Weitere Letsencrypt Zertifikate

Xela · July 26, 2017, 4:34pm

Guten Abend

Ein Letsencrypt Zertifikat ist bereits fuer eine Subdomain xxx.tld.de implementiert. Nun moechte ich fuer tld.de ein weiteres hinzufuegen. Die Variable letsencrypt/domains hat beide Domaenen (xxx.tld.de tld.de). Bei der Ausfuehrung von /usr/share/univention-letsencrypt/setup-letsencrypt kommt “WARNING: UCR variable letsencrypt/domains does not match domains in CSR. Delete and recreate /etc/univention/letsencrypt/domain.csr? [yn]”.
Wie bewege ich Letsencrypt dazu, das zweite Zertifikat zu installieren?

Xela · July 26, 2017, 7:44pm

Habe dies mal mit ‘y’ bestaetigt und erhalte folgenden Fehler:

ValueError: Wrote file to /var/www/.well-known/acme-challenge/gTvcoPb_WcNjlU48TGC6aFiFDpTpU3D9kucZ9BzZjPA, but couldn’t download http://tld.de/.well-known/acme-challenge/gTvcoPb_WcNjlU48TGC6aFiFDpTpU3D9kucZ9BzZjPA

Steuwer · July 28, 2017, 5:24am

Hallo,

in unseren Tests funktioniert die Angabe mehrerer Domains. Können Sie manuell (per Browser auf einem Client oder “wget” auf dem UCS) auf die neu hinzugefügte Domain bzw. auf http://tld.de/.well-known/acme-challenge/ zugreifen?

Der Zugriff auf die URL sollte ein “403: Forbidden” ergeben. Damit ist aber sicher gestellt, das Ihre DNS Konfiguration korrekt ist.

Xela · July 28, 2017, 6:25am

Hallo,

vielen Dank fuer die Hilfe.
Der Zugriff auf http://tld.de/.well-known/acme-challenge/ scheint zu funktionieren. Es erscheint die 403 Forbidden, jedoch mit der Zertifikatswarnung zuvor.

Xela · July 28, 2017, 10:28am

Erhalte in der Konsole folgendes

Refreshing certificate for following domains:
tld.de ucs.tld.de
Parsing account key...
Parsing CSR...
Registering account...
Already registered!
Verifying tld.de...
Traceback (most recent call last):
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 123, in get_crt
    wellknown_path, wellknown_url))
ValueError: Wrote file to /var/www/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8, but couldn't download http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8

Steuwer · July 28, 2017, 1:44pm

Hallo,

zunächst zum Vergleich die Ausgabe bei mir:

# /usr/share/univention-letsencrypt/setup-letsencrypt
run-parts: executing /etc/univention/letsencrypt/setup.d//apache2
Setting apache2/ssl/certificatechain
Setting apache2/ssl/certificate
Setting apache2/ssl/key
Multifile: /etc/apache2/sites-available/default-ssl.conf
run-parts: executing /etc/univention/letsencrypt/setup.d//dovecot
run-parts: executing /etc/univention/letsencrypt/setup.d//postfix
Setting mail/postfix/ssl/key
Setting mail/postfix/ssl/certificate
Setting mail/postfix/ssl/cafile
Multifile: /etc/postfix/main.cf
Fr 28. Jul 15:34:57 CEST 2017
Refreshing certificate for following domains:
my.domain.tld ha.my.domain.tld portal.my.domain.tld
Parsing account key…
Parsing CSR…
Registering account…
Already registered!
Verifying my.domain.tld…
my.domain.tld verified!
Verifying portal.my.domain.tld…
portal.my.domain.tld verified!
Verifying ha.my.domain.tld…
ha.my.domain.tld verified!
Signing certificate…
Certificate signed!
Certificate refreshed at Fr 28. Jul 15:35:10 CEST 2017
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//apache2
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//dovecot
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//postfix

Paketversion:

# dpkg -l univention-letsencrypt
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name Version Architektur Beschreibung
++±================================-=====================-=====================-======================================================================
ii univention-letsencrypt 1.1.0-1A~4.2.0.201705 all univention-letsencrypt - automatically request SSL certificates

Ich habe bzgl. dem Fehler mal in den Code geschaut. Er kann nur auftreten, wenn das Skript nicht in der Lage ist, unter der URL den vorher erstellten Token herunter zu laden. Würde das Erstellen des Token fehlschlagen sollte ein anderer Fehler gemeldet werden.

Fragen:

funktioniert ein Zugriff an der UCS Kommandozeile per wget? “wget http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8” bzw “wget http://tld.de/.well-known/acme-challenge”
ist die Paketversion die gleiche?
sind Token-Dateien unter /var/www/.well-know/acme-challenge noch vorhanden?
Meine Vermutung ist weiter eine Besonderheit in der DNS oder Apache Konfiguration, die den Zugriff verhindert. Wie erfolgt die Namesauflösung von tld.de aus Sicht des UCS Systems? Wurde für diese Domain ggf. eine eigene Apache site / location definiert?

Xela · July 28, 2017, 5:39pm

Guten Abend,

die Ausgabe zeigt:

run-parts: executing /etc/univention/letsencrypt/setup.d//apache2
Setting apache2/ssl/certificatechain
Setting apache2/ssl/certificate
Setting apache2/ssl/key
Multifile: /etc/simplesamlphp/metadata/saml20-idp-hosted.php
Module: ox-config
Multifile: /etc/apache2/sites-available/default-ssl.conf
run-parts: executing /etc/univention/letsencrypt/setup.d//dovecot
Setting mail/dovecot/ssl/key
Setting mail/dovecot/ssl/certificate
Setting mail/dovecot/ssl/cafile
File: /usr/sbin/univention-sa-learn
File: /etc/dovecot/conf.d/10-ssl.conf
Multifile: /etc/postfix/ldap.sharedfolderlocal
File: /etc/postfix/ldap.ox-sharedfolder
Module: ox-config
Multifile: /etc/postfix/ldap.sharedfolderlocal_aliases
File: /etc/postfix/ldap.ox-sharedfolder_mailbox
run-parts: executing /etc/univention/letsencrypt/setup.d//postfix
Setting mail/postfix/ssl/key
Setting mail/postfix/ssl/certificate
Setting mail/postfix/ssl/cafile
Multifile: /etc/postfix/main.cf
Module: ox-config
Setting apache2/force_https
File: /etc/apache2/mods-available/ssl.conf
Module: ox-config
Fr 28. Jul 19:05:04 CEST 2017
Refreshing certificate for following domains:
tld.de ucs.tld.de
Parsing account key...
Parsing CSR...
Registering account...
Already registered!
Verifying tld.de...
Traceback (most recent call last):
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "/usr/share/univention-letsencrypt/acme_tiny.py", line 123, in get_crt
    wellknown_path, wellknown_url))
ValueError: Wrote file to /var/www/.well-known/acme-challenge/bgeXWW53r4dNHTRTAM2rbCAzsbikiRUy8VOzD-b6OiI, but couldn't download http://vonzwehl.de/.well-known/acme-challenge/bgeXWW53r4dNHTRTAM2rbCAzsbikiRUy8VOzD-b6OiI
Setting apache2/force_https
File: /etc/apache2/mods-available/ssl.conf
Module: ox-config

Paketversion:

dpkg -l univention-letsencrypt
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
         Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name                  Version         Architektur     Beschreibung
+++-=====================-===============-===============-================================================
ii  univention-letsencryp 1.1.0-1A~4.2.0. all             univention-letsencrypt - automatically request S

wget gibt folgendes an:

root@ucs:~# wget http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8
--2017-07-28 19:08:49--  http://tld.de/.well-known/acme-challenge/leWlGxOUL9Xt1iRZaxI_xl7PWDR2hUJ9Puz1VAHW6T8
Auflösen des Hostnamen »tld.de (tld.de)«... fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.
wget: kann die Host-Adresse »tld.de« nicht auflösen
root@ucs:~# wget http://tld.de/.well-known/acme-challenge
--2017-07-28 19:09:37--  http://tld.de/.well-known/acme-challenge
Auflösen des Hostnamen »tld.de (tld.de)«... fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.
wget: kann die Host-Adresse »tld.de« nicht auflösen

Es sind keine Token-Dateien vorhanden.
Es wurde keine Apache site location definiert
Die Namensaufloesung zeigt:

nslookup tld.de
Server:         lokale IP
Address:        lokale IP#53

*** Can't find tld.de: No answer

Liege ich nun richtig, dass eine Apache site location fuer tld.de definiert werden muss, damit die Namensaufloesung funktioniert und Letsencrypt auf tld.de zugreifen kann?

Steuwer · July 31, 2017, 5:36am

Hallo,

mir scheint das Kernproblem die nicht funktionierende DNS Auflösung zu sein. Auf dem UCS System muss “tld.de” auf eine gültige IP aufgelöst werden können.

Kann es sein, das “tld.de” die Domäne ist, die bei der UCS Installation angegeben wurde? In diesem Fall will UCS die Domäne selber verwalten und nutzt keine externen DNS Server - die IP muss also im DNS vom UCS oder in der /etc/hosts eingetragen werden.

Xela · July 31, 2017, 12:56pm

Hallo Herr Steuwer,

das war es. Habe einen entsprechenden DNS Eintrag gesetzt.
Letsencrypt hat nun (ucs.tld.de & tld.de) erfolgreich verifiziert.

Vielen Dank aus der Ferne für die tolle Hilfe!