Fehler login Management Konsole, Mailsystem arbeitet nicht -> SSL-Zertifikat Fehler?


#1

Hallo,

ich habe seit gestern Probleme dass verschiedene Dienste am Server nicht mehr laufen. Ich kann mich auf der Management-Konsole nicht mehr einloggen: Interner Server Fehler - Der Dienst ist momentan nicht erreichbar. Ein Neustart der vorgeschlagenen Komponenten behebt das Problem nicht. Auch ein kompletter Server Neustart half nicht.
Mails werden auch nicht verschickt oder empfangen. Im Log ist folgendes zu lesen:

error: dict_ldap_connect: Unable to set STARTTLS: -11: Connect error
SMTP-Fehler: 451 4.3.0 <user@domain.de>: Temporary lookup failure

Statt user@domain.de steht natürlich ein richtige Mailadresse drin.

Ich gehe davon aus, dass es ein Problem mit dem Zertifikat ist. Ich nutzt letsencrypt und das Zertifikat wurde am 1. März erfolgreich verlängert:

.
.
.
Signing certificate...
Certificate signed!
Certificate refreshed at Do 1. Mär 03:30:58 CET 2018
Create letsencrypt/status
Module: kopano-cfg
Module: zarafa-cfg
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//apache2
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//dovecot
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//postfix

Als ich mich vorgestern in der Management Konsole eingeloggt habe, wurde mir auch angezeigt, dass das Zertifikat in 1 Tag abläuft. Ich habe mir dann das Zertifikat im Browser anzeigen lassen und gesehen, dass es bis 30. Mai läuft. Daraufhin habe ich mir nichts weiter gedacht und es für eine Falschmeldung gehalten. Ein schwerer Fehler anscheinend :grimacing:

Kann mir bitte jemand behilflich sein wie ich das Problem “zu Fuß” beheben kann? Wo müssten welche Dateien hin um das System wieder zum Laufen zu bringen?

Danke!


#2

Moin,

welche Zertifikate werden denn tatsaechlich von slapd und apache verwendet?
Also welche Pfade stehen bei den TLS* Optionen in der /etc/ldap/slapd.conf und den SSL* Optionen in /etc/apache2/sites-enabled/default-ssl.conf?

Was sagt openssl x509 -noout -dates -in xxx (fuer xxx den Pfad zum Zertifikat eintragen)?


#3

Öhm - da steht beim slapd m. E. was falsches drin:

slapd.conf:

TLSCertificateFile      /etc/univention/ssl/srv-dc.dahoam.lan/cert.pem
TLSCertificateKeyFile   /etc/univention/ssl/srv-dc.dahoam.lan/private.key
TLSCACertificateFile    /etc/univention/ssl/ucsCA/CAcert.pem
TLSCipherSuite  HIGH:MEDIUM:!aNULL:!MD5:!RC4
TLSProtocolMin  3.1
TLSDHParamFile  /etc/ldap/dh_2048.pem

Für den Apache passt es:

SSLCertificateFile /etc/univention/letsencrypt/signed.crt
SSLCertificateKeyFile /etc/univention/letsencrypt/domain.key
SSLCACertificateFile /etc/univention/ssl/ucsCA/CAcert.pem
SSLCertificateChainFile /etc/univention/letsencrypt/intermediate.pem

Und openssl sagt:

openssl x509 -noout -dates -in /etc/univention/ssl/srv-dc.dahoam.lan/cert.pem 
notBefore=Mar 16 12:12:22 2013 GMT
notAfter=Mar 15 12:12:22 2018 GMT

Das ist mein selbst erstelltes Zertifikat, welches halt jetzt abgelaufen ist! Das erklärt natürlich auch die Meldung in der Management Konsole! Ich passe die Pfade an und schaue obs dann wieder läuft!

EDIT: Kann ich das so anpassen für den slapd.conf:

TLSCertificateFile      /etc/univention/letsencrypt/signed.crt
TLSCertificateKeyFile   /etc/univention/letsencrypt/domain.key
TLSCACertificateFile    /etc/univention/ssl/ucsCA/CAcert.pem
TLSCipherSuite  HIGH:MEDIUM:!aNULL:!MD5:!RC4
TLSProtocolMin  3.1
TLSDHParamFile  /etc/ldap/dh_2048.pem

#4

Funktioniert leider nicht so einfach wie gedacht…

Hat jemand eine Beispiel Konfig wie ldap in Verbindung mit letsencrypt zu konfigurieren ist?

Vielen Dank!


#5

Moin,

es kann sein, dass der slapd auf den Benutzer openldap wechselt,
ehe er versucht Zertifikat und Schluessel zu oeffnen. Bitte mal die Permissions entlang des /etc/univention/letsencrypt/* Pfades pruefen.


#6

Moin,

mir faellt grad auf, dass das eigentlich garnicht noetig ist, da der slapd kein offizielles Zertifikat braucht.

Wenn das UCS Zertifikat abgelaufen ist, ist sicher auch die UCS CA abgelaufen. Um weitere Probleme zu vermeiden, sollten nach der Anleitung in der sdb CA und Zertifikat erneuert werden.

Danach kann der slapd wieder das UCS Zertifikat benutzen.


#7

Danke für den Hinweis - ich habe das Zertifikat nach der Beschreibung in der sdb erneuert.

Neustart läuft gerade, ich hoffe es passt jetzt wieder alles…!


#8

Also momentan läuft es, aber nicht automatisch. Musste das Zertifikat komplett neu erstellen! Ich denke, dass jetzt die Berechtigungen nicht mehr gepasst haben. Allerdings starten diverse Dienst nicht mehr automatisch beim booten, musste samba, apache, ldap und mysql erst manuell starten.
Momentan bin ich aber froh, dass es wenigstens so läuft…

Habe jetzt mal einen Snapshot gemacht und werde auf die aktuelle Version updaten. Vielleicht richtet sich damit das ein oder andere :roll_eyes:

Danke für die Hilfe!