Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

alex9849 · Post by **alex9849** » Tue 12. Nov 2019, 08:12

Hallo,

wie im Titel schon erwähnt stehe ich vor folgendem Problem:
Wenn ich als Kunde ein ssl-Zertifikat für meinen Webspace anlegen möchte und das in den Domain-Einstellungen einstelle, steht ja nach dem Klick auf speichern da, dass die Domain gerade in Bearbeitung ist. Nach etwa einer Minute wird ein cronjob ausgeführt, der diverse Aufgaben abarbeitet. D. h., nach einer Minute ist die Domain nicht mehr in Bearbeitung. Das Zertifikat wird zu diesem Zeitpunkt aber noch nicht generiert und der Webspace wird auch nicht für ein Zertifikat eingestellt. Das Zertifikat wird erst generiert, wenn der Job "Wartung von SSL/TLS-Zertifikaten " ausgeführt wird.

Das Problem dabei ist, dass die Domain zu dem Zeitpunkt schon lange nicht mehr in Bearbeitung ist, was natürlich für Verwirrung sorgt.

Mfg

Post by **Alexander** » Tue 12. Nov 2019, 09:55

Was sagen denn die logs (update.log)?
Sobald du eine Domain anlegst / bearbeitest wird bei der Aufgabenbearbeitung auch auf ein gültiges Zertifikat geprüft und es wird bei Bedarf bezogen. Das geschieht in dem Moment, in dem auch die Konfiguration durch die Aufgabenbearbeitung neu geschrieben wird.

alex9849 · Post by **alex9849** » Tue 12. Nov 2019, 11:36

Scheint wohl doch zu funktionieren. Es dauert nur wesentlich länger als ich gedachte habe. Zu dem Zeitpunkt, an dem das Zertifikat dann wirklich eingesetzt wurde und die Domain wirklich verschlüsselt ist, steht die Domain schon seit 4 Minuten nicht mehr auf "in Bearbeitung".
Wäre schön, wenn man das dann noch anpassen könnte.
Hier die Logs:

Code: Select all

[12-Nov-2019 11:24:01] INFO  --> load tasks ... 1 found
[12-Nov-2019 11:24:01] INFO  --> task type IDs: 600
[12-Nov-2019 11:24:01] INFO  --> Apache: applyAllConfigChanges()
[12-Nov-2019 11:24:01] INFO  --> Apache: checkDirectories()
[12-Nov-2019 11:24:01] INFO  --> Apache: cleanAll()
[12-Nov-2019 11:24:01] INFO  --> Apache: cleanVhosts()
[12-Nov-2019 11:24:01] INFO  --> Apache: cleanCustomVhosts()
[12-Nov-2019 11:24:01] INFO  --> Apache: cleanPhpFpmPools()
[12-Nov-2019 11:24:01] INFO  --> Apache: cleanHtpasswd()
[12-Nov-2019 11:24:01] INFO  --> Apache: getUserIdsWithModifiedDomains()
[12-Nov-2019 11:24:01] INFO  --> Apache: we will now apply configs changes of user id "17"
[12-Nov-2019 11:24:01] INFO  --> Apache: config data loaded for user id "17" ("test")
[12-Nov-2019 11:24:01] INFO  --> load domain "test.*.*.net"
[12-Nov-2019 11:24:01] INFO  --> domain uses lets encrypt - check if certs are already available
[12-Nov-2019 11:24:01] INFO  --> okay
[12-Nov-2019 11:24:01] INFO  --> load domain "test2.test.*.*.net"
[12-Nov-2019 11:24:01] INFO  --> domain uses lets encrypt - check if certs are already available
[12-Nov-2019 11:24:01] INFO  --> lets encrypt cert not available, we request it and rewrite vhost later on
[12-Nov-2019 11:24:01] INFO  --> Apache: add vhost container for domain "test.*.*.net"
[12-Nov-2019 11:24:01] INFO  --> Apache: add vhost container for domain "test2.test.*.*.net"
[12-Nov-2019 11:24:01] INFO  --> Apache: domain uses lets encrypt for first time - mark user config for rewrite 
[12-Nov-2019 11:24:01] INFO  --> Apache: save config to "/etc/apache2/keyhelp/vhosts/test.conf"
[12-Nov-2019 11:24:01] INFO  --> PHP-FPM: add php-fpm pool "[test]" for domain "test.*.*.net"
[12-Nov-2019 11:24:01] INFO  --> save config to "/etc/php/7.3/fpm/keyhelp_pool/test.conf"
[12-Nov-2019 11:24:01] INFO  --> PHP-FPM: add php-fpm pool "[test]" for domain "test2.test.*.*.net"
[12-Nov-2019 11:24:01] INFO  --> save config to "/etc/php/7.3/fpm/keyhelp_pool/test.conf"
[12-Nov-2019 11:24:01] INFO  --> Apache: subdomain catch-all updated
[12-Nov-2019 11:24:01] INFO  --> Apache: reloadApache()
[12-Nov-2019 11:24:02] INFO  --> Apache: syntax ok
[12-Nov-2019 11:24:02] INFO  --> Apache: reloading apache
[12-Nov-2019 11:24:02] INFO  --> Apache: reloadPhpFpm()
[12-Nov-2019 11:24:02] INFO  --> PHP-FPM (php7.3-fpm): syntax ok 
[12-Nov-2019 11:24:02] INFO  --> PHP-FPM (php7.3-fpm): reloading php-fpm
[12-Nov-2019 11:24:02] INFO  --> Apache: request lets encrypt cert
[12-Nov-2019 11:24:02] INFO  --> Apache: request for domain "test2.test.*.*.net"
[12-Nov-2019 11:24:02] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[12-Nov-2019 11:24:02] INFO  --> Getting endpoint URLs.
[12-Nov-2019 11:24:03] INFO  --> Account "test" already registered. Continue.
[12-Nov-2019 11:24:03] INFO  --> Requesting Key ID.
[12-Nov-2019 11:24:03] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[12-Nov-2019 11:24:04] INFO  --> Start certificate generation.
[12-Nov-2019 11:26:04] INFO  --> Local resolving checks of domains successfully completed.
[12-Nov-2019 11:26:04] INFO  --> Requesting challenges for domain "test2.test.*.*.net".
[12-Nov-2019 11:26:04] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-order".
[12-Nov-2019 11:26:05] INFO  --> Start authorization process for "test2.test.*.*.net".
[12-Nov-2019 11:26:05] INFO  --> Deploy challenge.
[12-Nov-2019 11:26:05] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/***************
[12-Nov-2019 11:28:06] INFO  --> Notify CA that the challenge is ready.
[12-Nov-2019 11:28:06] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/******/*****".
[12-Nov-2019 11:28:07] INFO  --> Waiting for verification...
[12-Nov-2019 11:28:10] INFO  --> Verification successful.
[12-Nov-2019 11:28:10] INFO  --> Sending CSR.
[12-Nov-2019 11:28:10] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/finalize/*******/*******".
[12-Nov-2019 11:28:13] INFO  --> Certificate received.
[12-Nov-2019 11:28:13] INFO  --> Store fullchain.pem.test
[12-Nov-2019 11:28:13] INFO  --> File seems okay!
[12-Nov-2019 11:28:13] INFO  --> Store cert.pem.test
[12-Nov-2019 11:28:13] INFO  --> File seems okay!
[12-Nov-2019 11:28:13] INFO  --> Store chain.pem.test
[12-Nov-2019 11:28:13] INFO  --> File seems okay!
[12-Nov-2019 11:28:13] INFO  --> Store complete.pem.test
[12-Nov-2019 11:28:13] INFO  --> File seems okay!
[12-Nov-2019 11:28:13] INFO  --> Rename from fullchain.pem.test -> fullchain.pem
[12-Nov-2019 11:28:13] INFO  --> Rename from cert.pem.test -> cert.pem
[12-Nov-2019 11:28:13] INFO  --> Rename from chain.pem.test -> chain.pem
[12-Nov-2019 11:28:13] INFO  --> Rename from complete.pem.test -> complete.pem
[12-Nov-2019 11:28:13] INFO  --> All done.
[12-Nov-2019 11:28:13] INFO  --> Apache: we will now apply configs changes of user id "17"
[12-Nov-2019 11:28:13] INFO  --> Apache: config data loaded for user id "17" ("test")
[12-Nov-2019 11:28:13] INFO  --> load domain "test.*.*.net"
[12-Nov-2019 11:28:13] INFO  --> domain uses lets encrypt - check if certs are already available
[12-Nov-2019 11:28:13] INFO  --> okay
[12-Nov-2019 11:28:13] INFO  --> load domain "test2.test.*.*.net"
[12-Nov-2019 11:28:13] INFO  --> domain uses lets encrypt - check if certs are already available
[12-Nov-2019 11:28:13] INFO  --> okay
[12-Nov-2019 11:28:13] INFO  --> Apache: add vhost container for domain "test.*.*.net"
[12-Nov-2019 11:28:13] INFO  --> Apache: add vhost container for domain "test2.test.*.*.net"
[12-Nov-2019 11:28:13] INFO  --> Apache: save config to "/etc/apache2/keyhelp/vhosts/test.conf"
[12-Nov-2019 11:28:13] INFO  --> PHP-FPM: add php-fpm pool "[test]" for domain "test.*.*.net"
[12-Nov-2019 11:28:13] INFO  --> save config to "/etc/php/7.3/fpm/keyhelp_pool/test.conf"
[12-Nov-2019 11:28:13] INFO  --> PHP-FPM: add php-fpm pool "[test]" for domain "test2.test.*.*.net"
[12-Nov-2019 11:28:13] INFO  --> save config to "/etc/php/7.3/fpm/keyhelp_pool/test.conf"
[12-Nov-2019 11:28:13] INFO  --> Apache: reloadApache()
[12-Nov-2019 11:28:13] INFO  --> Apache: syntax ok
[12-Nov-2019 11:28:13] INFO  --> Apache: reloading apache
[12-Nov-2019 11:28:13] INFO  --> Apache: reloadPhpFpm()
[12-Nov-2019 11:28:14] INFO  --> PHP-FPM (php7.3-fpm): syntax ok 
[12-Nov-2019 11:28:14] INFO  --> PHP-FPM (php7.3-fpm): reloading php-fpm

stfn116 · Post by **stfn116** » Tue 12. Nov 2019, 14:35

funktioniert IPv6 auch zuverlässig? Teilweise liegt es daran, dass es dort "hängt".

Manchmal muss man auch einfach nur einen Augenblick warten und dann läuft alles tadellos. Die Acme2-Live Umgebung leistet (zumindest bei meinen Domains) ganz treue Dienste.

Post by **Alexander** » Tue 12. Nov 2019, 14:37

Der Vorgang ist normalerweise eine Sache von Sekunden. Bei deinem Server scheint etwas zu blockieren.
In beiden Vorgängen wird kurz zuvor (und damit wohl ursächlich für die 2 minütige Wartezeit) überprüft, ob das Token lokal über die URL aufrufbar ist.

Bitte überprüfe einmal die lokale Auflösung indem du VON DEINEM SERVER aus, auf die URL des Token problemlos zugreifen kannst (http://<DOMAIN-NAME>/.well-known/acme-challenge/<TOKEN-NAME>).

Code: Select all

[12-Nov-2019 11:24:04] INFO  --> Start certificate generation.
[12-Nov-2019 11:26:04] INFO  --> Local resolving checks of domains successfully completed.
...
[12-Nov-2019 11:26:05] INFO  --> Token stored at: /home/keyhelp/www/.well-known/acme-challenge/***************
[12-Nov-2019 11:28:06] INFO  --> Notify CA that the challenge is ready.

alex9849 · Post by **alex9849** » Tue 12. Nov 2019, 14:50

Die URL funktioniert. Sowohl von meinem PC aus als auch mit dem Server selbst.
IPv6 hat der server soweit ich weiß garnicht

Post by **Jolinar** » Tue 12. Nov 2019, 16:49

alex9849 wrote: ↑Tue 12. Nov 2019, 14:50 IPv6 hat der server soweit ich weiß garnicht

Das kannst du ganz einfach mit einem Befehl am CLI überprüfen:

Code: Select all

ip addr

alex9849 · Post by **alex9849** » Tue 12. Nov 2019, 23:05

Jolinar wrote: ↑Tue 12. Nov 2019, 16:49
alex9849 wrote: ↑Tue 12. Nov 2019, 14:50 IPv6 hat der server soweit ich weis garnicht
Das kannst du ganz einfach mit einem Befehl am CLI überprüfen:
Code: Select all
ip addr

Ok zumindest bekomme ich mit dem Befehl eine ip Adresse. Die ist aber nur intern. Soweit ich weiß hat unser rechenzentrum kein ipv6. (Wir sind eine hochschulgruppe mit einem kleinen Serverraum)
Kann ich ipv6 irgendwie komplett deaktivieren?

Post by **Jolinar** » Tue 12. Nov 2019, 23:21

alex9849 wrote: ↑Tue 12. Nov 2019, 23:05 Kann ich ipv6 irgendwie komplett deaktivieren?

Ich zitiere mal aus der Bastelecke:

Jolinar wrote: ↑Thu 18. Jul 2019, 10:18 2. Permanente Deaktivierung (IPv6 bleibt auch nach einem Reboot des Systems inaktiv):
Code: Select all
echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf 
sysctl -p

alex9849 · Post by **alex9849** » Tue 12. Nov 2019, 23:42

Okay. Damit ist IPv6 jetzt deaktiviert. Das Problem besteht aber immernoch. Die Zertifikate/Domainchecks dauern immernoch ewig. :/

Post by **Jolinar** » Tue 12. Nov 2019, 23:58

alex9849 wrote: ↑Tue 12. Nov 2019, 23:42 Das Problem besteht aber immernoch. Die Zertifikate/Domainchecks dauern immernoch ewig. :/

Warum bei dir diese zwei "Pausen" von jeweils 2 Minuten dazwischen sind, das müßte sich vielleicht Alexander nochmal genauer anschauen.
Die Zertifikatanforderung und -erteilung geht laut deinem Log jedenfalls innerhalb von ein paar Sekunden durch:

Code: Select all

[12-Nov-2019 11:28:06] INFO  --> Notify CA that the challenge is ready.
[12-Nov-2019 11:28:06] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/chall-v3/******/*****".
[12-Nov-2019 11:28:07] INFO  --> Waiting for verification...
[12-Nov-2019 11:28:10] INFO  --> Verification successful.
[12-Nov-2019 11:28:10] INFO  --> Sending CSR.
[12-Nov-2019 11:28:10] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/finalize/*******/*******".
[12-Nov-2019 11:28:13] INFO  --> Certificate received.

Post by **Alexander** » Wed 13. Nov 2019, 10:43

Anbei einmal zum selber Testen.
Den folgenden Befehl bitte via Konsole auf deinem Server ausführen.
Da dein acme-challenge Ordner (/home/keyhelp/www/.well-known/acme-challenge/) wohl leer sein wird, leg einfach eine Test-Datei an.

Code: Select all

 php -r "var_dump(file_get_contents('http://<DOMAIN-NAME>/.well-known/acme-challenge/<TOKEN-NAME>', false, stream_context_create(['ssl' => ['verify_peer' => false,'verify_peer_name' => false]])));"

alex9849 · Post by **alex9849** » Wed 13. Nov 2019, 19:32

Alexander wrote: ↑Wed 13. Nov 2019, 10:43 Anbei einmal zum selber Testen.
Den folgenden Befehl bitte via Konsole auf deinem Server ausführen.
Da dein acme-challenge Ordner (/home/keyhelp/www/.well-known/acme-challenge/) wohl leer sein wird, leg einfach eine Test-Datei an.
Code: Select all
 php -r "var_dump(file_get_contents('http://<DOMAIN-NAME>/.well-known/acme-challenge/<TOKEN-NAME>', false, stream_context_create(['ssl' => ['verify_peer' => false,'verify_peer_name' => false]])));"

Habs ausprobiert. Geht ohne Probleme durch

Post by **Alexander** » Thu 14. Nov 2019, 08:47

Kann dir jetzt noch anbieten, mir das Ganze mal auf deinem Server anzuschauen. Falls Interesse besteht, dann bitte per PM melden.

alex9849 · Post by **alex9849** » Fri 15. Nov 2019, 09:58

Alexander wrote: ↑Thu 14. Nov 2019, 08:47 Kann dir jetzt noch anbieten, mir das Ganze mal auf deinem Server anzuschauen. Falls Interesse besteht, dann bitte per PM melden.

Okay. Ich hab dir eine PM geschickt

Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate [GELÖST]

Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate

Re: Normale "Aufgabenbearbeitungs"-Aufgabe generiert keine Zertifikate