Letsencrypt Integration

stremetznet · 12. April 2016

Hallo Zusammen,

Ich verwende LC in der Standard Version und habe versucht Letsencrypt Zertifikate zu erstellen, leider funktioniert es nicht, im /var/log/liveconfig/liveconfig.log erhalte ich für jeden Request folgende Einträge. Beispiel:
[2016/04/12 10:23:45.495930] [894|2909] ACME: newCert(): unexpected content-type '(null)'
[2016/04/12 10:23:45.495991] [894|2909] ACME: newCert() failed. Status=0, response=(null)
[2016/04/12 10:23:45.496037] [894|2909] ACME: can't get certificate for 'meinedomain.de':

Ist das ein bekanntes Problem bzw gibt es dazu eine Lösung?

Herzlichen Dank
Thorsten

Schlafbär · 12. Februar 2017

Hallo,

das selbe Problem hier auch:

[2017/02/12 14:43:34.391486] [21401|18733] ACME: newCert(): unexpected content-type '(null)'
[2017/02/12 14:43:34.391504] [21401|18733] ACME: newCert() failed. Status=0, response=(null)
[2017/02/12 14:43:34.391522] [21401|18733] ACME: can't get certificate for 'meinedomain.com':
[2017/02/12 14:44:33.860807] [21401|18983] ACME: newCert(): unexpected content-type '(null)'
[2017/02/12 14:44:33.860827] [21401|18983] ACME: newCert() failed. Status=0, response=(null)
[2017/02/12 14:44:33.860862] [21401|18983] ACME: can't get certificate for 'meinedomain.com':
[2017/02/12 14:56:34.038424] [21401|20837] ACME: newCert() failed. Status=429, response={

Was könnte das sein?

Ich weiß der Fehler wurde schon häufiger gepostet, leider auch nirgendswo eine Lösung, würde ein upgrade auf die PREVIEW Version den Fehler wegmachen?

Viele Grüße

clickpress · 13. Februar 2017

Ich habe das selbe Problem auf einem unserer Server. Irgendwann läuft das ganze dann in die Rate Limitierung.

clickpress · 13. Februar 2017

Ich habe gerade mal die neueste 2.3.0 auf dem betroffendem Server (Debian Wheezy) installiert. Die Fehler bleiben:

Zitat

[2017/02/13 15:05:54.721982] [22319|23685] HTTPClient: state != READ_DATA (5)
[2017/02/13 15:05:54.722143] [22319|23685] ACME: newCert(): unexpected content-type '(null)'
[2017/02/13 15:05:54.722171] [22319|23685] ACME: newCert() failed. Status=0, response=(null)
[2017/02/13 15:05:54.722203] [22319|23685] ACME: can't get certificate for 'sgv-oberhundem.de':

kk · 13. Februar 2017

Zitat von clickpress

HTTPClient: state != READ_DATA (5)

Danke, das hilft uns weiter. Hier handelt es sich um ein Kommunikationsproblem mit dem CA-Server von Let's Encrypt - wir verbessern gerade die Fehlerbehandlung, Update folgt in Kürze!

antondollmaier · 13. Februar 2017

Zitat von kk

Danke, das hilft uns weiter. Hier handelt es sich um ein Kommunikationsproblem mit dem CA-Server von Let's Encrypt

*hüstel* LC#2016111834000022

kk · 16. Februar 2017

Hallo,

wir haben inzwischen herausfinden können, dass es in der HTTP-Kommunikation mit den Let's-Encrypt-Servern manchmal zu einem Problem kam. Vereinfacht gesagt brach LiveConfig die HTTP-Verbindung vorzeitig ab, wenn z.B. "halbe" HTTP-Header in einem separaten TCP-Paket empfangen wurden. Das haben wir früher nie beobachtet, den Meldungen im Forum nach zu urteilen häuft es sich aber inzwischen. Ich schätze, dass das mit dem gestiegenen Anfragevolumen bei Let's Encrypt zusammenhängt.
Jedenfalls sollte ab v2.3.0-r4510 bei der Kommunkation mit Let's Encrypt nun kein Fehler mehr auftreten.
Wir arbeiten mit Hochdruck am Release von v2.3.0 - da es gerade im "Unterbau" viele Änderungen gab bitte ich noch um ein paar Tage Geduld.
Mit den in v2.3.0 verfügbaren neuen Funktionen sind uns derzeit keine Fehler mehr bekannt, die offenen Änderungen (vor dem Release) betreffen nun nur noch die GUI.

Viele Grüße

-Klaus Keppler

clickpress · 17. Februar 2017

Zitat von kk

Jedenfalls sollte ab v2.3.0-r4510 bei der Kommunkation mit Let's Encrypt nun kein Fehler mehr auftreten.

Im LC die Zertifikatsanfrage gelöscht und neuangelegt -> klappt! Super, danke.

Jetzt habe ich noch eine kleine Fehlermeldung:

Zitat

[2017/02/17 19:03:54.988935] [15729|17416] ACME: sceduling renewal of SSL certificate for 'mail.clickpress.biz'
[2017/02/17 19:03:55.615879] [15729|17416] ACME: newCert() failed. Status=429, response={
"type": "urn:acme:error:rateLimited",
"detail": "Error creating new cert :: Too many certificates already issued for exact set of domains: mail.clickpress.biz",
"status": 429
}
[2017/02/17 19:03:55.615955] [15729|17416] ACME: can't get certificate for 'mail.clickpress.biz': Error creating new cert :: Too many certificates already issued for exact set of domains: mail.clickpress.biz

Alles anzeigen

Das wundert mich, da ich ein bis Ende Mai gültiges Zertifikat für diese Domain habe. Gibt es irgendwo eine Datei, wo eine ältere Anfrage noch festhängt? Ich hab schon bei meinen Kundenverträgen geschaut, aber nichts gefunden.

Schlafbär · 17. Februar 2017

Wie kannst du ein Zertifikat löschen und sofort wieder anlegen? Da gibt es doch eine Wartezeit, hast du da einen Trick?

Edit:

Ansonsten funktioniert SSL mit der neuen Preview wieder. Danke

aziegler · 27. Februar 2017

Zitat von kk

Jedenfalls sollte ab v2.3.0-r4510 bei der Kommunkation mit Let's Encrypt nun kein Fehler mehr auftreten.

Bei uns trat das oder ein ähnliches Problem leider erneut auf, der Apache Webserver war nicht mehr nutzbar nachdem bei einem Endkunden das Aktivieren eines Let's Encrypt Zertifikates fehlschlug.
Hier die fraglichen Log-Einträge:

Code

[2017/02/25 22:55:25.212746] [1503|23213] ACME: accepted certificate request for 'example.com' (certificate URL: https://acme-v01.api.letsencrypt.org/acme/cert/0398c49120f0ade9c41d328aed3cebe41399)
[2017/02/25 22:55:25.229196] [1503|23213] ACME: fetching CA/intermediate certificate from 'https://acme-v01.api.letsencrypt.org/acme/issuer-cert'
[2017/02/25 22:55:25.547202] [1503|23213] ACME: enabling HTTPS for 'example.com' (subscription 'web551')
[2017/02/25 22:55:25.554275] [1503|23213] ACME: configuring HTTPS redirect for 'example.com' (https://example.com/*)
[2017/02/25 22:55:25.559757] [1503|23213] ACME: enabling HTTPS for 'www.example.com' (subscription 'web551')
[2017/02/25 22:55:25.564572] [1503|23213] ACME: configuring HTTPS redirect for 'www.example.com' (https://www.example.com/*)
[2017/02/25 23:49:23.176216] [1503|2599] ACME: newCert() failed. Status=400, response={
  "type": "urn:acme:error:malformed",
  "detail": "Error creating new cert :: Certificate public key must be different than account key",
  "status": 400
}
[2017/02/25 23:49:23.176252] [1503|2599] ACME: can't get certificate for 'example.com': Error creating new cert :: Certificate public key must be different than account key
[2017/02/26 00:05:23.215669] [1503|6725] ACME: accepted certificate request for 'www.example.com' (certificate URL: https://acme-v01.api.letsencrypt.org/acme/cert/038569ef499152e079ffb6fd83b4a526b0e8)
[2017/02/26 00:05:23.231049] [1503|6725] ACME: fetching CA/intermediate certificate from 'https://acme-v01.api.letsencrypt.org/acme/issuer-cert'
[2017/02/26 00:06:22.880106] [1503|7085] ACME: accepted certificate request for 'example.com' (certificate URL: https://acme-v01.api.letsencrypt.org/acme/cert/03794edb54172cfd641e64cb221cd972b39c)
[2017/02/26 00:06:22.893382] [1503|7085] ACME: fetching CA/intermediate certificate from 'https://acme-v01.api.letsencrypt.org/acme/issuer-cert'
[2017/02/26 00:19:22.946785] [1503|10966] ACME: accepted certificate request for 'example.com' (certificate URL: https://acme-v01.api.letsencrypt.org/acme/cert/03e5d40d84743eee2950fec93cc495f6ab10)
[2017/02/26 00:19:22.963827] [1503|10966] ACME: fetching CA/intermediate certificate from 'https://acme-v01.api.letsencrypt.org/acme/issuer-cert'
[2017/02/26 00:19:23.203796] [1503|10966] ACME: enabling HTTPS for 'example.com' (subscription 'web551')
[2017/02/26 00:19:23.210349] [1503|10966] ACME: configuring HTTPS redirect for 'example.com' (https://example.com/*)
[2017/02/26 00:19:23.215567] [1503|10966] ACME: enabling HTTPS for 'www.example.com' (subscription 'web551')
[2017/02/26 00:19:23.221536] [1503|10966] ACME: configuring HTTPS redirect for 'www.example.com' (https://www.example.com/*)
[2017/02/26 00:19:36.124947] [1503|1508] Error while parsing SSL certificate (PEM): error:0906D06C:PEM routines:PEM_read_bio:no start line

Alles anzeigen

apache error.log:

Code

[Sun Feb 26 08:58:08.494480 2017] [ssl:emerg] [pid 18060] AH02562: Failed to configure certificate example.com:443:0 (with chain), check /etc/ssl/certs/xxxxxxxxxxxxxx.crt

kk · 28. Februar 2017

Zitat

Error creating new cert :: Certificate public key must be different than account key

Interessant... auf die Idee muss man auch erst mal kommen
Das dürfte an sich aber unkritisch gewesen sein (die Fehlermeldung von LE wurde ja erkannt und ausgegeben).

Zitat

Error while parsing SSL certificate (PEM): error:0906D06C:PEM routines:PEM_read_bio:no start line

Diese Log-Meldung wird ausgegeben, wenn eine vHost-Konfiguration geschrieben werden soll und bei der Prüfung ob das SSL-Zertifikat OCSP unterstützt ein Fehler auftritt.
Ich tippe auf ein Timing-Problem (vHost-Konfiguration wird ausgelöst bevor das Zertifikat in der Datenbank commited ist, o.ä.). Wir werden in der Konsequenz nun zwei Änderungen vornehmen:
1.) wenn ein SSL-Zertifikat aus der Datenbank "unbrauchbar" ist (warum auch immer) wird der SSL-vHost nicht mehr konfiguriert (besser nicht als kaputt).
2.) der Programmfluss zwischen "Zertifikat in Datenbank schreiben" und "vHost-Konfiguration aktualisieren" wird geprüft und ggf. geändert, um dieses vermeintliche Timing-Problem zu vermeiden.

Das Ganze wird umgehend bearbeitet, Update folgt umgehend.

Viele Grüße

-Klaus Keppler

aziegler · 23. Mai 2018

Zitat von kk

Das Ganze wird umgehend bearbeitet, Update folgt umgehend.

ist das in der LAB behoben?
Wir hatten das Problem heute auch.

Jetzt mitmachen!