikat ausgestattet werden.


Des Weiteren gibt es seit Debian 10 -Buster, aktuell gar keine Firewall-Configuration, diese wird in einer der nächsten Versionen wieder implementiert. Derzeit geht alles über die Konsole.

Re: Letsencrypt "Local resolving checks failed"

Posted: Thu 31. Oct 2019, 17:53
by alex9849
stfn116 wrote: Thu 31. Oct 2019, 17:09
alex9849 wrote: Thu 31. Oct 2019, 12:56 Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|
Mir ist gerade aufgefallen, dass

du subsub.sub.domain.net stehen hast, hast - daher die Frage wieder
was sagen die Logfiles
und stimmen die DNS-Records.

Wenn nicht lege einen Eintrag für *.sub.domain.net an, dann sollte der Userspace auch mit einem SSL-Zertifikat ausgestattet werden.


Des Weiteren gibt es seit Debian 10 -Buster, aktuell gar keine Firewall-Configuration, diese wird in einer der nächsten Versionen wieder implementiert. Derzeit geht alles über die Konsole.
Leider ist das auch nicht die Lösung des Problems. :/
Die Domain hab ich schon die ganze Zeit so eingestellt.
Aber das mit der Firewall ist gut zu wissen :)

Re: Letsencrypt "Local resolving checks failed"

Posted: Fri 1. Nov 2019, 07:23
by Alexander
Im genannten Schritt versucht der Server diese Domain lokal zu erreichen. Das schlägt fehl, da die Domain nicht korrekt auflöst.
Du kannst das Problem näher untersuchen, indem du von deinem Server aus versucht die Domain zu erreichen:

Z.B. mit einem wget auf die Domain.

Eine Forensuche nach "Self check" sollte einige Ergebnisse zu Tage fordern.
(Vorher hieß die Zeile "Self check is unable to access token URI ..." Jetzt habe ich mich für die o.g. neue Bezeichnung entschieden.)

alex9849 wrote: Thu 31. Oct 2019, 12:56 Was mir auch gerade aufgefallen ist, da ich mal schauen wollte welche Ports KeyHelp denn so standardmäßig offen hat. Die neuste Version scheint keine Firewall mehr im webinterface zu haben. Kann sein, dass das Absicht ist, aber im Changelog steht dazu nichts :|
Das ist für Debian 10 seit 19.2 so - alle anderen Version haben die Firewall-Verwaltung noch.
Eine Erwähnung fand unter anderem hier statt: https://www.keyhelp.de/news/keyhelp-19-2/

Re: Letsencrypt "Local resolving checks failed"  [GELÖST]

Posted: Tue 12. Nov 2019, 08:04
by alex9849
Ok wunderbar. Jetzt geht alles. Das Problem war, dass die externen IP-Adressen durch PF-Sense nicht innerhalb des Netzwerkes erreichbar waren.
Falls jemand das selbe Problem hat. Die Lösung ist in PF-Sense die NAT-Reflection anzuschalten.
Hier mehr dazu:
https://docs.netgate.com/pfsense/en/lat ... ction.html
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited