pageman262
Goto Top

Sophos UTM 9.6 Lets Encrypt Fehler

Hallo liebe Profis,

ich versuche auf einer Sophos UTM Let´s Encrypt zu aktivieren. Ich bekomme dabei diesen Fehler:

2019:11:13-11:15:20 213-229-1-217 letsencrypt[10400]: I Create account: creating new Let's Encrypt acccount
2019:11:13-11:15:22 213-229-1-217 letsencrypt[10400]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: I Create account: command completed with exit code 256
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: registration failed
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: + ERROR: An error occurred while sending post-request to https://acme-v01.api.letsencrypt.org/acme/new-reg (Status 403)
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Details:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: HTTP/1.1 100 Continue
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: HTTP/1.1 403 Forbidden
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Server: nginx
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Date: Wed, 13 Nov 2019 10:15:38 GMT
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Content-Type: application/problem+json
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Content-Length: 280
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Connection: keep-alive
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Cache-Control: public, max-age=0, no-cache
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Replay-Nonce: 0102YP11KE4kXs8-oeJdfb3EE-V73fwVxOiJkus00MdckcA
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: {
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: "type": "urn:acme:error:unauthorized",
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: "detail": "Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.",
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: "status": 403
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: }
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED:
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: REG_FAILED: Error registering account key. See message above for more information.
2019:11:13-11:15:38 213-229-1-217 letsencrypt[10400]: E Create account: failed to create account


Hat einer eine Idee wie ich das lösen könnte?

Content-ID: 514599

Url: https://administrator.de/forum/sophos-utm-9-6-lets-encrypt-fehler-514599.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

certifiedit.net
certifiedit.net 13.11.2019 um 11:29:18 Uhr
Goto Top
Hallo,

Kann ich so nicht nachvollziehen, hast du etwas am Subsystem gemacht? Alle Updates sind drauf? Alles richtig konfiguriert?

Ich hatte bisher keine Probleme damit.

Viele Grüße,

Christian
certifiedit.net
doll.pas
doll.pas 13.11.2019 um 11:56:25 Uhr
Goto Top
Hallo Ich habe das selbe Problem......


2019:11:13-10:43:52 netgear-online letsencrypt[8496]: I Create account: creating new Let's Encrypt acccount
2019:11:13-10:43:53 netgear-online letsencrypt[8496]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: I Create account: command completed with exit code 256
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: registration failed
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: + ERROR: An error occurred while sending post-request to https://acme-v01.api.letsencrypt.org/acme/new-reg (Status 403)
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Details:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: HTTP/1.1 100 Continue
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: HTTP/1.1 403 Forbidden
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Server: nginx
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Date: Wed, 13 Nov 2019 09:43:59 GMT
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Content-Type: application/problem+json
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Content-Length: 280
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Connection: keep-alive
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Cache-Control: public, max-age=0, no-cache
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Replay-Nonce: 01024Qp5A0VjrPAzdwETg7cdeywTa8ksF7cDhJOlEOJHxv4
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: {
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: "type": "urn:acme:error:unauthorized",
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: "detail": "Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.",
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: "status": 403
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: }
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED:
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: REG_FAILED: Error registering account key. See message above for more information.
2019:11:13-10:43:59 netgear-online letsencrypt[8496]: E Create account: failed to create account
2019:11:13-10:44:39 netgear-online letsencrypt[8712]: I Create account: creating new Let's Encrypt acccount
2019:11:13-10:44:39 netgear-online letsencrypt[8712]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms


Besten Dank für eure/ihre Hilfe
certifiedit.net
certifiedit.net 13.11.2019 um 11:57:02 Uhr
Goto Top
netgear-online

?
141861
141861 13.11.2019 aktualisiert um 12:09:43 Uhr
Goto Top
Hallo,

in dem Log steht doch der Fehler drin bzw. ein Link mit genaueren Informationen.
Hier mal ein Zitat aus dem velinkten Forum Thread:

In November of 2019 we will stop allowing new account registrations through our ACMEv1 API endpoint. Existing accounts will continue > to function normally.
[...]
We have been encouraging subscribers to move to the ACMEv2 protocol.

=> Du musst zu ACMEv2 wechseln. Dann klappt das wieder.

VG
Pageman262
Pageman262 13.11.2019 um 12:53:08 Uhr
Goto Top
Ja und wie kann ich das machen? Update gibt es keines von Sophos.
tschortschi
Lösung tschortschi 13.11.2019 um 15:45:34 Uhr
Goto Top
Hallo,

ich glaub, das Update wird nicht lange auf sich warten lassen, nachdem ACMEv1 für Accountregistrierungen erst am 8. November abgedreht wurde ;) Sophos muss vermutlich den dehydrated- Client auf der UTM aktualisieren.

Ich hab schonmal vorgearbeitet und ihn testweise ausgetauscht- bei mir funktionierts jetzt wieder- bin wie folgt vorgegangen (natürlich ohne Gewähr):

mv /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts.old
cd /var/storage/chroot-reverseproxy/usr/dehydrated/bin
mv dehydrated dehydrated.old
wget https://raw.githubusercontent.com/lukas2511/dehydrated/master/dehydrated
chmod +x dehydrated
cd /var/storage/chroot-reverseproxy/usr/dehydrated/conf
mv config config.old
wget https://raw.githubusercontent.com/lukas2511/dehydrated/master/docs/examples/config
vi config


Folgende Zeilen austauschen/anpassen:
Zeile 49: BASEDIR="/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data"  
Zeile 64: WELLKNOWN="/var/storage/chroot-reverseproxy/var/letsencrypt/acme-challenge"  
Zeile 70: OPENSSL_CNF="/var/storage/chroot-reverseproxy/usr/dehydrated/conf/openssl.cnf"  

Log-File gibt nach Account-Neuerstellung via UTM-Gui folgendes aus:

2019:11:13-15:25:19 vpn letsencrypt[19854]: I Create account: creating new Let's Encrypt acccount  
2019:11:13-15:25:21 vpn letsencrypt[19854]: I Create account: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config --register --accept-terms
2019:11:13-15:25:51 vpn letsencrypt[19854]: I Create account: command completed with exit code 0
2019:11:13-15:25:51 vpn letsencrypt[19854]: I Create account: successfully created account

Ab nun konnte ich wieder Zertifikate ausstellen/erneuern.
Good luck
LG
Georg
certifiedit.net
certifiedit.net 13.11.2019 um 15:50:06 Uhr
Goto Top
Welche Version habt ihr denn im Einsatz? (bitte am besten sowieso immer mit angeben).
tschortschi
tschortschi 13.11.2019 um 15:57:46 Uhr
Goto Top
UTM 9.605-1
Dehydrated Version 0.6.0 (aktuell: 0.6.5)
tschortschi
tschortschi 13.11.2019 aktualisiert um 16:44:45 Uhr
Goto Top
netgear-online
?

ich vermute, der hostname der Sophos lautet halt historisch bedingt so ;)
certifiedit.net
certifiedit.net 13.11.2019 um 17:08:18 Uhr
Goto Top
Dann schmeiss Mal die aktuelle 9.7 drauf.
Pageman262
Pageman262 14.11.2019 um 14:52:09 Uhr
Goto Top
Werde das mal versuchen. Danke für die Infos
Pageman262
Pageman262 14.11.2019 um 14:52:34 Uhr
Goto Top
Die 9.7 hab ich über Up2Date noch nicht bekommen. Leider.
Pageman262
Pageman262 14.11.2019 um 16:08:39 Uhr
Goto Top
Super Danke dir das hat über SSH funktioniert!
Pageman262
Pageman262 15.11.2019 um 16:32:41 Uhr
Goto Top
Hallo,

wenn ich ein Zertifikat anfordern möchte bekomme ich jetzt diesen Fehler. Sorry hab es erst heute versuchen können.

2019:11:15-16:29:02 213-229-1-217 letsencrypt[33006]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: I Renew certificate: handling CSR REF_CaCsrNcdiemeixn for domain set [nc.diemeixners.at]
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: E Renew certificate: WRITE_FAILED: Could not create directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts/aHR0cHM6Ly9hY21lLXYwMi5hcGkubGV0c2VuY3J5cHQub3JnL2RpcmVjdG9yeQo': Permission denied
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: W Renew certificate: failed to remove certs directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data'
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: I Renew certificate: sending notification WARN-604
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:15-16:31:01 213-229-1-217 letsencrypt[33540]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
Pageman262
Pageman262 15.11.2019 um 18:14:09 Uhr
Goto Top
So bin jetzt auf 9.7 bei der Sophos trotzdem der folgende Fehler

2019:11:15-18:10:02 213-229-1-217 letsencrypt[10785]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: I Renew certificate: handling CSR REF_CaCsrNextcloud for domain set [nc.diemeixners.at]
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: E Renew certificate: WRITE_FAILED: Certificate to /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/nc.diemeixners.at/cert.pem
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: W Renew certificate: failed to remove certs directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data'
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: I Renew certificate: sending notification WARN-604
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:15-18:12:02 213-229-1-217 letsencrypt[11272]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
Pageman262
Pageman262 17.11.2019 um 15:30:59 Uhr
Goto Top
Hallo,

es war dann nur noch ein Problem mit den Berechtigungen. Das konnte ich selber lösen. Danke an alle die mir geholfen haben
Lappson
Lappson 19.11.2019 um 20:18:52 Uhr
Goto Top
Zitat von @Pageman262:

Hallo,

es war dann nur noch ein Problem mit den Berechtigungen. Das konnte ich selber lösen. Danke an alle die mir geholfen haben


Wie konntest du das lösen ?

Ich bekomme in der Sophos genau die selbe Fehlermeldung angezeigt?

2019:11:19-20:04:22 gw02 letsencrypt[22056]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-20:04:22 gw02 letsencrypt[22056]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:19-20:07:02 gw02 letsencrypt[23980]: I Renew certificate: handling CSR REF_CaCsrLet for domain set [gw02.network-lappe.com]
2019:11:19-20:07:02 gw02 letsencrypt[23980]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
2019:11:19-20:07:18 gw02 letsencrypt[23980]: I Renew certificate: command completed with exit code 0
2019:11:19-20:07:18 gw02 letsencrypt[23980]: I Renew certificate: temporary certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com/fullchain.pem
2019:11:19-20:07:19 gw02 letsencrypt[23980]: E Renew certificate: CONFD_UPDATE_ERROR: Certificate update
2019:11:19-20:07:19 gw02 letsencrypt[23980]: I Renew certificate: sending notification WARN-604
2019:11:19-20:07:19 gw02 letsencrypt[23980]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-20:07:19 gw02 letsencrypt[23980]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:19-20:13:02 gw02 letsencrypt[25441]: I Renew certificate: handling CSR REF_CaCsrLet for domain set [gw02.network-lappe.com]
2019:11:19-20:13:02 gw02 letsencrypt[25441]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
2019:11:19-20:13:19 gw02 letsencrypt[25441]: I Renew certificate: command completed with exit code 0
2019:11:19-20:13:19 gw02 letsencrypt[25441]: I Renew certificate: temporary certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com/fullchain.pem
2019:11:19-20:13:20 gw02 letsencrypt[25441]: E Renew certificate: CONFD_UPDATE_ERROR: Certificate update
2019:11:19-20:13:20 gw02 letsencrypt[25441]: I Renew certificate: sending notification WARN-604
2019:11:19-20:13:20 gw02 letsencrypt[25441]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-20:13:20 gw02 letsencrypt[25441]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
Pageman262
Pageman262 19.11.2019 um 20:23:36 Uhr
Goto Top
Quick and dirty

Ich hab dem Ordner dehydrated die Berechtigung erteilt alle lesen und schreiben. Kannst über ssh machen.
Pageman262
Pageman262 19.11.2019 um 20:26:13 Uhr
Goto Top
Bei mir war es aber ein Fehler der Berechtigungen sieht jetzt bei dir nicht so aus. Mach mal den Certbot über ssh und schau nach was er dir für einen Fehler ausgibt.
Lappson
Lappson 19.11.2019 um 20:28:07 Uhr
Goto Top
Command lautet ?
Pageman262
Pageman262 19.11.2019 um 20:39:48 Uhr
Goto Top
/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com

für den Certbot -> Steht im Log
Lappson
Lappson 19.11.2019 um 20:49:06 Uhr
Goto Top
Zitat von @Pageman262:

/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com

für den Certbot -> Steht im Log

gw02:/home/login # mv /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts.old
mv: cannot stat `/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts': No such file or directory

Kommt aus dem Putty, sieht nach Berechtigung aus.
Pageman262
Pageman262 19.11.2019 um 20:53:27 Uhr
Goto Top
Ne sieht danach aus das er das Verzeichnis nicht findet wo er hinschreiben soll. Leg mal das Verzeichnis an und erteile Berechtigungen für dehydrated. Sorry für Fehler aber ich bin am Handy unterwegs.
tschortschi
tschortschi 19.11.2019 um 21:00:05 Uhr
Goto Top
Der Fehler ist völlig normal, wenn zuvor noch nie ein LE- Account auf der Sophos erstellt wurde- kannst du in dem Fall ignorieren!
Wichtig ist dann eigentlich nur das austauschen des Binaries und der Config!

Zum Thema Berechtigung- sorry das hab ich leider vergessen- das Arbeitsverzeichnis muss wohl neu angelegt werden:

chmod 700 /var/storage/chroot-reverseproxy/var/lib/dehydrated
mkdir /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data
chown dehydrated:dehydrated /var/storage/chroot-reverseproxy/var/lib/dehydrated -R
chmod 766 /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data

Probier das mal, bevor du den Account erstellst!
LG
Lappson
Lappson 19.11.2019 um 21:00:22 Uhr
Goto Top
Zitat von @Pageman262:

Ne sieht danach aus das er das Verzeichnis nicht findet wo er hinschreiben soll. Leg mal das Verzeichnis an und erteile Berechtigungen für dehydrated. Sorry für Fehler aber ich bin am Handy unterwegs.


Hey , ich werde es mal versuchen.

Ich bin halt etwas überfordert in der CLI.
Pageman262
Pageman262 19.11.2019 um 21:05:09 Uhr
Goto Top
Er hat bei weiten mehr Ahnung von der Sache als ich!! Ich hab ein Wochenende gebraucht um auf das zu kommen. Linux ist leider nicht meine Welt.
Lappson
Lappson 19.11.2019 um 21:09:03 Uhr
Goto Top
Zitat von @tschortschi:

Der Fehler ist völlig normal, wenn zuvor noch nie ein LE- Account auf der Sophos erstellt wurde- kannst du in dem Fall ignorieren!
Wichtig ist dann eigentlich nur das austauschen des Binaries und der Config!

Zum Thema Berechtigung- sorry das hab ich leider vergessen- das Arbeitsverzeichnis muss wohl neu angelegt werden:

chmod 700 /var/storage/chroot-reverseproxy/var/lib/dehydrated
mkdir /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data
chown dehydrated:dehydrated /var/storage/chroot-reverseproxy/var/lib/dehydrated -R
chmod 766 /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data

Probier das mal, bevor du den Account erstellst!
LG


Hab ich durchgeführt.

2019:11:19-20:51:07 gw02 letsencrypt[8228]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
2019:11:19-20:51:07 gw02 letsencrypt[8228]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
2019:11:19-21:07:01 gw02 letsencrypt[11217]: I Renew certificate: handling CSR REF_CaCsrLappe for domain set [gw02.network-lappe.com]
2019:11:19-21:07:01 gw02 letsencrypt[11217]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
2019:11:19-21:07:17 gw02 letsencrypt[11217]: I Renew certificate: command completed with exit code 0
2019:11:19-21:07:17 gw02 letsencrypt[11217]: I Renew certificate: temporary certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com/fullchain.pem
2019:11:19-21:07:18 gw02 letsencrypt[11217]: E Renew certificate: CONFD_UPDATE_ERROR: Certificate update
2019:11:19-21:07:18 gw02 letsencrypt[11217]: I Renew certificate: sending notification WARN-604
2019:11:19-21:07:18 gw02 letsencrypt[11217]: [WARN-604] Let's Encrypt certificate renewal failed
2019:11:19-21:07:18 gw02 letsencrypt[11217]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)

und in Putty beim durchführen von den Befehlen:

gw02:/home/login # mv /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts.old
mv: cannot stat `/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts': No such file or directory
tschortschi
tschortschi 19.11.2019 um 21:11:14 Uhr
Goto Top
… wenn du jetzt noch, wie Pageman erst vorgeschlagen hat, den Befehl manuell in der Shell ausführst, siehst du, woran der Certbot scheitert:

Klopf einfach das rein:

/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
Lappson
Lappson 19.11.2019 um 21:16:27 Uhr
Goto Top
Zitat von @tschortschi:

… wenn du jetzt noch, wie Pageman erst vorgeschlagen hat, den Befehl manuell in der Shell ausführst, siehst du, woran der Certbot scheitert:

Klopf einfach das rein:

/var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com


gw02:/var/storage/chroot-reverseproxy/usr/dehydrated/conf # /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain gw02.network-lappe.com
  1. INFO: Using main config file /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config

back-to-topGenerating account key...

back-to-topRegistering account key with ACME server...

back-to-topFetching account ID...

+ Creating chain cache directory /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/chains
Processing gw02.network-lappe.com
+ Creating new directory /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/gw02.network-lappe.com ...
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 1 authorizations URLs from the CA
+ Handling authorization for gw02.network-lappe.com
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for gw02.network-lappe.com authorization...
+ Cleaning challenge tokens...
+ Challenge validation has failed face-sad
ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:ietf:params:acme:error:connection",
"detail": "Fetching http://gw02.network-lappe.com/.well-known/acme-challenge/0ZPIsOOpWYTu3o ...: Timeout during connect (likely firewall problem)",
"status": 400
},
"url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/1313758819/VzAzig",
"token": "0ZPIsOOpWYTu3oBAGiFx8-Bzfgd1mQkNo_RgfyG8dZM",
"validationRecord": [
{
"url": "http://gw02.network-lappe.com/.well-known/acme-challenge/0ZPIsOOpWYTu3oBAGiFx8-Bzfgd1mQkNo_RgfyG8dZM",
"hostname": "gw02.network-lappe.com",
"port": "80",
"addressesResolved": [
""
],
"addressUsed": ""
}
]
})
tschortschi
tschortschi 19.11.2019 um 21:35:29 Uhr
Goto Top
Hast du Letsencrypt auf der Sophos schon am Laufen gehabt?
Für mich sieht das so aus, als kämen die Letsencrypt- Server wan-seitig nicht auf die Firewall (Port 80 muss erreichbar sein).

Hast du Country Blocking o.ä. aktiv?
Lappson
Lappson 19.11.2019 um 21:40:37 Uhr
Goto Top
Zitat von @tschortschi:

Hast du Letsencrypt auf der Sophos schon am Laufen gehabt?
Für mich sieht das so aus, als kämen die Letsencrypt- Server wan-seitig nicht auf die Firewall (Port 80 muss erreichbar sein).

Hast du Country Blocking o.ä. aktiv?


ne hatte ich auf der Sophos noch nicht laufen..
Ist nen dedicated server bei hetzner..
tschortschi
tschortschi 19.11.2019 um 21:49:06 Uhr
Goto Top
alles klar- hast du auch bei der Zertifikatsausstellung das WAN- Interface angegeben? Also das Interface mit IP 95.217.88.76?
Lappson
Lappson 19.11.2019 um 21:52:49 Uhr
Goto Top
Zitat von @tschortschi:

alles klar- hast du auch bei der Zertifikatsausstellung das WAN- Interface angegeben? Also das Interface mit IP 95.217.88.76?

Natürlich face-smile , ich verstehe es aktuell 0,0. Ich hatte schon öfter Server bei Hetzner. Nie Probleme gehabt.

Was mich stutzig macht sagt er immer hier:

WRITE_FAILED: Could not create directory '/var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/accounts/aHR0cHM6Ly9hY21lLXYwMi5hcGkubGV0c2VuY3J5cHQub3JnL2RpcmVjdG9yeQo': Permission denied
tschortschi
tschortschi 19.11.2019 um 22:00:20 Uhr
Goto Top
bitte leg mal cert_data neu an (die vier befehle oben) und erstelle den LE account neu- das sind leider die folgen, wenn wir mit root- rechten an der shell rumbasteln.
tschortschi
tschortschi 20.12.2019 um 21:05:02 Uhr
Goto Top
Thema wurde mit 9.700 gelöst- spätestens mit 9.700-5 ist die ACME-v2 Kompatibilität (auch ohne manuelle Eingriffe ins System) wieder gegeben!
In den Release Notes ist leider darüber nichts zu lesen!