caspi-pirna
Goto Top

Ubuntu 18.04 LTS: Aktualisierung LetsEncrypt- Zertifikate nicht möglich

Guten Morgen zusammen,

ich habe meinen guten alten Ubuntu 16.04 auf 18.04 aktualisiert (neu installiert) und den Apache samt aller Website- Dokumente neu installiert.

Nun bekomme ich aber per Certbot kein Zertifikat von LetsEncrypt mehr aktualisiert face-sad
Auch die passende [domainname]-le-ssl.conf wird unter /etc/apache2/sites-available nicht angelegt.

Die [domainname].conf hat folgenden Inhalt:
<VirtualHost *:80>
    ServerAdmin info@schali-graupa.de
    ServerName www.schali-graupa.de
    ServerAlias schali-graupa.de
    DocumentRoot /var/www/schali.homepage
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    RewriteEngine on
    RewriteCond %{SERVER_NAME} =schalmeienkapelle-graupa.de [OR]
    RewriteCond %{SERVER_NAME} =www.schalmeienkapelle-graupa.de [OR]
    RewriteCond %{SERVER_NAME} =schali-graupa.de [OR]
    RewriteCond %{SERVER_NAME} =www.schali-graupa.de
</VirtualHost>
 
<Directory /var/www/schali.homepage/>
    AllowOverride All
</Directory>

ich habe versucht, das Zertifikat mittels folgendem Befehl zu aktualisieren:
sudo certbot --apache -d www.schali-graupa.de


Im Log von Certbot wird folgendes ausgegeben:
2020-04-22 12:53:52,027:DEBUG:certbot.main:certbot version: 0.31.0
2020-04-22 12:53:52,031:DEBUG:certbot.main:Arguments: ['--apache', '-d', 'www.schali-graupa.de']  
2020-04-22 12:53:52,034:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#apache,PluginEntryPoint#manual,PluginEntryPoint#null,PluginEntryPoint#standalone,PluginEntryPoint#webroot)
2020-04-22 12:53:52,066:DEBUG:certbot.log:Root logging level set at 20
2020-04-22 12:53:52,069:INFO:certbot.log:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2020-04-22 12:53:52,071:DEBUG:certbot.plugins.selection:Requested authenticator apache and installer apache
2020-04-22 12:53:52,344:DEBUG:certbot_apache.configurator:Apache version is 2.4.29
2020-04-22 12:53:53,350:DEBUG:certbot.plugins.selection:Single candidate plugin: * apache
Description: Apache Web Server plugin
Interfaces: IAuthenticator, IInstaller, IPlugin
Entry point: apache = certbot_apache.entrypoint:ENTRYPOINT
Initialized: <certbot_apache.override_debian.DebianConfigurator object at 0x7fc11f9789b0>
Prep: True
2020-04-22 12:53:53,356:DEBUG:certbot.plugins.selection:Selected authenticator <certbot_apache.override_debian.DebianConfigurator object at 0x7fc11f9789b0> and installer <certbot_apache.override_debian.DebianConfigurator object at 0x7fc11f9789b0>
2020-04-22 12:53:53,357:INFO:certbot.plugins.selection:Plugins selected: Authenticator apache, Installer apache
2020-04-22 12:53:53,372:DEBUG:certbot.main:Picked account: <Account(RegistrationResource(body=Registration(key=None, contact=(), agreement=None, status=None, terms_of_service_agreed=None, only_return_existing=None, external_account_binding=None), uri='https://acme-v02.api.letsencrypt.org/acme/acct/84119607', new_authzr_uri=None, terms_of_service=None), 0dc81b61f19d939cfc07fc0ed254ed90, Meta(creation_dt=datetime.datetime(2020, 4, 22, 7, 39, tzinfo=<UTC>), creation_host='Pirat-Web-02'))>  
2020-04-22 12:53:53,381:DEBUG:acme.client:Sending GET request to https://acme-v02.api.letsencrypt.org/directory.
2020-04-22 12:53:53,391:DEBUG:urllib3.connectionpool:Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
2020-04-22 12:53:54,006:DEBUG:urllib3.connectionpool:https://acme-v02.api.letsencrypt.org:443 "GET /directory HTTP/1.1" 200 658 
2020-04-22 12:53:54,008:DEBUG:acme.client:Received response:
HTTP 200
Server: nginx
Date: Wed, 22 Apr 2020 10:53:53 GMT
Content-Type: application/json
Content-Length: 658
Connection: keep-alive
Cache-Control: public, max-age=0, no-cache
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800

{
  "YFbX2l2oHqI": "https://community.letsencrypt.org/t/adding-random-entries-to-the-directory/33417",  
  "keyChange": "https://acme-v02.api.letsencrypt.org/acme/key-change",  
  "meta": {  
    "caaIdentities": [  
      "letsencrypt.org"  
    ],
    "termsOfService": "https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf",  
    "website": "https://letsencrypt.org"  
  },
  "newAccount": "https://acme-v02.api.letsencrypt.org/acme/new-acct",  
  "newNonce": "https://acme-v02.api.letsencrypt.org/acme/new-nonce",  
  "newOrder": "https://acme-v02.api.letsencrypt.org/acme/new-order",  
  "revokeCert": "https://acme-v02.api.letsencrypt.org/acme/revoke-cert"  
}
2020-04-22 12:53:54,040:INFO:certbot.renewal:Cert not yet due for renewal
2020-04-22 12:53:58,490:INFO:certbot.main:Keeping the existing certificate
2020-04-22 12:53:58,491:DEBUG:certbot.reporter:Reporting to user: Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/www.schali-graupa.de/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/www.schali-graupa.de/privkey.pem
Your cert will expire on 2020-07-21. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew"  
2020-04-22 12:53:58,495:DEBUG:certbot.reverter:Creating backup of /etc/apache2/sites-available/schalihomepage-le-ssl.conf
2020-04-22 12:53:58,500:DEBUG:certbot.error_handler:Encountered exception:
Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/certbot/client.py", line 516, in deploy_certificate  
    fullchain_path=fullchain_path)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 334, in deploy_cert  
    vhosts = self.choose_vhosts(domain)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 358, in choose_vhosts  
    return [self.choose_vhost(domain, create_if_no_ssl)]
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 540, in choose_vhost  
    vhost = self.make_vhost_ssl(vhost)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1116, in make_vhost_ssl  
    self._copy_create_ssl_vhost_skeleton(nonssl_vhost, ssl_fp)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1260, in _copy_create_ssl_vhost_skeleton  
    ssl_vh_contents, sift = self._sift_rewrite_rules(orig_contents)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1332, in _sift_rewrite_rules  
    line = next(contents)
StopIteration

2020-04-22 12:53:58,500:DEBUG:certbot.error_handler:Calling registered functions
2020-04-22 12:53:58,506:DEBUG:certbot.reporter:Reporting to user: Unable to install the certificate
2020-04-22 12:53:58,507:DEBUG:certbot.log:Exiting abnormally:
Traceback (most recent call last):
  File "/usr/bin/certbot", line 11, in <module>  
    load_entry_point('certbot==0.31.0', 'console_scripts', 'certbot')()  
  File "/usr/lib/python3/dist-packages/certbot/main.py", line 1365, in main  
    return config.func(config, plugins)
  File "/usr/lib/python3/dist-packages/certbot/main.py", line 1126, in run  
    _install_cert(config, le_client, domains, new_lineage)
  File "/usr/lib/python3/dist-packages/certbot/main.py", line 760, in _install_cert  
    path_provider.cert_path, path_provider.chain_path, path_provider.fullchain_path)
  File "/usr/lib/python3/dist-packages/certbot/client.py", line 516, in deploy_certificate  
    fullchain_path=fullchain_path)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 334, in deploy_cert  
    vhosts = self.choose_vhosts(domain)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 358, in choose_vhosts  
    return [self.choose_vhost(domain, create_if_no_ssl)]
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 540, in choose_vhost  
    vhost = self.make_vhost_ssl(vhost)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1116, in make_vhost_ssl  
    self._copy_create_ssl_vhost_skeleton(nonssl_vhost, ssl_fp)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1260, in _copy_create_ssl_vhost_skeleton  
    ssl_vh_contents, sift = self._sift_rewrite_rules(orig_contents)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1332, in _sift_rewrite_rules  
    line = next(contents)
StopIteration
2020-04-22 12:53:58,509:ERROR:certbot.log:An unexpected error occurred:


Kann mir jemand von euch sagen, warum ich das Zertifikat nicht erneuert bekomme???

Ich probiere nun schon eine Weile daran herum - hatte schon die Idee, das Zertifikat (bzw. die dort registrierte Domain) einmal komplett bei LetsEncrypt löschen zu lassen und auch das von vorn zu beantragen (weiß da jemand, wie man sowas anstellt???).

Besten Dank für eure Hilfe!
Caspi

Content-Key: 566908

Url: https://administrator.de/contentid/566908

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: 117471
117471 23.04.2020 um 08:08:32 Uhr
Goto Top
Hallo,

der konfigurierte Server auf Port 80 ist unverschlüsselt.

Wo soll der Bot das Zertifikat denn einbauen?

Gruß,
Jörg
Mitglied: aqui
Lösung aqui 23.04.2020 um 09:57:29 Uhr
Goto Top
Schalmeien, das ist ja mal was ganz Besonderes ! face-wink (Solltest du ggf. mal anonymisieren hier...?!)
Zurück zum Thema:

Hier steht wie es geht. Kapitel 4.2
https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-l ...
Mitglied: caspi-pirna
caspi-pirna 23.04.2020 um 12:57:25 Uhr
Goto Top
Ja - Schalmeien face-smile
Die Schlüssel tauchen ja nicht drin auf - aber ich werde mal übers aussparen nachdenken face-wink

Danke auch für den Hinweis und den Link,
Werde dann heute gleich mal probieren!
Hoffe. dass ich damit erfolgreicher bin, als bisher...

Danke und Gruß,
Caspi
Mitglied: aqui
aqui 23.04.2020 um 15:41:43 Uhr
Goto Top
Wenn man es nach dem Nextcloud Link macht funktioniert das sofort auf Anhieb !
Mitglied: caspi-pirna
caspi-pirna 23.04.2020 um 16:08:10 Uhr
Goto Top
Ich hab das jetzt mal probiert, bekomme aktuell eine Fehlermeldung, dass die Rate-Limits bei LetsEncrypt erreicht sind (scheinbar durch meine zahlreichen Versuche)….
Werde das also später nochmal testen müssen...

Eine Frage nur noch zur Sicherheit:
Das Zertifikat wird ja mittels
sudo ./certbot-auto --apache --agree-tos --rsa-key-size 4096 --email user@domain.org --redirect -d nc.domain.org
erzeugt.
Die manuelle Nacharbeit in Kap 4.2.2 muss ich trotzdem noch machen, oder?

Danke und Gruß,
Caspi
Mitglied: aqui
aqui 23.04.2020 um 17:02:24 Uhr
Goto Top
Ja, musst du.
Mitglied: caspi-pirna
caspi-pirna 23.04.2020 um 17:09:04 Uhr
Goto Top
Dann werde ich das kommende Woche (wegen Sperrfrist) mal testen und ne Rückmeldung geben!
Hoffentlich gibt's dann auch so kompetente Unterstützung!

Danke und Gruß,
Caspi
Mitglied: aqui
aqui 23.04.2020 um 17:41:23 Uhr
Goto Top
Na klar...! face-wink
Mitglied: 117471
117471 23.04.2020 um 18:33:00 Uhr
Goto Top
Hallo,

Zitat von @caspi-pirna:

Ich hab das jetzt mal probiert, bekomme aktuell eine Fehlermeldung, dass die Rate-Limits bei LetsEncrypt erreicht sind (scheinbar durch meine zahlreichen Versuche)….
Werde das also später nochmal testen müssen...

Na und? Du hast bereits das passende Zertifikat auf deinem Rechner und musst nur noch eine passende Konfiguration für deinen Webserver bauen. Dort baust Du dann das bereits gespeicherte Zertifikat ein. Bis das dann abgelaufen ist, ist das Rate Limit 1000 Mal abgelaufen.

Lies' doch mal die Meldungen und guck' Dir an, was der Bot bereits erfolgreich gemacht hat und wo er ausgestiegen ist, Herrje... face-smile

Gruß,
Jörg
Mitglied: caspi-pirna
caspi-pirna 23.04.2020 um 19:01:29 Uhr
Goto Top
Zitat von @117471:

Na und? Du hast bereits das passende Zertifikat auf deinem Rechner und musst nur noch eine passende Konfiguration für deinen Webserver bauen. Dort baust Du dann das bereits gespeicherte Zertifikat ein. Bis das dann abgelaufen ist, ist das Rate Limit 1000 Mal abgelaufen.

Lies' doch mal die Meldungen und guck' Dir an, was der Bot bereits erfolgreich gemacht hat und wo er ausgestiegen ist, Herrje... face-smile


Wenn mir das alles so klar wäre, hätte ich ja wohl kaum die Frage hier gestellt...
Ich bin das Log durchgegangen und hab eben keinen so rechten Plan davon, schon getan ist und was noch fehlt...

Ich weiß nur, dass es unter 16.04 gleich beim ersten Mal ohne Probleme durchlief, da kannte ich solche Umwege nicht...


Gruß,
Caspi
Mitglied: 117471
117471 23.04.2020 um 19:05:42 Uhr
Goto Top
Hallo,

tut mir leid, wenn ich das jetzt etwas etwas hart formuliere: Das ist ein essentielles Sicherheitsfeature deiner Homepage. Du solltest es nicht beim "abklicken" einer Internet-Anleitung belassen, sondern dich grundsätzlich einarbeiten.

Gruß,
Jörg
Mitglied: caspi-pirna
caspi-pirna 30.04.2020 um 15:20:03 Uhr
Goto Top
Mahlzeit in die Runde,

neuer Versuch - neuer Fehler face-sad
Could not reverse map the HTTPS VirtualHost to the original

Das Zertifikat wurde aber angelegt.
Somit habe ich die entsprechende Config für die verschlüsselte Übertragung selbst angelegt und das Script nochmal aufgerufen..
Und siehe da, es ging face-smile


Besten Dank nochmal für die Unterstützung und morgen nen schönen Feiertag!
Caspi