Letsencrypt Symlinks werden nicht erstellt

[Neovenator]

Hallo zusammen,

bislang war ich ein stiller, unregistrierter, aber steter Mitleser hier im Forum und habe durch das Lesen so mancher Threads auch schon oft die Kuh vom Eis bekommen, aber nun stehe ich vor einem Problem dem ich nicht Herr werde.

Die Ausgangssituation
Mein Server: Ubuntu 14.04.5
ISPConfig Version: 3.1.5

Das Problem:
Ich habe letsencrypt und Certbot installiert (nicht als Apache Plugin) und per ISPConfig im "Domain" Reiter der Website den Haken bei "Let's Encrypt SSL" gesetzt. Nachdem der Job abgearbeitet wurde, finde ich das Zertifikat der Domain unter /etc/letsencrypt/live/noob-fleet.de

---cut
lrwxrwxrwx 1 root root 37 Jul 17 18:30 cert.pem -> ../../archive/noob-fleet.de/cert1.pem
lrwxrwxrwx 1 root root 38 Jul 17 18:30 chain.pem -> ../../archive/noob-fleet.de/chain1.pem
lrwxrwxrwx 1 root root 42 Jul 17 18:30 fullchain.pem -> ../../archive/noob-fleet.de/fullchain1.pem
lrwxrwxrwx 1 root root 40 Jul 17 18:30 privkey.pem -> ../../archive/noob-fleet.de/privkey1.pem
-rw-r--r-- 1 root root 543 Jul 17 18:30 README
---cut

Wenn ich recht liege müsste ISPConfig nun Symlinks im SSL Ordner der Website anlegen, oder? Genau das scheint nicht zu funktionieren.

---cut
drwxr-xr-x 2 root root 4096 Mär 18 13:53 .
drwxr-xr-x 9 root root 4096 Mär 18 13:53 ..
root@talworks:/var/www/noob-fleet.de/ssl#
---cut

Wenn ich das ISPConfig Script manuell starte, bekomme ich keine Fehlermeldung. Im Browser sieht das natürlich anders aus. Ich bekomme vom Chrome gemeldet:

---cut
Dieser Server konnte nicht beweisen, dass er noob-fleet.de ist. Sein Sicherheitszertifikat stammt von [missing_subjectAltName].
---cut

Ich vermute es liegt an den Symlinks
Hat irgendjemand einen Tipp für mich?

Groetjes und danke für eure Zeit.
Gerrit

 

[nowayback]

Hi.

Deine Website liefert ein falsches Zertifikat aus - nämlich mail.emsiirgendwas...
Unter /var/log gibts ein letsencrypt.log. Das sollte weiterhelfen. Außerdem darauf achten, nicht * und IP mischen. Was sagt der vhost? Stehen dort Angaben zum Zertifikat drin?

 

[Neovenator]

emsicorp.de war mal eine alte Domain von mir. Die hatte ich ja total vergessen. Als die aktuell war hatte ich ISPConfig aufgesetzt. Natürlich galt auch das damals selbst signierte Zertifikat darauf für die Management Console. Wie kann ich das Self-Signed Zertifikat für die Management Console neu setzen? Ich habe ein paar HowTos gefunden, die sagen man soll einfach das ISPConfig Setup neu ausführen und dann würde mann wieder die Frage gestellt bekommen, ob man das Zertifikat anlegen will. Bei mir kommt die Abfrage aber nicht.

 

[nowayback]

Ich habe ein paar HowTos gefunden, die sagen man soll einfach das ISPConfig Setup neu ausführen und dann würde mann wieder die Frage gestellt bekommen, ob man das Zertifikat anlegen will. Bei mir kommt die Abfrage aber nicht.

Ich glaube das ist der falsche Weg. Erstmal musst du rausfinden, was beim Anlegen deines neuen Zertifikates fehlschlägt. Dabei hilft das oben genannte Logfile.
Zum Absichern von ISPConfig gibt es verschiedene Strategien. Wenn es eine eigene Domain gibt, lässt sich diese z.B. in ISPConfig anlegen und mit LE absichern. Dann brauchst du dem ispconfig.vhost für die ssl zertifikate nur noch die symlinks für die domain geben und nen redirect machen auf domain : port (ohne leerzeichen natürlich - drecks editor der sonst nen smiley draus macht).
Wenn es keine eigene domain gibt, dann könnte man das evtl. mit einer subdomain regeln ala webpanel.example.com und dann das gleiche scenario wie oben, aber zusätzlich noch webpanel.example.com in den vhost mit aufnehmen als servername.
etc... da spielt wirklich dein setup ne rolle.

 

[Neovenator]

Ja, es gibt halt noch aus den Zeiten des ersten Setups das Selbstsignierte Zertifikat, welches dank des neuen Host/Domainnamens nun ebenfalls ungültig ist, aber eh nur für die Web-Console dienen soll. Für die Websites an sich wollte ich echte Zertifikate mit LetsEncrypt einspielen.

Im Letsencrypt-Log sieht eigentlich alles sauber aus.

---cut
2017-07-17 19:13:15,196EBUG:certbot.storage:Archive directory /etc/letsencrypt/archive/noob-fleet.de and live directory /etc/letsencrypt/live/noob-fleet.de created.
2017-07-17 19:13:15,206EBUG:certbot.storage:Writing certificate to /etc/letsencrypt/live/noob-fleet.de/cert.pem.
2017-07-17 19:13:15,206EBUG:certbot.storage:Writing private key to /etc/letsencrypt/live/noob-fleet.de/privkey.pem.
2017-07-17 19:13:15,206EBUG:certbot.storage:Writing chain to /etc/letsencrypt/live/noob-fleet.de/chain.pem.
2017-07-17 19:13:15,207EBUG:certbot.storage:Writing full chain to /etc/letsencrypt/live/noob-fleet.de/fullchain.pem.
2017-07-17 19:13:15,207EBUG:certbot.storage:Writing README to /etc/letsencrypt/live/noob-fleet.de/README.
2017-07-17 19:13:15,238EBUG:certbot.storage:Writing new config /etc/letsencrypt/renewal/noob-fleet.de.conf.
2017-07-17 19:13:15,240EBUG:certbot.reporter:Reporting to user: Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/noob-fleet.de/fullchain.pem. Your cert will expire on
2017-07-17 19:13:15,241EBUG:certbot.reporter:Reporting to user: If you like Certbot, please consider supporting our work by:
---cut

Wie bereits vermutet wird das Zertifikat sauber angelegt. Was fehlt sind wohl die Symlinks im SSL Verzeichnis der Website, die dann auf diese Zertifikatfiles verweisen. Das müsste ja innerhalb ISPConfig geschehen, oder liege ich da falsch?

 

[Till]

Katualisier mal ISPConfig auf den git-stable branch, da war ein Bug in 3.1.5 der dazu führt dass LE certs erst beim 2. mal aktivieren in der webseite aktiv geschaltet werden.

 

[Neovenator]

Hallo Till,
ich danke dir. Das war die Lösung. Ich habe gestern schon gedacht, ich hätte ein Brett vor dem Kopf. Du hast mir den Tag gerettet. Ich freu mir gerade einen Keks ans Bein. Danke!