LC 2.9.1 - Let's Encrypt: Alle VHosts neu generieren?

Mathias_Thielen · 15. Januar 2020

Hallo zusammen,

ich habe hier einen Let's Encrypt Server(Derzeit im Betrieb per Upgrade auf Debian 9 gezogen). Nach dem Upgrade auf auf LC 2.9.0(Aktuell installiert LC 2.9.1) wurden die Let's Encrypt Zertifikate nicht mehr erneuert.

Das sind die Einträge im Logfile:

Code

[2019/12/02 18:55:08.607386] [31385|31397] successfully wrote domain validation file '/.well-known/acme-challenge/goAnoffaWz7g3gubWblivy2f10THD-kZvFIOFxyZ2eM' for domain 'www.meinedomain.at'
[2019/12/02 18:55:08.608471] [31385|31397] ACME2: triggering http validation for 'www.meinedomain.at'... (AU_ID=4)
'meinedomain.at'
[2019/12/02 18:55:10.604840] [31385|31396] ACME2: triggering http validation for 'meinedomain.at'... (AU_ID=3)
[2019/12/02 18:55:37.797488] [31385|20788] ACME2: authorization status for 'meinedomain.at': invalid
[2019/12/02 18:55:38.332348] [31385|20788] ACME2: authorization status for 'www.meinedomain.at': invalid
'meinedomain.at'
[2019/12/02 18:55:41.141087] [31385|31395] successfully deleted domain validation file '/.well-known/acme-challenge/goAnoffaWz7g3gubWblivy2f10THD-kZvFIOFxyZ2eM' for domain 'www.meinedomain.at'

Ich habe mir die Webserverkonfiguration und -logs mal angeschaut und gemerkt, dass der Ablagepfad für die Let's Encrypt-Challenge jetzt mittlerweile anders ist als vorher.

Ansonsten habe ich auch noch gesehen, dass da für Let's Encrypt jetzt zusätzliche Rewrite-Rules drin sind bei manchen Kunden, und zwar diese da...

Apache Configuration

RewriteMap  "lc" "int:tolower"
        RewriteCond %{REQUEST_URI} ^/\.well-known/(.*/)?([^/]*)$
        RewriteCond /var/www/web566/htdocs/.well-known/%1%2 !-f
        RewriteCond /var/www/.well-known/htdocs/%1${lc:%{HTTP_HOST}}.%2 -f
        RewriteRule / /var/www/.well-known/htdocs/%1${lc:%{HTTP_HOST}}.%2 [T=text/plain,L]

Nach dem Neuschreiben der VHost-Konfiguration funktioniert verständlicherweise auch wieder Let's Encrypt.

D. h. wahrscheinlich muss ich jetzt jede VHost-Konfiguration neu erzeugen lassen. Ich kenne nur den händischen Weg, dass ich irgendwas im Webinterface an den Webeinstellungen des Kunden ändere und dann wird die Konfig für den Kunden neu geschrieben.

Kann man die gesamte Webserverkonfiguration(alle Kunden) automatisch neu erzeugen lassen?

antondollmaier · 15. Januar 2020

Zitat von Mathias_Thielen

Kann man die gesamte Webserverkonfiguration(alle Kunden) automatisch neu erzeugen lassen?

LiveConfig-Datenbank (MySQL/SQLite):

SQL

UPDATE HOSTINGCONTRACTS SET HC_REFRESHCFG=1

Danach LiveConfig neu starten.

Damit werden alle VirtualHosts neu erzeugt.

Mathias_Thielen · 15. Januar 2020

Funktioniert! Super! Danke!

kk · 15. Januar 2020

Alternativ eine IP-Gruppe bearbeiten (z.B. Namen ändern).

Die neuen Pfade für die Domainvalidierung wurden mit v2.9 eingeführt, wobei LiveConfig da während des Upgrades eigentlich alle vHosts hätte aktualisieren sollen.
Auf welcher Distribution arbeiten Sie, und wissen Sie noch welche Version vor dem Upgrade auf 2.9.0 lief?

Mathias_Thielen · 15. Januar 2020

kk:

Vorher: 2.7.4 (r5214)
Dann: 2.9.1

Distribution ist wie geschrieben Debian 9, was per dist-upgrade bisher 2 Major-Versionen hochgezogen wurde.

Mein Kollege hatte Sie hier kontaktiert:
[LC#2019120234000036] Let's Encrypt / Invalid response / 404 Not Found

---

Ansonsten ist da eine VHost-Config derzeit noch auf Nur-Lesend geschaltet(chattr +i), weil die spezielle Einstellungen hat.

antondollmaier · 15. Januar 2020

Zitat von Mathias_Thielen

Ansonsten ist da eine VHost-Config derzeit noch auf Nur-Lesend geschaltet(chattr +i), weil die spezielle Einstellungen hat.

Das ist ... suboptimal.
Die speziellen Einstellungen sollten in die .httpd.conf ausgelagert werden.

Welche sind denn genau nötig?

SSchaub · 16. Januar 2020

Hallo zusammen,

ich wollte eben auch einen Thread dazu erstellen, da die manuelle Arbeit ausufert.

Bei uns ist das Problem auch beim Update auf die 2.9.0 aufgetreten. Mein erster Workaround war, dass ich die Domains angepasst habe (um eine Änderung durchzuführen) und dann das Zertifikat gelöscht und neu angelegt habe. Einzige optische Änderung:
Im "defekten" Zustand ist das Zertifikat keinem Kunden zugeordnet. Die Spalte ist leer. Das neu beantrage ist es dann.

Unsere LC Installation ist bis auf hinzugefügte PHP Versionen und über LC angepasste open_basedir "Standard".

Ich habe nun auf allen Hosts die IP Gruppe von default auf default2 umbenannt. Daraufhin konnte ich die Zertifikate problemfrei erneuern.
Gehe jetzt die heute ablaufenden manuell durch und hoffe, dass der Rest sich automatisch fängt.

kk: Danke für den Hinweis mit der IP Gruppe

Bei uns läuft das unter CentOS 7 bzw. Ubuntu 16.04 (ob der Ubuntu dabei war kann ich nicht sagen)
Die Version, von der wir kamen hab ich auf Anhieb nicht gefunden
Als Anhaltspunkt hier aus dem Update:
Upgrading database schema (r5103 -> r5154)
Das ist die erste Zeile aus dem Log vom Update..

Mathias_Thielen · 16. Januar 2020

Zitat von antondollmaier

Das ist ... suboptimal.
Die speziellen Einstellungen sollten in die .httpd.conf ausgelagert werden.

Welche sind denn genau nötig?

Danke für Dein Unterstützungsangebot. Jedoch ist das ein temporäres Provisorium, in das ich keinerlei Energie investieren möchte.

Jetzt mitmachen!