Ein Letsencrypt Zertifikat ist bereits fuer eine Subdomain xxx.tld.de implementiert. Nun moechte ich fuer tld.de ein weiteres hinzufuegen. Die Variable letsencrypt/domains hat beide Domaenen (xxx.tld.detld.de). Bei der Ausfuehrung von /usr/share/univention-letsencrypt/setup-letsencrypt kommt “WARNING: UCR variable letsencrypt/domains does not match domains in CSR. Delete and recreate /etc/univention/letsencrypt/domain.csr? [yn]”.
Wie bewege ich Letsencrypt dazu, das zweite Zertifikat zu installieren?
in unseren Tests funktioniert die Angabe mehrerer Domains. Können Sie manuell (per Browser auf einem Client oder “wget” auf dem UCS) auf die neu hinzugefügte Domain bzw. auf http://tld.de/.well-known/acme-challenge/ zugreifen?
Der Zugriff auf die URL sollte ein “403: Forbidden” ergeben. Damit ist aber sicher gestellt, das Ihre DNS Konfiguration korrekt ist.
vielen Dank fuer die Hilfe.
Der Zugriff auf http://tld.de/.well-known/acme-challenge/ scheint zu funktionieren. Es erscheint die 403 Forbidden, jedoch mit der Zertifikatswarnung zuvor.
Refreshing certificate for following domains:
tld.de ucs.tld.de
Parsing account key...
Parsing CSR...
Registering account...
Already registered!
Verifying tld.de...
Traceback (most recent call last):
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 198, in <module>
main(sys.argv[1:])
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 194, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 123, in get_crt
wellknown_path, wellknown_url))
ValueError: Wrote file to /var/www/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8, but couldn't download http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8
# dpkg -l univention-letsencrypt
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name Version Architektur Beschreibung
++±================================-=====================-=====================-======================================================================
ii univention-letsencrypt 1.1.0-1A~4.2.0.201705 all univention-letsencrypt - automatically request SSL certificates
Ich habe bzgl. dem Fehler mal in den Code geschaut. Er kann nur auftreten, wenn das Skript nicht in der Lage ist, unter der URL den vorher erstellten Token herunter zu laden. Würde das Erstellen des Token fehlschlagen sollte ein anderer Fehler gemeldet werden.
sind Token-Dateien unter /var/www/.well-know/acme-challenge noch vorhanden?
Meine Vermutung ist weiter eine Besonderheit in der DNS oder Apache Konfiguration, die den Zugriff verhindert. Wie erfolgt die Namesauflösung von tld.de aus Sicht des UCS Systems? Wurde für diese Domain ggf. eine eigene Apache site / location definiert?
run-parts: executing /etc/univention/letsencrypt/setup.d//apache2
Setting apache2/ssl/certificatechain
Setting apache2/ssl/certificate
Setting apache2/ssl/key
Multifile: /etc/simplesamlphp/metadata/saml20-idp-hosted.php
Module: ox-config
Multifile: /etc/apache2/sites-available/default-ssl.conf
run-parts: executing /etc/univention/letsencrypt/setup.d//dovecot
Setting mail/dovecot/ssl/key
Setting mail/dovecot/ssl/certificate
Setting mail/dovecot/ssl/cafile
File: /usr/sbin/univention-sa-learn
File: /etc/dovecot/conf.d/10-ssl.conf
Multifile: /etc/postfix/ldap.sharedfolderlocal
File: /etc/postfix/ldap.ox-sharedfolder
Module: ox-config
Multifile: /etc/postfix/ldap.sharedfolderlocal_aliases
File: /etc/postfix/ldap.ox-sharedfolder_mailbox
run-parts: executing /etc/univention/letsencrypt/setup.d//postfix
Setting mail/postfix/ssl/key
Setting mail/postfix/ssl/certificate
Setting mail/postfix/ssl/cafile
Multifile: /etc/postfix/main.cf
Module: ox-config
Setting apache2/force_https
File: /etc/apache2/mods-available/ssl.conf
Module: ox-config
Fr 28. Jul 19:05:04 CEST 2017
Refreshing certificate for following domains:
tld.de ucs.tld.de
Parsing account key...
Parsing CSR...
Registering account...
Already registered!
Verifying tld.de...
Traceback (most recent call last):
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 198, in <module>
main(sys.argv[1:])
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 194, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
File "/usr/share/univention-letsencrypt/acme_tiny.py", line 123, in get_crt
wellknown_path, wellknown_url))
ValueError: Wrote file to /var/www/.well-known/acme-challenge/bgeXWW53r4dNHTRTAM2rbCAzsbikiRUy8VOzD-b6OiI, but couldn't download http://vonzwehl.de/.well-known/acme-challenge/bgeXWW53r4dNHTRTAM2rbCAzsbikiRUy8VOzD-b6OiI
Setting apache2/force_https
File: /etc/apache2/mods-available/ssl.conf
Module: ox-config
Paketversion:
dpkg -l univention-letsencrypt
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name Version Architektur Beschreibung
+++-=====================-===============-===============-================================================
ii univention-letsencryp 1.1.0-1A~4.2.0. all univention-letsencrypt - automatically request S
wget gibt folgendes an:
root@ucs:~# wget http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8
--2017-07-28 19:08:49-- http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8
Auflösen des Hostnamen »tld.de (tld.de)«... fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.
wget: kann die Host-Adresse »tld.de« nicht auflösen
root@ucs:~# wget http://tld.de/.well-known/acme-challenge
--2017-07-28 19:09:37-- http://tld.de/.well-known/acme-challenge
Auflösen des Hostnamen »tld.de (tld.de)«... fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.
wget: kann die Host-Adresse »tld.de« nicht auflösen
Es sind keine Token-Dateien vorhanden.
Es wurde keine Apache site location definiert
Die Namensaufloesung zeigt:
nslookup tld.de
Server: lokale IP
Address: lokale IP#53
*** Can't find tld.de: No answer
Liege ich nun richtig, dass eine Apache site location fuer tld.de definiert werden muss, damit die Namensaufloesung funktioniert und Letsencrypt auf tld.de zugreifen kann?
mir scheint das Kernproblem die nicht funktionierende DNS Auflösung zu sein. Auf dem UCS System muss “tld.de” auf eine gültige IP aufgelöst werden können.
Kann es sein, das “tld.de” die Domäne ist, die bei der UCS Installation angegeben wurde? In diesem Fall will UCS die Domäne selber verwalten und nutzt keine externen DNS Server - die IP muss also im DNS vom UCS oder in der /etc/hosts eingetragen werden.
