Hallo zusammen,
ich hatte meinen UCS-Server ein paar Monate ausgeschaltet (seit Mai) und habe ihn nun wieder in Betrieb genommen, einige Updates installiert und dann festgestellt, dass die Let’s Encrypt-Zertifikate nicht erneuert werden.
Folgende Fehlermeldung erscheint unter App Center -> Let’s Encrypt -> App-Einstellungen -> Status:
Aktueller Status der App
ValueError: Challenge did not pass for xyz.spdns.de: {u'status': u'invalid', u'challenges': [{u'status': u'invalid', u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006402', u'token': u'bVnMt-Kwkg5YUvxUTO_-KnnoQPBpa4d2wA-JV5Fug7c', u'type': u'tls-alpn-01'}, {u'status': u'invalid', u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006403', u'token': u'w_zR3c_1klLOg8WyN9mlQ3nRFgasl7iIx2HztNmuKg0', u'type': u'dns-01'}, {u'status': u'invalid', u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006404', u'token': u'PUAZT-B1OWuqaECoPVr84EkHGgmcXOKA3SEc2hRuvio', u'type': u'tls-sni-01'}, {u'status': u'invalid', u'validationRecord': [{u'url': u'http://xyz.spdns.de/.well-known/acme-challenge/t_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE', u'hostname': u'xyz.spdns.de', u'addressUsed': u'188.192.27.18', u'port': u'80', u'addressesResolved': [u'188.192.27.18']}], u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006406', u'token': u't_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE', u'error': {u'status': 403, u'type': u'urn:ietf:params:acme:error:unauthorized', u'detail': u'Invalid response from http://xyz.spdns.de/.well-known/acme-challenge/t_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE: "\\n\\n\\n\\n
Forbidden
\\n
Beim manuellen Aufruf der Seite “http://xyz.spdns.de/.well-known/acme-challenge/t_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE” kommt 403 Forbidden.
Im Verzeichnis unter “/var/www/.well-known/acme-challenge/” sind einige Dateien vorhanden, auch “t_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE”.
In den UCR-Variablen, ist der Pfad “/.well-known/acme-challenge/.*$” von HTTPS ausgenommen.
apache2/allowoverride
apache2/autostart
yes
apache2/documentroot
/var/www/
apache2/force_https
yes
apache2/force_https/exclude/http_host/localhost
localhost
apache2/force_https/exclude/request_uri/letsencrypt
/.well-known/acme-challenge/.*$
apache2/force_https/exclude/request_uri/mod-status
/server-status
apache2/hsts
yes
apache2/hsts/includeSubDomains
yes
apache2/hsts/max-age
15552000
apache2/loglevel
warn
apache2/maxclients
150
apache2/proxy/access/allow
apache2/proxy/access/deny
apache2/proxy/access/order
apache2/ssl/ca
apache2/ssl/certificate
apache2/ssl/certificatechain
apache2/ssl/ciphersuite
apache2/ssl/compression
apache2/ssl/honorcipherorder
apache2/ssl/key
apache2/ssl/tlsv11
apache2/ssl/tlsv12
apache2/startsite
univention/
Hier noch die installierten Versionen:
UCS: 4.3-2 errata305
Let’s Encrypt: 1.2.2-3
Nextcloud: 13.0.7-0
Kopano Core: 8.6.2.1-1 (werde ich gleich noch auf 8.6.2.1-2 aktualisieren)
Kopano WebApp: 3.4.21.1723
Z-Push for Kopano: 2.4.4
Ich habe auch das hier gefunden:
Lets Encrypt expired von @ahrnke.
Im Log “/var/log/univention/letsencrypt.log” steht folgendes:
Mi 7. Nov 00:25:50 CET 2018
Refreshing certificate for following domains:
abc.spdns.de xyz.spdns.de
Parsing account key...
Parsing CSR...
Found domains: abc.spdns.de, xyz.spdns.de
Getting directory...
Directory found!
Registering account...
Already registered!
Creating new order...
Order created!
Verifying xyz.spdns.de...
Traceback (most recent call last):
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 197, in <module>
main(sys.argv[1:])
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 193, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca, disable_check=args.disable_check, directory_url=args.directory_url, contact=args.contact)
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 149, in get_crt
raise ValueError("Challenge did not pass for {0}: {1}".format(domain, authorization))
ValueError: Challenge did not pass for xyz.spdns.de: {u'status': u'invalid', u'challenges': [{u'status': u'invalid', u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006402', u'token': u'bVnMt-Kwkg5YUvxUTO_-KnnoQPBpa4d2wA-JV5Fug7c', u'type': u'tls-alpn-01'}, {u'status': u'invalid', u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006403', u'token': u'w_zR3c_1klLOg8WyN9mlQ3nRFgasl7iIx2HztNmuKg0', u'type': u'dns-01'}, {u'status': u'invalid', u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006404', u'token': u'PUAZT-B1OWuqaECoPVr84EkHGgmcXOKA3SEc2hRuvio', u'type': u'tls-sni-01'}, {u'status': u'invalid', u'validationRecord': [{u'url': u'http://xyz.spdns.de/.well-known/acme-challenge/t_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE', u'hostname': u'xyz.spdns.de', u'addressUsed': u'188.192.27.18', u'port': u'80', u'addressesResolved': [u'188.192.27.18']}], u'url': u'https://acme-v02.api.letsencrypt.org/acme/challenge/lrhrBZ6p7a3hz4NUh0Zn9ruvKstGLW2GPlefhC84v9Q/9028006406', u'token': u't_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE', u'error': {u'status': 403, u'type': u'urn:ietf:params:acme:error:unauthorized', u'detail': u'Invalid response from http://xyz.spdns.de/.well-known/acme-challenge/t_mRp5Y9De6dYxk6_FY51Dlx_6ai0DJ8cxJYEXI24HE: "<!DOCTYPE HTML PUBLIC \\"-//IETF//DTD HTML 2.0//EN\\">\\n<html><head>\\n<title>403 Forbidden</title>\\n</head><body>\\n<h1>Forbidden</h1>\\n<p"'}, u'type': u'http-01'}], u'identifier': {u'type': u'dns', u'value': u'xyz.spdns.de'}, u'expires': u'2018-11-13T23:12:45Z'}
Setting letsencrypt/status
Module: kopano-cfg
W: The config registry variable 'apache2/ssl/certificatechain' does not exist
Unsetting apache2/ssl/certificate
Unsetting apache2/ssl/key
Multifile: /etc/simplesamlphp/metadata/saml20-idp-hosted.php
Module: kopano-cfg
Multifile: /etc/apache2/sites-available/default-ssl.conf
Unsetting mail/postfix/ssl/key
Unsetting mail/postfix/ssl/certificate
Unsetting mail/postfix/ssl/cafile
Multifile: /etc/postfix/main.cf
Module: kopano-cfg
Wo könnte der Fehler liegen?
Grüße
Pollux