letsencrypt Problem mit EINER Domain UNSOLVED

Dieses Thema im Forum "Entwicklerforum" wurde erstellt von leandersukov, 16. Sep. 2016.

  1. leandersukov

    leandersukov New Member

    ISPConfig Version: 3.1dev

    Während andere Domains (Websiten), die alle auf dem gleichen Nameserver (united domains) konfiguriert sind durchgehen, geht kulturmaschinen.com nicht durch. Allerdings gehört die Domain einem anderen Kunden. Natürlich darf der SSL / letsencrypt machen.
    Ich bin völlig ratlos. Ich weiß auch nicht, wie ich einen Fehler lokalisieren soll, der nur bei dieser Domain auftritt. Ich habe bereits mit/ohne suxec versucht die Certs zu erstellen, daran liegt es aber wohl nicht, denn das Ergebnis ist immer gleich.


    Code:
    Domain: kulturmaschinen.com
    Type: unauthorized
    Detail: Invalid response from http://kulturmaschinen.com/.well-known/acme-challenge/Lzd56GGU0ZOqn9IgsRrrQYmClAC2PNwY2wmsT8Vt7PQ1: "<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    _ "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">_
    <ht"
    
    To fix these errors, please make sure that your domain name was entered correctly and the DNS A record(s) for that domain contain(s) the right IP address.
    2016-09-15 18:38:06,442:INFO:certbot.authhandler:Cleaning up challenges_
    2016-09-15 18:38:06,442:DEBUG:certbot.plugins.webroot:Removing /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/Lzd56GGU0ZOqn9IgsRrrQYmClAC2PNwY2wmsT8Vt7PQ
    2016-09-15 18:38:06,443:DEBUG:certbot.plugins.webroot:Removing /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/d6y7-HXcGo--ACz2Q7iNwi58TfBumNwGy_2IhSq1mA_
    2016-09-15 18:38:06,443:DEBUG:certbot.plugins.webroot:All challenges cleaned up, removing /usr/local/ispconfig/interface/acme/.well-known/acme-challenge
    2016-09-15 18:38:06,444:DEBUG:certbot.main:Exiting abnormally:
    Traceback (most recent call last):
    _ File "/root/.local/share/letsencrypt/bin/letsencrypt", line 11, in _
    _ sys.exit(main())_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/main.py", line 744, in main_
    _ return config.func(config, plugins)_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/main.py", line 555, in obtain_cert_
    _ , action = _authfrom_domains(le_client, config, domains, lineage)_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/main.py", line 94, in authfrom_domains_
    _ lineage = le_client.obtain_and_enroll_certificate(domains)_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/client.py", line 276, in obtain_and_enroll_certificate_
    _ certr, chain, key, _ = self.obtain_certificate(domains)_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/client.py", line 247, in obtain_certificate_
    _ self.config.allow_subset_of_names)_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/auth_handler.py", line 74, in get_authorizations_
    _ self.respond(resp, besteffort)_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/auth_handler.py", line 131, in respond
    _ self.pollchallenges(chall_update, best_effort)_
    _ File "/root/.local/share/letsencrypt/local/lib/python2.7/site-packages/certbot/auth_handler.py", line 195, in pollchallenges_
    _ raise errors.FailedChallenges(all_failed_achalls)_
    FailedChallenges: Failed authorization procedure. www.kulturmaschinen.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.kulturmaschinen.com/.well-known/acme-chall$
    _ "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">_
    <ht", kulturmaschinen.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://kulturmaschinen.com/.well-known/acme-challenge/Lzd56GGU0ZOqn9IgsRrrQYmClAC2PNwY2wmsT8Vt7PQ1: "<$
    _ "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">_

    Code:
    Apache 2 Error log
    
    [Fri Sep 16 14:12:07.825386 2016] [mpmprefork:notice] [pid 24489] AH00169: caught SIGTERM, shutting down_
    [ 2016-09-16 14:12:08.9090 26900/7fbe1137e740 agents/Watchdog/Main.cpp:538 ]: Options: { 'analyticslog_user' => 'nobody', 'default_group' => 'nogroup', 'default_python' => 'python', 'default_ruby' => '/usr/bin/ruby', 'default_user' => $_
    [ 2016-09-16 14:12:08.9130 26903/7f608381b740 agents/HelperAgent/Main.cpp:650 ]: PassengerHelperAgent online, listening at unix:/tmp/passenger.1.0.26898/generation-0/request
    [ 2016-09-16 14:12:08.9210 26910/7f2d3a961780 agents/LoggingAgent/Main.cpp:321 ]: PassengerLoggingAgent online, listening at unix:/tmp/passenger.1.0.26898/generation-0/logging
    [ 2016-09-16 14:12:08.9212 26900/7fbe1137e740 agents/Watchdog/Main.cpp:728 ]: All Phusion Passenger agents started!
    [Fri Sep 16 14:12:08.921984 2016] [ssl:warn] [pid 26898] AH01906: literaturhausserver.de:8080:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
    [Fri Sep 16 14:12:08.922077 2016] [ssl:error] [pid 26898] AH02217: sslstapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=postman@literatur.land,CN=literaturhausserver.de,O=Literaturhaus,L=Ochsenfurt,ST=Bavari$_
    [Fri Sep 16 14:12:08.922084 2016] [ssl:error] [pid 26898] AH02567: Unable to configure certificate literaturhausserver.de:8080:0 for stapling
    [Fri Sep 16 14:12:08.922189 2016] [suexec:notice] [pid 26898] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
    [Fri Sep 16 14:12:08.959266 2016] [authdigest:notice] [pid 26920] AH01757: generating secret for digest authentication ..._
    [Fri Sep 16 14:12:08.959818 2016] [:notice] [pid 26924] FastCGI: process manager initialized (pid 26924)
    [Fri Sep 16 14:12:08.960104 2016] [:warn] [pid 26924] FastCGI: server "/var/www/cgi-bin/php-cgi-5.4" started (pid 26925)
    [ 2016-09-16 14:12:08.9629 26927/7fcccf5d6740 agents/Watchdog/Main.cpp:538 ]: Options: { 'analyticslog_user' => 'nobody', 'default_group' => 'nogroup', 'default_python' => 'python', 'default_ruby' => '/usr/bin/ruby', 'default_user' => $_
    [ 2016-09-16 14:12:08.9665 26930/7f93a6493740 agents/HelperAgent/Main.cpp:650 ]: PassengerHelperAgent online, listening at unix:/tmp/passenger.1.0.26920/generation-0/request
    [ 2016-09-16 14:12:08.9738 26938/7f4e53e70780 agents/LoggingAgent/Main.cpp:321 ]: PassengerLoggingAgent online, listening at unix:/tmp/passenger.1.0.26920/generation-0/logging
    [ 2016-09-16 14:12:08.9739 26927/7fcccf5d6740 agents/Watchdog/Main.cpp:728 ]: All Phusion Passenger agents started!
    [Fri Sep 16 14:12:08.997842 2016] [:error] [pid 26920] pythoninit: Python version mismatch, expected '2.7.5+', found '2.7.9'._
    [Fri Sep 16 14:12:08.997896 2016] [:error] [pid 26920] pythoninit: Python executable found '/usr/bin/python'._
    [Fri Sep 16 14:12:08.997899 2016] [:error] [pid 26920] pythoninit: Python path being used '/usr/lib/python2.7/:/usr/lib/python2.7/plat-x86_64-linux-gnu:/usr/lib/python2.7/lib-tk:/usr/lib/python2.7/lib-old:/usr/lib/python2.7/lib-dynload$_
    [Fri Sep 16 14:12:08.997910 2016] [:notice] [pid 26920] modpython: Creating 8 session mutexes based on 150 max processes and 0 max threads._
    [Fri Sep 16 14:12:08.997913 2016] [:notice] [pid 26920] modpython: using mutex_directory /tmp_
    [Fri Sep 16 14:12:09.004183 2016] [ssl:warn] [pid 26920] AH01906: literaturhausserver.de:8080:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
    [Fri Sep 16 14:12:09.004240 2016] [ssl:error] [pid 26920] AH02217: sslstapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=postman@literatur.land,CN=literaturhausserver.de,O=Literaturhaus,L=Ochsenfurt,ST=Bavari$_
    _[Fri Sep 16 14:12:09.004244 2016] [ssl:error] [pid 26920] AH02567: Unable to configure certificate literaturhausserver.de:8080:0 for stapling_
    _[Fri Sep 16 14:12:09.007099 2016] [mpm_prefork:notice] [pid 26920] AH00163: Apache/2.4.10 (Debian) mod_fastcgi/mod_fastcgi-SNAP-0910052141 mod_fcgid/2.3.9 Phusion_Passenger/4.0.53 mod_python/3.3.1 Python/2.7.9 OpenSSL/1.0.1t configured $_
    _[Fri Sep 16 14:12:09.007128 2016] [core:notice] [pid 26920] AH00094: Command line: '/usr/sbin/apache2'_
    
    Ich habe nicht die leiseste Idee, was da los sein könnte ...
     
  2. Till

    Till Administrator

  3. leandersukov

    leandersukov New Member

    In dem lokalen Errorlog gibt es keine Hinweise auf den Fehler. Nur Fehler von fehlerhaften php-Anwendungen in der alten joomla-Version werden angezeigt. Im lokalen Access-log wird angezeigt:

    Code:
    66.133.109.36 - - [16/Sep/2016:18:42:03 +0200] "GET /.well-known/acme-challenge/QK525azfi65Nc7nAVHKh_yi9knQF-FFTxdJsB04JUcc HTTP/1.1" 404 533 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
    66.133.109.36 - - [16/Sep/2016:18:42:03 +0200] "GET /.well-known/acme-challenge/IgQptEnaB16yQLqMCmZROhulycp_tkBf0nszZakz5SE HTTP/1.1" 404 537 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
    66.133.109.36 - - [16/Sep/2016:18:43:03 +0200] "GET /.well-known/acme-challenge/v5vYQj8zFap4WQh1uiN6CjysEuckO4hyOri771K1JMc HTTP/1.1" 404 533 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
    66.133.109.36 - - [16/Sep/2016:18:43:03 +0200] "GET /.well-known/acme-challenge/QT43CRua98vYR-tmWL5oRf8DxXYQJxenPvdlUNgHvaE HTTP/1.1" 404 537 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
    
    Test: Zertifikate für die Website kunst-und-suende. de auf dem gleichen Server angelegt (Websitenverwaltung, Häkchen bei Letsencrypt). Ergebnis Zertifikate angelegt. /etc/letsencrypt enthält alle Einträge. /var/www/kunst-und-suende/ssl enthält Zertifikate. Aufruf von https:// klappt. Zertifikat ist in Ordnung.
    Gleicher Ablauf für kulturmaschinen.com: Keine Zertifikate angelegt. Aufruf von https://kulturmaschinen.com zeigt auf https:// kunst-und-suende. de, obwohl die IPs unterschiedlich sind und auch so im Apache2 stehen. Da ist irgendwas ganz, ganz schief. Aber ich weiß nicht, wo ich suchen soll. 
     
  4. leandersukov

    leandersukov New Member

    Test: Zertifikate für die Website kunst-und-suende. de auf dem gleichen Server angelegt (Websitenverwaltung, Häkchen bei Letsencrypt). Ergebnis Zertifikate angelegt. /etc/letsencrypt enthält alle Einträge. /var/www/kunst-und-suende/ssl enthält Zertifikate. Aufruf von https:// klappt. Zertifikat ist in Ordnung.
    Gleicher Ablauf für kulturmaschinen.com: Keine Zertifikate angelegt. Aufruf von https://kulturmaschinen.com zeigt auf https:// kunst-und-suende. de, obwohl die IPs unterschiedlich sind und auch so im Apache2 stehen. Da ist irgendwas ganz, ganz schief. Aber ich weiß nicht, wo ich suchen soll.
     
  5. leandersukov

    leandersukov New Member

    UNSOLVED

    Ein Update auf 3.1rc1 hatte das Problem gelöst für die o.g. Domain.
    Nun tritt aber nachdem vier Domains problemlos mit Letsencrypt versehen werden konnten, das Problem erneut auf -- bei der fünften. Kann es sein, dass sich in den Tiefen noch eine alte Beschränkung befindet, die nach vier Domains das angelegen einer fünften verhindert. Es gibt sonst keinen Grund für das verhalten.
     
    Zuletzt bearbeitet: 19. Sep. 2016

Diese Seite empfehlen