SSL-Fehler bei ACME-Verlängerung

  • Hallo zusammen,


    kurioserweise funktioniert derzeit bei mir die Verlängerung der Zertifikate nicht. Bei der Fehlersuche wurde getestet, ob es Probleme bei der Firewall gibt, da LiveConfig auch keine Updates mehr überprüft. Ein Problem hierbei konnte ich nicht finden.


    Im Log zur Verlängerung findet sich


    Code
    [2018/02/07 23:13:02.217153] [1104|3599] SSL error: 5
    [2018/02/07 23:13:02.217169] [1104|3599] HTTPClient: error at SSL handshake (state=3)
    [2018/02/07 23:13:02.217215] [1104|3599] ACME/getNonce: connection failed (https://acme-v01.api.letsencrypt.org/directory)
    [2018/02/07 23:13:02.217251] [1104|3599] ACME: can't create new authorization request for 'www.domain.tld':


    Ich benutze LiveConfig in der Version 2.5.3 (r4805) die automatische Verlängerung scheint aber schon in der vorherigen Version nicht mehr funktioniert zu haben.


    vielen Dank für eure Hilfe :)

  • Ich vermute, dass es (aus welchem Grund auch immer) Verbindungprobleme zum CA-Server von Let's Encrypt gibt.
    Wenn Sie "openssl" auf dem Server installiert haben, führen Sie bitte mal testweise folgenden Befehl aus:


    Code
    openssl s_client -connect acme-v01.api.letsencrypt.org:443


    Kann damit eine TLS-Verbindung aufgebaut werden, oder gibt es eine Fehlermeldung?

  • Hallo,


    leider sind unsere Zertifikate nun abgelaufen und es ist auch nicht möglich, einen weiteren Account anzulegen oder neue Zertifikate auszustellen. Externe Faktoren können wir ausschließen, da an der Serverkonfiguration seit der Installation des Servers keine Änderungen vorgenommen wurde und zu dem Zeitpunkt die Nutzung und Validierung von Let's Encrypt-Zertifikaten möglich war. Ich möchte das Problem deshalb gerne zügig lösen.

  • Wir haben hier auf CentOS7 (und auch auf allen anderen Distributionen) nicht das geringste Problem mit Let's Encrypt.
    Die Meldung "SSL Handshake Failed" deutet darauf hin, dass zwar die TCP-Verbindung selbst zum Let's-Encrypt-Server aufgebaut werden kann, danach aber ein Fehler beim SSL-Handshake auftritt.


    Führen Sie den o.g. "openssl"-Befehl bitte noch mal als Benutzer "liveconfig" aus (also erst mit "su -s /bin/bash liveconfig" den Benutzer wechseln).

  • Auch das ist getestet und hier sind die Ergebnisse

    Code
    [user@host ~]# sudo su -s /bin/bash liveconfig
    bash-4.2$ pwd
    /var/lib/liveconfig
    bash-4.2$ openssl s_client -connect acme-v01.api.letsencrypt.org:443
    Verify return code: 0 (ok)


    Tatsächlich hat LiveConfig in einigen Ordnern keine Execution-Rechte, im Home unter /var/lib/liveconfig sowie unter /srv/www/liveconfig aber schon. Für mich lässt sich hieraus kein Problem erschließen.


    Könnte das Problem etwas mit PHP zutun haben? Neben Updates gab es unter anderem ein Versionsprung von 5.4 auf 7.1 (5.4 komplett entfernt)

  • Auch das ist getestet und hier sind die Ergebnisse

    Code
    [user@host ~]# sudo su -s /bin/bash liveconfig
    bash-4.2$ pwd
    /var/lib/liveconfig
    bash-4.2$ openssl s_client -connect acme-v01.api.letsencrypt.org:443
    Verify return code: 0 (ok)


    Bei dem o.g. SSL-Befehl muss es erheblich mehr Output geben als nur "Verify return code: 0". Bitte schicken Sie uns mal die gesamte Ausgabe dazu, dazu noch die Ausgabe von "openssl version".


    Zitat

    Tatsächlich hat LiveConfig in einigen Ordnern keine Execution-Rechte, im Home unter /var/lib/liveconfig sowie unter /srv/www/liveconfig aber schon. Für mich lässt sich hieraus kein Problem erschließen.


    Was meinen Sie mit "in einigen Ordnern"? Haben Sie einige Berechtigungen eingeschränkt?
    Es kann z.B. durchaus ein Problem sein, wenn LiveConfig keinen Zugriff auf die CA-Zertifikate des Systems hat.


    Zitat

    Könnte das Problem etwas mit PHP zutun haben? Neben Updates gab es unter anderem ein Versionsprung von 5.4 auf 7.1 (5.4 komplett entfernt)


    Was für ein Update war das denn? CentOS 7 bringt nur PHP 5.4 mit.
    LiveConfig (und insbes. der integrierte ACME-Client) laufen unabhängig von PHP.

  • Zitat

    Bei dem o.g. SSL-Befehl muss es erheblich mehr Output geben als nur "Verify return code: 0". Bitte schicken Sie uns mal die gesamte Ausgabe dazu, dazu noch die Ausgabe von "openssl version".


    Ja, sicher gibt es mehr Output, ich habe es lediglich etwas gekürzt, zur Übersicht.



    Code
    OpenSSL 1.0.2k-fips  26 Jan 2017


    Zitat

    Es kann z.B. durchaus ein Problem sein, wenn LiveConfig keinen Zugriff auf die CA-Zertifikate des Systems hat.


    LiveConfig hat keinen Zugriff auf Verzeichnisse die zu anderen Anwendungen und Usern gehören - so weit, so normal. Die genannten Verzeichnisse sind die, die wir für den Betrieb relevant hielten und die haben wir getestet. LiveConfig hat Zugriff auf die CA-Zertifikate.


    Zitat

    Was für ein Update war das denn? CentOS 7 bringt nur PHP 5.4 mit.


    Richtig, die PHP-Version stammt aus den IUS-Repos.


    Zitat


    LiveConfig (und insbes. der integrierte ACME-Client) laufen unabhängig von PHP.


    :)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!