LiveConfig Client 2.8.0-5494: SSL Zertifikat wird nicht erstellt !

  • LiveConfig Client 2.8.0-5494


    Hallo!


    Ich habe eine neue Domain eingerichtet. Sobald ich das SSL Zertifikat unter Subdomain auswähle wird ja eine Konfiguration erzeugt. Apache kann nicht neugestartet werden, da


    SSLCertificateFile /etc/ssl/certs/56a6ed3767b8a778.crt



    nicht gefunden wurde. Ich habe bereits mehrmals probier es zu löschen und erneut anzulegen. Die Datei wird einfach nicht erstellt.

  • Logfile:


    [2019/06/28 14:28:25.490399] [30853|30855] [LUA] Deleting unused SSL certificate file: /etc/ssl/certs/1b4d64a431f545b3.crt
    [2019/06/28 14:28:25.490521] [30853|30855] [LUA] Deleting unused SSL certificate chain file: /etc/ssl/certs/1b4d64a431f545b3-ca.crt
    [2019/06/28 14:28:25.490549] [30853|30855] [LUA] Deleting unused SSL certificate key: /etc/ssl/private/1b4d64a431f545b3.key


    LC löscht das Zertifikat !

  • Außerdem im LOG massenhaft


    ACME2: error while preparing renewal of 'xxxxxx.de': KeyID header contained an invalid account URL: "https://acme-staging-v02.api.letsencrypt.org/acme/acct/23191331"

  • Bei der Erstellung eines LE-Zertifikates für eine Domain, die durch externe Nameserver verwaltet wird, wird gegen alle IPs der IP-Gruppe geprüft. Dies führt hier zu folgender Fehlermeldung
    DNS error: IP(s) missing in DNS: 1.2.3.4,2.3.4.5,usw (Die Domain zeigt nur auf eine einzige IP aus der Gruppe). Die Ausstellung des LE-Zertifikates wird dann scheinbar nicht angestossen, sondern hängt mit pending.


    LG


    Thomas

  • M.E. ist das in Ordnung da es auf eine Inkonsistenz hinweist. Es könnte ja sein, dass die Zone einen Fehler enthält - hierdurch würde er auffallen.
    Ich bin dagegen, das zu ändern und dafür, dass du eine passende IP-Gruppe verwendest oder die Zone anpasst.

    # Das Gras wächst nicht schneller wenn man daran zieht # Bitte keine inflationären Vollzitate #

  • Ich habe weiterhin ein Problem, dass einige Zertifikate nicht verlängert werden können.


    Fehlermeldung:


    obrigado.de 2019-07-05 15:17:45 http-01 invalid
    Invalid response from https://www.xxxx.de/login [xx.xx.xx.xx]: "<!DOCTYPE html>\n<html class="ng-csp" data-placeholder-focus="false" lang="en" >\n\t<head data-requesttoken="CAUnIUMdHhk5emMDeiMwAF"

  • Bei der Erstellung eines LE-Zertifikates für eine Domain, die durch externe Nameserver verwaltet wird, wird gegen alle IPs der IP-Gruppe geprüft. Dies führt hier zu folgender Fehlermeldung
    DNS error: IP(s) missing in DNS: 1.2.3.4,2.3.4.5,usw (Die Domain zeigt nur auf eine einzige IP aus der Gruppe). Die Ausstellung des LE-Zertifikates wird dann scheinbar nicht angestossen, sondern hängt mit pending.


    Danke für den Hinweis, das haben wir nun in r5503 korrigiert. Technisch betrachtet ist es in Ordnung, wenn der DNS weniger IPs für eine Domain meldet als in der IP-Gruppe konfiguriert sind (kann z.B. für Failover- oder Loadbalancer-Konfigurationen wichtig sein).


    Das Update steht spätestens morgen im Test-Repository bereit.

  • Ich habe weiterhin ein Problem, dass einige Zertifikate nicht verlängert werden können.


    Fehlermeldung:


    obrigado.de 2019-07-05 15:17:45 http-01 invalid
    Invalid response from https://www.xxxx.de/login [xx.xx.xx.xx]: "<!DOCTYPE html>\n<html class="ng-csp" data-placeholder-focus="false" lang="en" >\n\t<head data-requesttoken="CAUnIUMdHhk5emMDeiMwAF"


    Betrifft das wirklich mehrere Zertifikate oder nur dieses eine? Wann exakt wurde dieser Fehler protokolliert? (/var/log/liveconfig/liveconfig.log)


    Vom Timing her könnte es sein, dass das LiveConfig-Update die Verlängerung der SSL/TLS-Zertifikate angestoßen hatte *bevor* die vHosts im Apache dafür passend konfiguriert waren (also vor dem Apache-Reload). Kann ich mir zwar nur schwer vorstellen, aber das wäre eine Erklärung. Ggf schicken Sie uns einfach die /var/log/liveconfig/liveconfig.log an support@liveconfig.com und wir schauen uns das mal an.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!