Weitere Letsencrypt Zertifikate

german
letsencrypt

#1

Guten Abend

Ein Letsencrypt Zertifikat ist bereits fuer eine Subdomain xxx.tld.de implementiert. Nun moechte ich fuer tld.de ein weiteres hinzufuegen. Die Variable letsencrypt/domains hat beide Domaenen (xxx.tld.de tld.de). Bei der Ausfuehrung von /usr/share/univention-letsencrypt/setup-letsencrypt kommt “WARNING: UCR variable letsencrypt/domains does not match domains in CSR. Delete and recreate /etc/univention/letsencrypt/domain.csr? [yn]”.
Wie bewege ich Letsencrypt dazu, das zweite Zertifikat zu installieren?


#2

Habe dies mal mit ‘y’ bestaetigt und erhalte folgenden Fehler:

ValueError: Wrote file to /var/www/.well-known/acme-challenge/gTvcoPb_WcNjlU48TGC6aFiFDpTpU3D9kucZ9BzZjPA, but couldn’t download http://tld.de/.well-known/acme-challenge/gTvcoPb_WcNjlU48TGC6aFiFDpTpU3D9kucZ9BzZjPA


#3

Hallo,

in unseren Tests funktioniert die Angabe mehrerer Domains. Können Sie manuell (per Browser auf einem Client oder “wget” auf dem UCS) auf die neu hinzugefügte Domain bzw. auf http://tld.de/.well-known/acme-challenge/ zugreifen?

Der Zugriff auf die URL sollte ein “403: Forbidden” ergeben. Damit ist aber sicher gestellt, das Ihre DNS Konfiguration korrekt ist.


#4

Hallo,

vielen Dank fuer die Hilfe.
Der Zugriff auf http://tld.de/.well-known/acme-challenge/ scheint zu funktionieren. Es erscheint die 403 Forbidden, jedoch mit der Zertifikatswarnung zuvor.


#5

Erhalte in der Konsole folgendes

Refreshing certificate for following domains:
tld.de ucs.tld.de
Parsing account key...
Parsing CSR...
Registering account...
Already registered!
Verifying tld.de...
Traceback (most recent call last):
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 123, in get_crt
    wellknown_path, wellknown_url))
ValueError: Wrote file to /var/www/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8, but couldn't download http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8


#6

Hallo,

zunächst zum Vergleich die Ausgabe bei mir:

# /usr/share/univention-letsencrypt/setup-letsencrypt
run-parts: executing /etc/univention/letsencrypt/setup.d//apache2
Setting apache2/ssl/certificatechain
Setting apache2/ssl/certificate
Setting apache2/ssl/key
Multifile: /etc/apache2/sites-available/default-ssl.conf
run-parts: executing /etc/univention/letsencrypt/setup.d//dovecot
run-parts: executing /etc/univention/letsencrypt/setup.d//postfix
Setting mail/postfix/ssl/key
Setting mail/postfix/ssl/certificate
Setting mail/postfix/ssl/cafile
Multifile: /etc/postfix/main.cf
Fr 28. Jul 15:34:57 CEST 2017
Refreshing certificate for following domains:
my.domain.tld ha.my.domain.tld portal.my.domain.tld
Parsing account key…
Parsing CSR…
Registering account…
Already registered!
Verifying my.domain.tld…
my.domain.tld verified!
Verifying portal.my.domain.tld…
portal.my.domain.tld verified!
Verifying ha.my.domain.tld…
ha.my.domain.tld verified!
Signing certificate…
Certificate signed!
Certificate refreshed at Fr 28. Jul 15:35:10 CEST 2017
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//apache2
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//dovecot
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//postfix

Paketversion:

# dpkg -l univention-letsencrypt
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name Version Architektur Beschreibung
++±================================-=====================-=====================-======================================================================
ii univention-letsencrypt 1.1.0-1A~4.2.0.201705 all univention-letsencrypt - automatically request SSL certificates

Ich habe bzgl. dem Fehler mal in den Code geschaut. Er kann nur auftreten, wenn das Skript nicht in der Lage ist, unter der URL den vorher erstellten Token herunter zu laden. Würde das Erstellen des Token fehlschlagen sollte ein anderer Fehler gemeldet werden.

Fragen:


#7

Guten Abend,

die Ausgabe zeigt:

run-parts: executing /etc/univention/letsencrypt/setup.d//apache2
Setting apache2/ssl/certificatechain
Setting apache2/ssl/certificate
Setting apache2/ssl/key
Multifile: /etc/simplesamlphp/metadata/saml20-idp-hosted.php
Module: ox-config
Multifile: /etc/apache2/sites-available/default-ssl.conf
run-parts: executing /etc/univention/letsencrypt/setup.d//dovecot
Setting mail/dovecot/ssl/key
Setting mail/dovecot/ssl/certificate
Setting mail/dovecot/ssl/cafile
File: /usr/sbin/univention-sa-learn
File: /etc/dovecot/conf.d/10-ssl.conf
Multifile: /etc/postfix/ldap.sharedfolderlocal
File: /etc/postfix/ldap.ox-sharedfolder
Module: ox-config
Multifile: /etc/postfix/ldap.sharedfolderlocal_aliases
File: /etc/postfix/ldap.ox-sharedfolder_mailbox
run-parts: executing /etc/univention/letsencrypt/setup.d//postfix
Setting mail/postfix/ssl/key
Setting mail/postfix/ssl/certificate
Setting mail/postfix/ssl/cafile
Multifile: /etc/postfix/main.cf
Module: ox-config
Setting apache2/force_https
File: /etc/apache2/mods-available/ssl.conf
Module: ox-config
Fr 28. Jul 19:05:04 CEST 2017
Refreshing certificate for following domains:
tld.de ucs.tld.de
Parsing account key...
Parsing CSR...
Registering account...
Already registered!
Verifying tld.de...
Traceback (most recent call last):
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 123, in get_crt
    wellknown_path, wellknown_url))
ValueError: Wrote file to /var/www/.well-known/acme-challenge/bgeXWW53r4dNHTRTAM2rbCAzsbikiRUy8VOzD-b6OiI, but couldn't download http://vonzwehl.de/.well-known/acme-challenge/bgeXWW53r4dNHTRTAM2rbCAzsbikiRUy8VOzD-b6OiI
Setting apache2/force_https
File: /etc/apache2/mods-available/ssl.conf
Module: ox-config

Paketversion:

dpkg -l univention-letsencrypt
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
         Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name                  Version         Architektur     Beschreibung
+++-=====================-===============-===============-================================================
ii  univention-letsencryp 1.1.0-1A~4.2.0. all             univention-letsencrypt - automatically request S

wget gibt folgendes an:

root@ucs:~# wget http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8
--2017-07-28 19:08:49--  http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8
Auflösen des Hostnamen »tld.de (tld.de)«... fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.
wget: kann die Host-Adresse »tld.de« nicht auflösen
root@ucs:~# wget http://tld.de/.well-known/acme-challenge
--2017-07-28 19:09:37--  http://tld.de/.well-known/acme-challenge
Auflösen des Hostnamen »tld.de (tld.de)«... fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.
wget: kann die Host-Adresse »tld.de« nicht auflösen

Es sind keine Token-Dateien vorhanden.
Es wurde keine Apache site location definiert
Die Namensaufloesung zeigt:

nslookup tld.de
Server:         lokale IP
Address:        lokale IP#53

*** Can't find tld.de: No answer

Liege ich nun richtig, dass eine Apache site location fuer tld.de definiert werden muss, damit die Namensaufloesung funktioniert und Letsencrypt auf tld.de zugreifen kann?


Univention und Lets Encrypt - erledigt durch Neuinstallation
#8

Hallo,

mir scheint das Kernproblem die nicht funktionierende DNS Auflösung zu sein. Auf dem UCS System muss “tld.de” auf eine gültige IP aufgelöst werden können.

Kann es sein, das “tld.de” die Domäne ist, die bei der UCS Installation angegeben wurde? In diesem Fall will UCS die Domäne selber verwalten und nutzt keine externen DNS Server - die IP muss also im DNS vom UCS oder in der /etc/hosts eingetragen werden.


#9

Hallo Herr Steuwer,

das war es. Habe einen entsprechenden DNS Eintrag gesetzt.
Letsencrypt hat nun (ucs.tld.de & tld.de) erfolgreich verifiziert.

Vielen Dank aus der Ferne für die tolle Hilfe! :wink: