Problem: Let's Encrypt & Proxy-Redirect

Ich habe gemerkt, dass bei mir ein Letsencrypt-Zertifikat nicht verlängert wird. Die Webseite ist im Proxymodus. (CherryPy - Webserver auf localhost)

D. h. das liegt dann ja vermutlich daran, dass die ACME-Requests an die Anwendung weitergegeben werden, die damit natürlich nix anfangen kann.

Vielleicht wäre es gut die ACME-Requests als Proxy-Ausnahme zu definieren?

Wenn ich ein beliebiges Verzeichnis ohne Proxy-Funktion einstelle wird das Letsencrypt-Zertifikat sauber generiert.

Wenn ich statt einem Verzeichnis den Proxy eintrage, bekomme ich das hier:

/var/log/liveconfig/liveconfig.log

[2017/04/19 15:33:58.011187] [24330|12724] ACME: challenge for 'mydomain.de' failed: Invalid response from http://mydomain.de/.well-known/acme-challenge/47nAe1nSzKXT9z_wA1URg4LiFOZq-eonoj14VVUI0xg: "<!DOCTYPE html PUBLIC
"-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>"
[2017/04/19 15:33:58.301289] [24330|12724] ACME: challenge for 'www.mydomain.de' failed: Invalid response from http://www.mydomain.de/.well-known/acme-challenge/KFOauR9KCcdixfMYdojc9FIYBugVIDakTVCQXK-pUIU: "<!DOCTYPE html PUBLIC
"-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>"

So sieht der generierte Ausschnitt aus der Apache-VHost-Config aus:

<VirtualHost 1.1.1.1:443>
    ServerName mydomain.de
    ServerAlias www.mydomain.de


    SSLEngine On
    SSLCertificateFile /etc/ssl/certs/c34c4736f5c3e12d.crt
    SSLCertificateKeyFile /etc/ssl/private/c34c4736f5c3e12d.key
    SSLCertificateChainFile /etc/ssl/certs/c34c4736f5c3e12d-ca.crt


    <IfModule mod_rewrite.c>
        RewriteEngine On


        RewriteCond %{HTTP_HOST} ^mydomain\.de\.?$ [NC]
        RewriteRule ^(.*)$      https://www.mydomain.de$1 [R=301,NE,L]


      <IfModule mod_proxy.c>


        RewriteCond %{HTTP_HOST} ^www\.mydomain\.de\.?$ [NC]
        RewriteRule ^(.*)        http://1.1.1.1:8090/$1 [P,L]


      </IfModule>


    </IfModule>


</VirtualHost>

Wie geschrieben, das kann so nicht funktionieren. Ich sehe ja auch die ACME-Requests im CherryPy-Webserver-Log - und da gehören die nicht in.

Das Problem war jetzt wirklich etwas ärgerlich. Ich habe zunächst ein eigenes Let's Encrypt-Zertifikat von aussen eingespielt, was mir LiveConfig allerdings immer mit seinem eigenen Let's Encrypt-Zertifikat(dass es wegen der hier beschriebenen Problematik nicht verlängert werden kann und was demzufolge bei mir abgelaufen war) überschrieben hat.

Sprich jedes mal, wenn ich etwas im LC konfiguriert habe, schmeisst er mir das alte Zertifikat rein.

Aktueller workaround ist jetzt, dass ich mit dem Hooks-Modul die betroffenen Zertifikate vor der Apache-Konfiguration sichere und nach der Apache-Konfiguration, aber noch vor dem apache2 reload, wieder zurückspiele. Nicht schön, aber jetzt macht es keinen Ärger mehr.

hooks.conf

backup_special_certs,apache.configureVHost,pre
restore_special_certs,apache.configureVHost,post

backup_special_certs

/usr/bin/install -d -m 700 /var/backup/ssl
tar --preserve-permissions -C /etc -cf /var/backup/ssl/backup.tar ssl/private/keyfile.key ssl/certs/certfile.crt ssl/certs/certfile-ca.crt

restore_special_certs

tar --preserve-permissions -xf /var/backup/ssl/backup.tar -C /etc 
rm -f /var/backup/ssl/backup.tar

Siehe auch:

Hooks-Script für Liveconfig

Auch wenn ich im Changelog dazu nichts gelesen habe, jetzt mit Version 2.2.0 (r4254) funktioniert es.(Ich weiss auch dass das nicht die neueste Version ist).