Lets Encrypt Probleme mit Subdomains

[wolfgangpue]

Habe leider mit der Suche keine passende Antwort gefunden. Ich hab Probleme mit Subdomains und der Zertifikatserstellung. Egal ob neue Zertifikate oder Erneuerung.
z.B: Bei einer Erneuerung wird folgender Fehler in den Logs geliefert:
Mon 30 Jan 08:09:09 CET 2017 Failed authorization procedure. [MEINE SUBDOMAIN] (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from [MEINE SUBDOMAIN].well-known/acme-challenge/5S5X7recfAtdTbvqZA8ROKUo6UcyfBlpcBMZCKIF1Zc: "<html>
Mon 30 Jan 08:09:09 CET 2017 <head><title>404 Not Found</title></head>
Mon 30 Jan 08:09:09 CET 2017 <body bgcolor="white">
Mon 30 Jan 08:09:09 CET 2017 <center><h1>404 Not Found</h1></center>

Sobald ich die Subdomain im ISPConfig deaktiviere stellt er mir das Zertifikat für die Hauptdomain ohne Probleme aus. Ich kann dann wieder die Subdomain aktivieren und dann scheint alles ohne Probleme zu funktionieren, bis zur Erneuerung in drei Monaten.

Ich habe Cloudflare (SSL Full) vorgeschalten. (Subdomain wird gecached, Hauptdomain nicht). Aber auch wenn ich das Caching der Subdomain ausschalte erneuert er mir das Zertifikat nicht. Subdomain wird in einem Unterordner mit "No Flag" weitergeleitet.

 

[wolfgangpue]

Problem ist noch immer nicht gelöst, anscheinend findet er nur die generierten Dateien von Letsencrypt bei den Subdomains nicht.
In der nginx config sieht die Subdomain wie folgt aus:

if ($http_host = "static.domain.tld") {
rewrite ^(?!/\b(static|stats)\b)/(.*)$ /static/$2 ;
}

Für den well-known ordner sind gleich 2 von ispconfig erstellte einträge vorhanden:

location ~ /\.(?!well-known/acme-challenge/) {
deny all;
access_log off;
log_not_found off;
}

location ~ /\.well-known/acme-challenge/ {
root /usr/local/ispconfig/interface/acme/;
index index.html index.htm;
try_files $uri =404;
}

 

[florian030]

Das ist im stable-branch soweit korrigiert. Für server/conf/nginx_vhost.conf.master: https://git.ispconfig.org/ispconfig/ispconfig3/blob/stable-3.1/server/conf/nginx_vhost.conf.master
Und für die Rechte von .well-known/acme-challenge: chmod -R 755 /usr/local/ispconfig/interface/acme

Die vhost werden aber nicht automatisch neu geschrieben. Entweder nimmst Du das resync-Tool über deaktivierst und aktivierst die Seiten

 

[wolfgangpue]

Hat leider auch nicht geholfen. Anscheinend passt mit dem Redirect der Subdomain was nicht:
Habe die Datei test.txt in den freigegebenen Ordner gegeben:
Mit der Hauptdomain kann ich ohne Problem darauf zugreifen:
http:// www. domain. tld/. well-known/acme-challenge/test.txt
Nur sobald ich eine Subdomain nehme findet er nichts und genau so versucht Letsencrypt auf seine Dateien zuzugreifen. Sie stehen zwar drinnen aber werden nicht erreicht.
http:// static.domain. tld/. well-known/acme-challenge/test.txt

Die static Subdomain zeigt in ein Unterverzeichnis von der Hauptdomain (No flag)
if ($http_host = "static. domain. tld") {
rewrite ^(?!/\b(static|stats)\b)/(.*)$ /static/$2 ;
}

In der nginx Config ist mit der neuen nginx_vhost. conf. master nur mehr ein Block vorhanden:

location ^~ /.well-known/acme-challenge/ {
access_log off;
log_not_found off;
root /usr/local/ispconfig/interface/acme/;
autoindex off;
index index.html;
try_files $uri $uri/ =404;
}
Funktionieren tuts leider trotzdem noch nicht. (Habe paar Leerzeichen einfügen müssen, sonst hätte er mir es nicht speichern lassen)

 

[wolfgangpue]

Kann es sein dass es sich mit einer anderen NGINX-Regel überschneidet, hab folgenden Direktiven noch zusätzlich über das nginx - Optionsfeld angegeben:

# allow fonts to load
location ~* \.(eot|ttf|woff|woff2)$ {
add_header Access-Control-Allow-Origin *;
}

# add expire header to all static files
location ~* \.(js|css|png|jpg|jpeg|gif|ico|ttf|otf|woff|woff2)$ {
expires max;
access_log off;
}

rewrite /images/(.*)_([0-9]+)_([0-9]+).jpg$ /images/$2/$3.jpg last;

# add a trailing slash to every url
rewrite ^([^.]*[^/])$ $1/ permanent;


# sitemap rewrite
location = /sitemap.xml {
rewrite /sitemap\.xml /index.php last;
}


# webstats
location /stats/ {
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
}


# redirect all not existing paths to index.php
location / {
# This is cool because no php is touched for static content.
# include the "?$args" part so non-default permalinks doesn't break when using query string
try_files $uri $uri/ /index.php?$args;
}

Komm leider nicht darauf warum der ACME-Ordner nicht unten den Subdomains erreichbar ist

 

[wolfgangpue]

Ok, etwas hat sich geändert: Jetzt kommt eine 403 Forbidden Meldung anstatt eine 404:

Failed authorization procedure. images1.pornofisch.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://images1.domain .com/.well-known/acme-challenge/cUr3sq5C9hhFqyP9x8JRjEGmGhUswtJETaGDIEnqufg: "<html>
Wed 8 Mar 18:48:09 CET 2017 <head><title>403 Forbidden</title></head>
Wed 8 Mar 18:48:09 CET 2017 <body bgcolor="white">
Wed 8 Mar 18:48:09 CET 2017 <center><h1>403 Forbidden</h1></center>