LC 2.9.1 - Let's Encrypt: Alle VHosts neu generieren?

    Hallo zusammen,


    ich habe hier einen Let's Encrypt Server(Derzeit im Betrieb per Upgrade auf Debian 9 gezogen). Nach dem Upgrade auf auf LC 2.9.0(Aktuell installiert LC 2.9.1) wurden die Let's Encrypt Zertifikate nicht mehr erneuert.


    Das sind die Einträge im Logfile:


    Code
    [2019/12/02 18:55:08.607386] [31385|31397] successfully wrote domain validation file '/.well-known/acme-challenge/goAnoffaWz7g3gubWblivy2f10THD-kZvFIOFxyZ2eM' for domain 'www.meinedomain.at'
[2019/12/02 18:55:08.608471] [31385|31397] ACME2: triggering http validation for 'www.meinedomain.at'... (AU_ID=4)
'meinedomain.at'
[2019/12/02 18:55:10.604840] [31385|31396] ACME2: triggering http validation for 'meinedomain.at'... (AU_ID=3)
[2019/12/02 18:55:37.797488] [31385|20788] ACME2: authorization status for 'meinedomain.at': invalid
[2019/12/02 18:55:38.332348] [31385|20788] ACME2: authorization status for 'www.meinedomain.at': invalid
'meinedomain.at'
[2019/12/02 18:55:41.141087] [31385|31395] successfully deleted domain validation file '/.well-known/acme-challenge/goAnoffaWz7g3gubWblivy2f10THD-kZvFIOFxyZ2eM' for domain 'www.meinedomain.at'




    Ich habe mir die Webserverkonfiguration und -logs mal angeschaut und gemerkt, dass der Ablagepfad für die Let's Encrypt-Challenge jetzt mittlerweile anders ist als vorher.


    Ansonsten habe ich auch noch gesehen, dass da für Let's Encrypt jetzt zusätzliche Rewrite-Rules drin sind bei manchen Kunden, und zwar diese da...


    Apache Configuration
    RewriteMap  "lc" "int:tolower"
        RewriteCond %{REQUEST_URI} ^/\.well-known/(.*/)?([^/]*)$
        RewriteCond /var/www/web566/htdocs/.well-known/%1%2 !-f
        RewriteCond /var/www/.well-known/htdocs/%1${lc:%{HTTP_HOST}}.%2 -f
        RewriteRule / /var/www/.well-known/htdocs/%1${lc:%{HTTP_HOST}}.%2 [T=text/plain,L]


    Nach dem Neuschreiben der VHost-Konfiguration funktioniert verständlicherweise auch wieder Let's Encrypt.


    D. h. wahrscheinlich muss ich jetzt jede VHost-Konfiguration neu erzeugen lassen. Ich kenne nur den händischen Weg, dass ich irgendwas im Webinterface an den Webeinstellungen des Kunden ändere und dann wird die Konfig für den Kunden neu geschrieben.


    Kann man die gesamte Webserverkonfiguration(alle Kunden) automatisch neu erzeugen lassen?

    Alternativ eine IP-Gruppe bearbeiten (z.B. Namen ändern).


    Die neuen Pfade für die Domainvalidierung wurden mit v2.9 eingeführt, wobei LiveConfig da während des Upgrades eigentlich alle vHosts hätte aktualisieren sollen.
    Auf welcher Distribution arbeiten Sie, und wissen Sie noch welche Version vor dem Upgrade auf 2.9.0 lief?

    kk:


    Vorher: 2.7.4 (r5214)
    Dann: 2.9.1


    Distribution ist wie geschrieben Debian 9, was per dist-upgrade bisher 2 Major-Versionen hochgezogen wurde.


    Mein Kollege hatte Sie hier kontaktiert:
    [LC#2019120234000036] Let's Encrypt / Invalid response / 404 Not Found


    ---


    Ansonsten ist da eine VHost-Config derzeit noch auf Nur-Lesend geschaltet(chattr +i), weil die spezielle Einstellungen hat.

    Hallo zusammen,


    ich wollte eben auch einen Thread dazu erstellen, da die manuelle Arbeit ausufert.


    Bei uns ist das Problem auch beim Update auf die 2.9.0 aufgetreten. Mein erster Workaround war, dass ich die Domains angepasst habe (um eine Änderung durchzuführen) und dann das Zertifikat gelöscht und neu angelegt habe. Einzige optische Änderung:
    Im "defekten" Zustand ist das Zertifikat keinem Kunden zugeordnet. Die Spalte ist leer. Das neu beantrage ist es dann.


    Unsere LC Installation ist bis auf hinzugefügte PHP Versionen und über LC angepasste open_basedir "Standard".


    Ich habe nun auf allen Hosts die IP Gruppe von default auf default2 umbenannt. Daraufhin konnte ich die Zertifikate problemfrei erneuern.
    Gehe jetzt die heute ablaufenden manuell durch und hoffe, dass der Rest sich automatisch fängt.



    kk: Danke für den Hinweis mit der IP Gruppe


    Bei uns läuft das unter CentOS 7 bzw. Ubuntu 16.04 (ob der Ubuntu dabei war kann ich nicht sagen)
    Die Version, von der wir kamen hab ich auf Anhieb nicht gefunden
    Als Anhaltspunkt hier aus dem Update:
    Upgrading database schema (r5103 -> r5154)
    Das ist die erste Zeile aus dem Log vom Update..

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden