SSL-Problem

    Habe jetzt mit der aktuellen Version 3.0.3 unter Debian bookworm folgendes Problem mit den Zertifikaten.


    Die automatische Verlängerung von Liveconfig hat nun bei den zu verlängernden Zertifikaten den Job doppelt angelegt.



    Das führt zu dem Fehler das die Verlängerung nicht ausgeführt wird und in der liveconfig.log folgender Fehler protokoliert wird.

    Selbiges Problem hier auch – bis auf dass der Job hier nicht doppelt angelegt wird. Das Bild im Liveconfig.log ist aber das gleiche.


    Domain neu abspeichern, SSL-Zertifkat neu abspeichern, Liveconfig neu starten, Server neu starten - nichts hilft.


    Neu austellen von Zertifikaten hat aber auch mit Version 3 definitiv schon geklappt – ob Verlängerung auch kann ich nicht sicher sagen, denn:


    Ich wusste mir jetzt nicht weiterzuhelfen, zumal ich schnell eine Lösung brauchte – also bin ich zu LC2 zurück.


    Dort ist jetzt eine relativ lange Liste von SSL-Zertifikaten, die nicht verlängert wurden – die scheint LC2 gerade abzuarbeiten, wenn ich mir die liveconfig.log so anschaue


    Irgendwo steckt da aber mit LC3 und LetsEncrypt noch ziemlich der Wurm drin, befürchte ich

    Hallo


    gab es von kk noch keine Rückmeldung?

    Würde keinen Rückschritt machen und wieder zur LC2 Version gehen, die Umstellung in Verbindung z.B. von Debian 12 auf Debian 13 war holprig aber unsere Server laufen bis auf den TLS Bug bei ProFTP in zwischen sauber durch.


    Vielleicht legst du mal einen neuen Anbieter an, und versuchst es damit nochmal.


    MIt freundlichen Grüßen

    Martin Krüger

    Moin,


    mit neuem Anbieter hatte ich das probiert - ohne Erfolg.


    Rückmeldung kann es bei mir insofern nicht geben, als dass ich nicht direkt gemailt hatte. Die Domain musste / sollte gestern Abend funktionieren, insofern hatte ich da keine große Wahl, als zu hoffen, dass es dann mit LC2 geht (was dann ja auch problemlos geklappt hat).


    Ob es wirklich problemlos funktioniert – ich würde da empfehlen, sehr genau hinzuschauen. Dass LC3 (von der Menge her müssten es alle seit der Umstellung auf LC3 gewesen sein) die LetsEncrypt-Zertifikate nicht verlängert hat, wird dort in der Oberfläche nirgends angezeigt, das habe ich erst mit der Rückstellung auf LC2 dort in der Oberfläche gesehen – und die Umstellung ist halt hier auch bisher nicht so lange her, als dass da schon eins wirklich ausgelaufen gewesen wäre. Insofern: Ich war auch davon ausgegangen, dass soweit alles problemlos läuft, weil halt nirgendwo ein Problem angezeigt wurde.


    Ich habe aber definitiv auch nach der Umstellung auf LC3 neue LetsEncrypt-Zertifikate erfolgreich beziehen können. Wenn es jetzt nicht bei dieser einen Domain, warum auch immer, nicht geklappt hätte, wäre mir das vermutlich erst aufgefallen, wenn die ersten LE-Zertifikate aufgrund fehlender Verlängerung tatsächlich ausgelaufen wären... Möglicherweise also ein Problem, was sich erst mit irgendeinem .-Update eingeschlichen hat, wobei ich, wie gesagt, bei Verlängerungen ziemlich sicher bin, dass die mit LC3 bei mir jedenfalls noch nie funktioniert haben.


    Viele Grüße

    Markus

    • Neu

    Das mache ich auch - nur ein paar 100 SSL-Zertifikate auf diesem Wege zu überwachen ist logistisch schwierig ;)


    Ich habe es jetzt hinbekommen, LC3 scheint reibungslos zu laufen.


    Falls jemand das gleiche Problem hat (aktuelles Backup empfiehlt sich selbstverständlich):


    Mir fiel im Log (von LC2) auf, dass regelmäßig für eine Domain neue Validierungsdateien angelegt und wieder gelöscht werden (und dass 100te von Malen) - ohne dass was passiert und ohne dass das entsprechende LE-Zertifikat zur Verlängerung anstehen würde. Dann habe ich mir mal die Datenbank angeschaut, dass in der Tabelle SSLFILEAUTH in der Tat 100te Einträge zu dieser Domain vorhanden sind. Ich habe die Tabelle daraufhin geleert, das Problem hörte damit auf (vermutlich hat irgendwo mal was gehakt und LC2 hat sich weiter nicht dran gestört).


    Mag sein, dass das für LC3 schon gereicht hätte, aber da hier ja auch der Hinweis auf mehrere LE‑Accounts war und da bei mir 2 davon existierten, habe ich die Domains vom 2. LE-Account auf den ersten LE-Account "umgezogen" (ergo SSL-Zertifikat gelöscht und wieder neu mit "richtigem" Account ausstellen lassen). Das waren bei mir "nur" 14, also überschaubar (ich weiß gar nicht mehr, warum ich diesen 2. Account überhaupt angelegt habe).


    Die SSL-Accounts findet man in der Tabelle SSLACCOUNTS, die betroffenen Domains unter SSLCERTS - SA_ID von SSL-Accounts entsprechen der SSL_PRODUCTID in SSLACCOUNTS, darauf also filtern ergibt die Domains, die über den entsprechenden Account laufen.


    Nachdem alle Domains umgestellt waren (vorsichtig, nicht zu schnell hintereinander löschen und wieder neu ausstellen lassen, das führt zu Fehlermeldungen), habe ich dann noch den überflüssigen LE-Account gelöscht (die entsprechende Reihe in der DB in SSLACCOUNTS löschen, eine Menüfunktion dazu scheint es nicht zu geben).


    Anschließend LC3 installiert. Bis jetzt läuft es reibungslos, keine komischen Fehlermeldungen zu laufenden TLS-Jobs mehr, ich habe schon Zertifikate neu ausstellen lassen und die ersten Verlängerungen sind auch problemlos durchgelaufen.

    • Neu
    • Offizieller Beitrag

    Was die Überwachung betrifft: LiveConfig sollte von sich aus E-Mails verschicken, wenn aktive Zertifikate am ablaufen sind (vorausgesetzt natürlich, der Mailversand ist konfiguriert: Verwaltung -> Einstellungen -> E-Mail, sowie eine E-Mail-Adresse für den "admin"-User hinterlegt)

    Zitat von mhagge

    Mir fiel im Log (von LC2) auf, dass regelmäßig für eine Domain neue Validierungsdateien angelegt und wieder gelöscht werden (und dass 100te von Malen) - ohne dass was passiert und ohne dass das entsprechende LE-Zertifikat zur Verlängerung anstehen würde. Dann habe ich mir mal die Datenbank angeschaut, dass in der Tabelle SSLFILEAUTH in der Tat 100te Einträge zu dieser Domain vorhanden sind. Ich habe die Tabelle daraufhin geleert, das Problem hörte damit auf (vermutlich hat irgendwo mal was gehakt und LC2 hat sich weiter nicht dran gestört).

    Hmm, interessant. Das werden wir uns mal anschauen - eigentlich darf pro TLS-Auftrag nur ein Eintrag in der SSLFILEAUTH pro Zertifikat existieren. Das betraf alles noch LiveConfig 2.x, korrekt?


    Ansonsten: der ACME-Client in v3.x arbeitet etwas anders als der in 2.x und nutzt insbesondere auch eine etwas andere Datenstruktur (beim Upgrade auf 3.x werden vorhandene ACME-Accounts entsprechend in die neuen Tabellen migriert). Bitte nehmen Sie lieber vorher kurz mit uns Kontakt auf (support@liveconfig.com), erfahrungsgemäß ist ein nachträgliches "Aufräumen" immer wesentlich aufwendiger. Der Support ist im Preis enthalten. ;)


    Viele Grüße


    -Klaus Keppler

    • Neu
    Zitat von kk

    Das werden wir uns mal anschauen - eigentlich darf pro TLS-Auftrag nur ein Eintrag in der SSLFILEAUTH pro Zertifikat existieren. Das betraf alles noch LiveConfig 2.x, korrekt?

    Korrekt, die "Aufräumarbeiten" waren alle unter LC2. Dass das ein gewisses Risiko war, war mir bewusst – aber wie es so ist, wenn man erst mal angefangen hat. Ich hatte aber ein "Brandaktuelles" Backup, ohne hätte ich das auch nicht gemacht

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden