Nov 13, 2019, updated at Nov 15, 2019 (UTC)

8567

Sophos UTM 9.6 Lets Encrypt Fehler

Hallo liebe Profis,

ich versuche auf einer Sophos UTM Let´s Encrypt zu aktivieren. Ich bekomme dabei diesen Fehler:

2019:11:13-11:15:20 213-229-1-217 letsencrypt[10400]: I Create account: creating new Let's Encrypt acccount
2019:11:13-11:15:22 213-229-1-217 letsencrypt[10400]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: I Create account: command completed with exit code 256
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: registration failed
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: + ERROR: An error occurred while sending post-request to https://acme-v01.api.letsencrypt.org/acme/new-reg (Status 403)
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Details:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: HTTP/1.1 100 Continue
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: HTTP/1.1 403 Forbidden
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Server: nginx
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Date: Wed, 13 Nov 2019 10:15:38 GMT
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Content-Type: application/problem+json
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Content-Length: 280
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Connection: keep-alive
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Cache-Control: public, max-age=0, no-cache
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Replay-Nonce: 0102YP11KE4kXs8-oeJdfb3EE-V73fwVxOiJkus00MdckcA
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: {
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: "type": "urn:acme:error:unauthorized",
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: "detail": "Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.",
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: "status": 403
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: }
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Error registering account key. See message above for more information.
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: failed to create account

Hat einer eine Idee wie ich das lösen könnte?

Please also mark the comments that contributed to the solution of the article

Content-Key: 514599

Url: https://administrator.de/contentid/514599

Printed on: April 23, 2024 at 19:04 o'clock

35 Comments

Latest comment

Hallo,

Kann ich so nicht nachvollziehen, hast du etwas am Subsystem gemacht? Alle Updates sind drauf? Alles richtig konfiguriert?

Ich hatte bisher keine Probleme damit.

Viele Grüße,

Christian
certifiedit.net

Hallo Ich habe das selbe Problem......

2019:11:13-10:43:52 netgear-online letsencrypt[8496]: I Create account: creating new Let's Encrypt acccount
2019:11:13-10:43:53 netgear-online letsencrypt[8496]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: I Create account: command completed with exit code 256
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: registration failed
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: + ERROR: An error occurred while sending post-request to https://acme-v01.api.letsencrypt.org/acme/new-reg (Status 403)
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Details:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: HTTP/1.1 100 Continue
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: HTTP/1.1 403 Forbidden
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Server: nginx
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Date: Wed, 13 Nov 2019 09:43:59 GMT
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Content-Type: application/problem+json
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Content-Length: 280
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Connection: keep-alive
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Cache-Control: public, max-age=0, no-cache
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Replay-Nonce: 01024Qp5A0VjrPAzdwETg7cdeywTa8ksF7cDhJOlEOJHxv4
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: {
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: "type": "urn:acme:error:unauthorized",
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: "detail": "Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.",
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: "status": 403
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: }
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Error registering account key. See message above for more information.
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: failed to create account
2019:11:13-10:44:39 netgear-online letsencrypt[8712]: I Create account: creating new Let's Encrypt acccount
2019:11:13-10:44:39 netgear-online letsencrypt[8712]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms

Besten Dank für eure/ihre Hilfe

netgear-online

Hallo,

in dem Log steht doch der Fehler drin bzw. ein Link mit genaueren Informationen.
Hier mal ein Zitat aus dem velinkten Forum Thread:

In November of 2019 we will stop allowing new account registrations through our ACMEv1 API endpoint. Existing accounts will continue > to function normally.
[...]
We have been encouraging subscribers to move to the ACMEv2 protocol.

=> Du musst zu ACMEv2 wechseln. Dann klappt das wieder.

VG

Ja und wie kann ich das machen? Update gibt es keines von Sophos.

Hallo,

ich glaub, das Update wird nicht lange auf sich warten lassen, nachdem ACMEv1 für Accountregistrierungen erst am 8. November abgedreht wurde ;) Sophos muss vermutlich den dehydrated- Client auf der UTM aktualisieren.

Ich hab schonmal vorgearbeitet und ihn testweise ausgetauscht- bei mir funktionierts jetzt wieder- bin wie folgt vorgegangen (natürlich ohne Gewähr):

mv /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts.old
cd /var/storage/chroot-reverseproxy/usr/dehydrated/bin
mv dehydrated dehydrated.old
wget https://raw.githubusercontent.com/lukas2511/dehydrated/master/dehydrated
chmod +x dehydrated
cd /var/storage/chroot-reverseproxy/usr/dehydrated/conf
mv config config.old
wget https://raw.githubusercontent.com/lukas2511/dehydrated/master/docs/examples/config
vi config

Folgende Zeilen austauschen/anpassen:

Zeile 49: BASEDIR="/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data"  
Zeile 64: WELLKNOWN="/var/storage/chroot-reverseproxy/var/letsencrypt/acme-challenge"  
Zeile 70: OPENSSL_CNF="/var/storage/chroot-reverseproxy/usr/dehydrated/conf/openssl.cnf"  

Log-File gibt nach Account-Neuerstellung via UTM-Gui folgendes aus:

11:13-15:25:19 vpn letsencrypt[19854]: I Create account: creating new Let's Encrypt acccount  
11:13-15:25:21 vpn letsencrypt[19854]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms
11:13-15:25:51 vpn letsencrypt[19854]: I Create account: command completed with exit code 0
11:13-15:25:51 vpn letsencrypt[19854]: I Create account: successfully created account

Ab nun konnte ich wieder Zertifikate ausstellen/erneuern.
Good luck
LG
Georg

Welche Version habt ihr denn im Einsatz? (bitte am besten sowieso immer mit angeben).

UTM 9.605-1
Dehydrated Version 0.6.0 (aktuell: 0.6.5)

netgear-online

ich vermute, der hostname der Sophos lautet halt historisch bedingt so ;)

Dann schmeiss Mal die aktuelle 9.7 drauf.

Werde das mal versuchen. Danke für die Infos

Die 9.7 hab ich über Up2Date noch nicht bekommen. Leider.

Super Danke dir das hat über SSH funktioniert!

Hallo,

wenn ich ein Zertifikat anfordern möchte bekomme ich jetzt diesen Fehler. Sorry hab es erst heute versuchen können.

2019:11:15-16:29:02 213-229-1-217 letsencrypt[33006]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: I Renew certificate: handling CSR REF_CaCsrNcdiemeixn for domain set [nc.diemeixners.at]
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: E Renew certificate: WRITE_FAILED: Could not create directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts/aHR0cHM6Ly9hY21lLXYwMi5hcGkubGV0c2VuY3J5cHQub3JnL2RpcmVjdG9yeQo': Permission denied
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: W Renew certificate: failed to remove certs directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data'
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: I Renew certificate: sending notification WARN-604
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)

So bin jetzt auf 9.7 bei der Sophos trotzdem der folgende Fehler

2019:11:15-18:10:02 213-229-1-217 letsencrypt[10785]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: I Renew certificate: handling CSR REF_CaCsrNextcloud for domain set [nc.diemeixners.at]
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: E Renew certificate: WRITE_FAILED: Certificate to /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/nc.diemeixners.at/cert.pem
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: W Renew certificate: failed to remove certs directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data'
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: I Renew certificate: sending notification WARN-604
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)

Hallo,

es war dann nur noch ein Problem mit den Berechtigungen. Das konnte ich selber lösen. Danke an alle die mir geholfen haben

Zitat von @Pageman262:

Hallo,

es war dann nur noch ein Problem mit den Berechtigungen. Das konnte ich selber lösen. Danke an alle die mir geholfen haben

Wie konntest du das lösen ?

Ich bekomme in der Sophos genau die selbe Fehlermeldung angezeigt?

2019:11:19-20:04:22 gw02 letsencrypt[22056]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-20:04:22 gw02 letsencrypt[22056]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:19-20:07:02 gw02 letsencrypt[23980]: I Renew certificate: handling CSR REF_CaCsrLet for domain set [gw02.network-lappe.com]
2019:11:19-20:07:02 gw02 letsencrypt[23980]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
2019:11:19-20:07:18 gw02 letsencrypt[23980]: I Renew certificate: command completed with exit code 0
2019:11:19-20:07:18 gw02 letsencrypt[23980]: I Renew certificate: temporary certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com/fullchain.pem
2019:11:19-20:07:19 gw02 letsencrypt[23980]: E Renew certificate: CONFD_UPDATE_ERROR: Certificate update
2019:11:19-20:07:19 gw02 letsencrypt[23980]: I Renew certificate: sending notification WARN-604
2019:11:19-20:07:19 gw02 letsencrypt[23980]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-20:07:19 gw02 letsencrypt[23980]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:19-20:13:02 gw02 letsencrypt[25441]: I Renew certificate: handling CSR REF_CaCsrLet for domain set [gw02.network-lappe.com]
2019:11:19-20:13:02 gw02 letsencrypt[25441]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
2019:11:19-20:13:19 gw02 letsencrypt[25441]: I Renew certificate: command completed with exit code 0
2019:11:19-20:13:19 gw02 letsencrypt[25441]: I Renew certificate: temporary certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com/fullchain.pem
2019:11:19-20:13:20 gw02 letsencrypt[25441]: E Renew certificate: CONFD_UPDATE_ERROR: Certificate update
2019:11:19-20:13:20 gw02 letsencrypt[25441]: I Renew certificate: sending notification WARN-604
2019:11:19-20:13:20 gw02 letsencrypt[25441]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-20:13:20 gw02 letsencrypt[25441]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)

Quick and dirty

Ich hab dem Ordner dehydrated die Berechtigung erteilt alle lesen und schreiben. Kannst über ssh machen.

Bei mir war es aber ein Fehler der Berechtigungen sieht jetzt bei dir nicht so aus. Mach mal den Certbot über ssh und schau nach was er dir für einen Fehler ausgibt.

Command lautet ?

/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com

für den Certbot -> Steht im Log

Zitat von @Pageman262:

/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com

für den Certbot -> Steht im Log

gw02:/home/login # mv /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts.old
mv: cannot stat `/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts': No such file or directory

Kommt aus dem Putty, sieht nach Berechtigung aus.

Ne sieht danach aus das er das Verzeichnis nicht findet wo er hinschreiben soll. Leg mal das Verzeichnis an und erteile Berechtigungen für dehydrated. Sorry für Fehler aber ich bin am Handy unterwegs.

Der Fehler ist völlig normal, wenn zuvor noch nie ein LE- Account auf der Sophos erstellt wurde- kannst du in dem Fall ignorieren!
Wichtig ist dann eigentlich nur das austauschen des Binaries und der Config!

Zum Thema Berechtigung- sorry das hab ich leider vergessen- das Arbeitsverzeichnis muss wohl neu angelegt werden:

chmod 700 /var/storage/chroot-reverseproxy/var/lib/dehydrated
mkdir /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data
chown dehydrated:dehydrated /var/storage/chroot-reverseproxy/var/lib/dehydrated -R
chmod 766 /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data

Probier das mal, bevor du den Account erstellst!
LG

Zitat von @Pageman262:

Ne sieht danach aus das er das Verzeichnis nicht findet wo er hinschreiben soll. Leg mal das Verzeichnis an und erteile Berechtigungen für dehydrated. Sorry für Fehler aber ich bin am Handy unterwegs.

Hey , ich werde es mal versuchen.

Ich bin halt etwas überfordert in der CLI.

Er hat bei weiten mehr Ahnung von der Sache als ich!! Ich hab ein Wochenende gebraucht um auf das zu kommen. Linux ist leider nicht meine Welt.

Zitat von @tschortschi:

Der Fehler ist völlig normal, wenn zuvor noch nie ein LE- Account auf der Sophos erstellt wurde- kannst du in dem Fall ignorieren!
Wichtig ist dann eigentlich nur das austauschen des Binaries und der Config!

Zum Thema Berechtigung- sorry das hab ich leider vergessen- das Arbeitsverzeichnis muss wohl neu angelegt werden:

chmod 700 /var/storage/chroot-reverseproxy/var/lib/dehydrated
mkdir /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data
chown dehydrated:dehydrated /var/storage/chroot-reverseproxy/var/lib/dehydrated -R
chmod 766 /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data

Probier das mal, bevor du den Account erstellst!
LG

Hab ich durchgeführt.

2019:11:19-20:51:07 gw02 letsencrypt[8228]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
2019:11:19-20:51:07 gw02 letsencrypt[8228]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:19-21:07:01 gw02 letsencrypt[11217]: I Renew certificate: handling CSR REF_CaCsrLappe for domain set [gw02.network-lappe.com]
2019:11:19-21:07:01 gw02 letsencrypt[11217]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
2019:11:19-21:07:17 gw02 letsencrypt[11217]: I Renew certificate: command completed with exit code 0
2019:11:19-21:07:17 gw02 letsencrypt[11217]: I Renew certificate: temporary certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com/fullchain.pem
2019:11:19-21:07:18 gw02 letsencrypt[11217]: E Renew certificate: CONFD_UPDATE_ERROR: Certificate update
2019:11:19-21:07:18 gw02 letsencrypt[11217]: I Renew certificate: sending notification WARN-604
2019:11:19-21:07:18 gw02 letsencrypt[11217]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-21:07:18 gw02 letsencrypt[11217]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)

und in Putty beim durchführen von den Befehlen:

gw02:/home/login # mv /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts.old
mv: cannot stat `/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts': No such file or directory

… wenn du jetzt noch, wie Pageman erst vorgeschlagen hat, den Befehl manuell in der Shell ausführst, siehst du, woran der Certbot scheitert:

Klopf einfach das rein:

/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com

Zitat von @tschortschi:

… wenn du jetzt noch, wie Pageman erst vorgeschlagen hat, den Befehl manuell in der Shell ausführst, siehst du, woran der Certbot scheitert:

Klopf einfach das rein:

/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com

gw02:/var/storage/chroot-reverseproxy/usr/dehydrated/conf # /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com

INFO: Using main config file /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config

Generating account key...

Registering account key with ACME server...

Fetching account ID...

+ Creating chain cache directory /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/chains
Processing gw02.network-lappe.com
+ Creating new directory /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com ...
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 1 authorizations URLs from the CA
+ Handling authorization for gw02.network-lappe.com
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for gw02.network-lappe.com authorization...
+ Cleaning challenge tokens...
+ Challenge validation has failed

ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:ietf:params:acme:error:connection",
"detail": "Fetching http://gw02.network-lappe.com/.well-known/acme-challenge/0ZPIsOOpWYTu3o ...: Timeout during connect (likely firewall problem)",
"status": 400
},
"url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/1313758819/VzAzig",
"token": "0ZPIsOOpWYTu3oBAGiFx8-Bzfgd1mQkNo_RgfyG8dZM",
"validationRecord": [
{
"url": "http://gw02.network-lappe.com/.well-known/acme-challenge/0ZPIsOOpWYTu3oBAGiFx8-Bzfgd1mQkNo_RgfyG8dZM",
"hostname": "gw02.network-lappe.com",
"port": "80",
"addressesResolved": [
""
],
"addressUsed": ""
}
]
})

Hast du Letsencrypt auf der Sophos schon am Laufen gehabt?
Für mich sieht das so aus, als kämen die Letsencrypt- Server wan-seitig nicht auf die Firewall (Port 80 muss erreichbar sein).

Hast du Country Blocking o.ä. aktiv?

Zitat von @tschortschi:

Hast du Letsencrypt auf der Sophos schon am Laufen gehabt?
Für mich sieht das so aus, als kämen die Letsencrypt- Server wan-seitig nicht auf die Firewall (Port 80 muss erreichbar sein).

Hast du Country Blocking o.ä. aktiv?

ne hatte ich auf der Sophos noch nicht laufen..
Ist nen dedicated server bei hetzner..

alles klar- hast du auch bei der Zertifikatsausstellung das WAN- Interface angegeben? Also das Interface mit IP 95.217.88.76?

Zitat von @tschortschi:

alles klar- hast du auch bei der Zertifikatsausstellung das WAN- Interface angegeben? Also das Interface mit IP 95.217.88.76?

Natürlich

, ich verstehe es aktuell 0,0. Ich hatte schon öfter Server bei Hetzner. Nie Probleme gehabt.

Was mich stutzig macht sagt er immer hier:

WRITE_FAILED: Could not create directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts/aHR0cHM6Ly9hY21lLXYwMi5hcGkubGV0c2VuY3J5cHQub3JnL2RpcmVjdG9yeQo': Permission denied

bitte leg mal cert_data neu an (die vier befehle oben) und erstelle den LE account neu- das sind leider die folgen, wenn wir mit root- rechten an der shell rumbasteln.

Thema wurde mit 9.700 gelöst- spätestens mit 9.700-5 ist die ACME-v2 Kompatibilität (auch ohne manuelle Eingriffe ins System) wieder gegeben!
In den Release Notes ist leider darüber nichts zu lesen!

German solved Question Firewall Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments