Integrate Let's Encrypt error beim start

V

vikozo

Member
Hallo
ich habe HHVM and Let's Encripyt gemäss dem ISPConfig PDF file 3.1 installiert ohne Fehler
beim
./certboot-auto
bekomme ich einen Fehler das ein subdomain nicht erreichbar ist. Sonst scheint es keinen Fehler zu geben.
im Log file aber habe ich folgende Fehler
/opt/certbot# tail /var/log/letsencrypt/letsencrypt.log
new_certr, new_chain, new_key, _ = le_client.obtain_certificate(domains)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/client.py", line 318, in obtain_certificate
self.config.allow_subset_of_names)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/auth_handler.py", line 81, in get_authorizations
self._respond(resp, best_effort)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/auth_handler.py", line 138, in _respond
self._poll_challenges(chall_update, best_effort)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/auth_handler.py", line 202, in _poll_challenges
raise errors.FailedChallenges(all_failed_achalls)
FailedChallenges: Failed authorization procedure. webmail.kozo.ch (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: DNS problem: NXDOMAIN looking up A for webmail.kozo.ch
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
 
V

vikozo

Member
dieser Teil war mir auch klar - aber wegen diesem fehler sollten doch nicht die anderen Fehler auftreten. Da es sich ja auch "nur" um eine Subdomain handelt.
 
R

robotto7831a

Well-Known Member
Du schreibst in der Konsole stand, dass eine Subdomain nicht erreichbar ist und im Logfile steht das gleiche. Wo ist das Problem?

Warum rufst Du den certbot eigentlich selber auf? DAs macht ISPConfig schon für dich.
 
V

vikozo

Member
@robotto7831a in der Anleitung steht es so! (HHVM and Let's Encripyt gemäss dem ISPConfig PDF file 3.1 installiert ohne Fehler)
@HSorgYves hab jetzt diese subdomain hinzugefügt und im Logfile noch diese Fehlermeldung
:/opt/certbot# tail /var/log/letsencrypt/letsencrypt.log
_install_cert(config, le_client, domains, new_lineage)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/main.py", line 476, in _install_cert
path_provider.cert_path, path_provider.chain_path, path_provider.fullchain_path)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/client.py", line 452, in deploy_certificate
fullchain_path=fullchain_path)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot_apache/configurator.py", line 306, in deploy_cert
self.enable_site(vhost)
File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot_apache/configurator.py", line 1721, in enable_site
"Unsupported filesystem layout. "
NotSupportedError: Unsupported filesystem layout. sites-available/enabled expected.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
 
Zuletzt bearbeitet:
V

vikozo

Member
Hallo @Till
dieses Fenster ist nicht aufgetaucht - ich hatte eine Liste von Domains erhalten und Subdomains und da ging ich dann weiter und habe nicht abgebrochen.
im ISPconfig habe ich unter Sites und Domains dann
SSL und Let's Encrypt SSL aktiviert

unter SSL selber ist der obere Teil ausgefüllt.
aber ab SSL Key bis zum Schluss ist es leer
und bei SSL Action: ist zur zeit ein None
 
H

HSorgYves

Member
Ausserdem gibt es in der Zwischenzeit ein certbot Paket für Debian ab Version 8 das meiner Meinung nach für die Meisten der Selbstinstallation vorzuziehen ist. Auch HHVM ist in Debian Testing als aktuelles Paket vorhanden und kann mit ISPConfig (auch auf Debian 9) genutzt werden.
 
T

Till

Administrator
Zitat von HSorgYves:
Ausserdem gibt es in der Zwischenzeit ein certbot Paket für Debian ab Version 8 das meiner Meinung nach für die Meisten der Selbstinstallation vorzuziehen ist.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wrde ich sicherlich mit dem nächsten Update des Manuals ergänzen.

Zitat von HSorgYves:
Auch HHVM ist in Debian Testing als aktuelles Paket vorhanden und kann mit ISPConfig (auch auf Debian 9) genutzt werden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ich halte nicht allzuviel davon, Pakete von Testing in stable rein zu ziehen. Aber wer will, kann das natürlich machen. da sich ja nach aktuellen News HHVM von der PHP Kompatibilität versbschieden will, überlege ich sowieso ob wir HHVM nicht wieder entfernen werden.

Zitat von HSorgYves:
Ausserdem wird das Let's Encrapt Zertifikat nicht in dem SSL Tab angezeigt, warum auch...
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das wurde dort noch nie angezeigt da es nicht in die Datenbank importiert wird.

Zitat von vikozo:
Hallo @Till
dieses Fenster ist nicht aufgetaucht - ich hatte eine Liste von Domains erhalten und Subdomains und da ging ich dann weiter und habe nicht abgebrochen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ist ja nicht weiter schlimm, wird auch so gehen :) LE und certbot ändern sich ständig und sie geben nichts darauf langfristig kompatibel zu sein, man muss also dauernd was für sie ändern. Aktuell haben sie z.B. vor einigen Tagen angefangen den Installationsort zu ändern ohne Rückwärtskompatibilität zu wahren, alle software die LE am gewohnten Ort sucht schlägt jetzt fehl. Du müsstest Daher ggf. mal mit ispconfig_update.sh auf die git-stable version updaten, denn ISPConfig findet certbot sonst auch nicht mehr.
 
H

HSorgYves

Member
Zitat von Till:
Ich halte nicht allzuviel davon, Pakete von Testing in stable rein zu ziehen. Aber wer will, kann das natürlich machen. da sich ja nach aktuellen News HHVM von der PHP Kompatibilität versbschieden will, überlege ich sowieso ob wir HHVM nicht wieder entfernen werden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Ich mag es auch nicht verschiedene Distributionen zu mischen, manchmal ist das aber besser als eine externe Repository zu wählen. Da HHVM keine anderen Pakete installiert die in Konflikt mit stable stehen, ist es eine für mich akzeptable Lösung. @Till, hast Du eine Referenz, dass HHVM sich von der php Kompatibilität verabschieden will?
Zitat von Till:
Das wurde dort noch nie angezeigt da es nicht in die Datenbank importiert wird.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
War keine Kritik, nur eine Feststellung als Antwort an @vikozo 's Post #8.
 
N

nowayback

Well-Known Member
Zitat von HSorgYves:
Ich mag es auch nicht verschiedene Distributionen zu mischen, manchmal ist das aber besser als eine externe Repository zu wählen. Da HHVM keine anderen Pakete installiert die in Konflikt mit stable stehen, ist es eine für mich akzeptable Lösung. @Till, hast Du eine Referenz, dass HHVM sich von der php Kompatibilität verabschieden will?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
ging doch heute durch die "fachpresse" aka heise/golem und co.
 
V

vikozo

Member
@Till
vielen Dank, ich habe deine Info befolgt und git-stable ein update gemacht, ohne Probleme.
vorab eine Frage
ich hab an die 1000 files unter /var/log/letsencrypt/
die etwa so aussehen - letsencrypt.log.801
wenn ich nun mit multitail letsencrypt.log
bekomme ich einen Fehler (und die Zeit ist um 2h verschoben also schreibt 14 statt 16
tail: „letsencrypt.log“ ist aufgetaucht; folge Ende der neuen Datei
2017-09-20 14:27:01,941:DEBUG:certbot.main:Root logging level set at 20
2017-09-20 14:27:01,942:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2017-09-20 14:27:01,942:DEBUG:certbot.main:certbot version: 0.10.2
2017-09-20 14:27:01,942:DEBUG:certbot.main:Arguments: ['-n', '--text', '--agree-tos', '--expand', '--authenticator', 'webroot', '--server', 'https://acme-v01.api.letsencrypt.org/directory', '--rsa-key-size', '40
96', '--email', 'postmaster@kocher.photos', '--domains', 'kocher.photos', '--domains', 'www.kocher.photos', '--webroot-path', '/usr/local/ispconfig/interface/acme']
2017-09-20 14:27:01,943:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#apache,PluginEntryPoint#webroot,PluginEntryPoint#null,PluginEntryPoint#manual,PluginEntryPoint#standalone)
2017-09-20 14:27:01,943:DEBUG:certbot.plugins.selection:Requested authenticator webroot and installer None
2017-09-20 14:27:01,945:DEBUG:certbot.plugins.selection:Single candidate plugin: * webroot
Description: Place files in webroot directory
Interfaces: IAuthenticator, IPlugin
Entry point: webroot = certbot.plugins.webroot:Authenticator
Initialized: <certbot.plugins.webroot.Authenticator object at 0x7f52f6425a90>
Prep: True
2017-09-20 14:27:01,946:DEBUG:certbot.plugins.selection:Selected authenticator <certbot.plugins.webroot.Authenticator object at 0x7f52f6425a90> and installer None
2017-09-20 14:27:01,962:DEBUG:certbot.main:picked account: <Account(343ee93dc0d3657b30055a81d216f106)>
2017-09-20 14:27:01,964:DEBUG:root:Sending GET request to https://acme-v01.api.letsencrypt.org/directory.
2017-09-20 14:27:01,966:INFO:requests.packages.urllib3.connectionpool:Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
2017-09-20 14:27:02,569:DEBUG:requests.packages.urllib3.connectionpool:"GET /directory HTTP/1.1" 200 561
2017-09-20 14:27:02,570:DEBUG:acme.client:Received response:
HTTP 200
Server: nginx
Content-Type: application/json
Content-Length: 561
Replay-Nonce: 3J9lJXAqfbNvV0dpHrxE0ncxdj7hogcTWKU8_3c1cX0
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Expires: Wed, 20 Sep 2017 14:27:02 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Wed, 20 Sep 2017 14:27:02 GMT
Connection: keep-alive

{
"key-change": "https://acme-v01.api.letsencrypt.org/acme/key-change",
"meta": {
"terms-of-service": "https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf"
},
"new-authz": "https://acme-v01.api.letsencrypt.org/acme/new-authz",
"new-cert": "https://acme-v01.api.letsencrypt.org/acme/new-cert",
"new-reg": "https://acme-v01.api.letsencrypt.org/acme/new-reg",
"revoke-cert": "https://acme-v01.api.letsencrypt.org/acme/revoke-cert",
"vPyNxOp11cY": "https://community.letsencrypt.org/t/adding-random-entries-to-the-directory/33417"
}
2017-09-20 14:27:02,572:WARNING:certbot.storage:Attempting to parse the version 0.18.1 renewal configuration file found at /etc/letsencrypt/renewal/kozo.ch.conf with version 0.10.2 of Certbot. This might not wor
k.
2017-09-20 14:27:02,577:DEBUG:parsedatetime:parse (top of loop): [30 days][]
2017-09-20 14:27:02,582:DEBUG:parsedatetime:CRE_UNITS matched
2017-09-20 14:27:02,582:DEBUG:parsedatetime:parse (bottom) [][30 days][][]
2017-09-20 14:27:02,583:DEBUG:parsedatetime:weekday False, dateStd False, dateStr False, time False, timeStr False, meridian False
2017-09-20 14:27:02,583:DEBUG:parsedatetime:dayStr False, modifier False, modifier2 False, units True, qunits False
2017-09-20 14:27:02,584:DEBUG:parsedatetime:_evalString(30 days, time.struct_time(tm_year=2017, tm_mon=9, tm_mday=20, tm_hour=14, tm_min=27, tm_sec=2, tm_wday=2, tm_yday=263, tm_isdst=0))
2017-09-20 14:27:02,584:DEBUG:parsedatetime:_buildTime: [30 ][][days]
2017-09-20 14:27:02,584:DEBUG:parsedatetime:units days --> realunit days
2017-09-20 14:27:02,585:DEBUG:parsedatetime:return
2017-09-20 14:27:02,585:INFO:certbot.renewal:Cert not yet due for renewal
2017-09-20 14:27:02,585:INFO:certbot.main:Keeping the existing certificate
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
 
T

Till

Administrator
Dann lies doch mal was drin steht,z.B.:

2017-09-20 14:27:02,585:INFO:certbot.renewal:Cert not yet due for renewal
2017-09-20 14:27:02,585:INFO:certbot.main:Keeping the existing certificate

Also zusammengaffst, LE wurde gestartet, hat das Cert getestet, hat das cert erneut verifiziert, hat alles für gut befunden, es war kein renewal nötig, und hat sich beendet.
 
V

vikozo

Member
mir ist auch aufgefallen, wenn man im ISPConfig unter Tool das Resync Tool verwendet, werden auch alle Letsencrypt Zertifikate angefragt/erneuert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top