23.04.2020

4586

Ubuntu 18.04 LTS: Aktualisierung LetsEncrypt- Zertifikate nicht möglich

Guten Morgen zusammen,

ich habe meinen guten alten Ubuntu 16.04 auf 18.04 aktualisiert (neu installiert) und den Apache samt aller Website- Dokumente neu installiert.

Nun bekomme ich aber per Certbot kein Zertifikat von LetsEncrypt mehr aktualisiert

Auch die passende [domainname]-le-ssl.conf wird unter /etc/apache2/sites-available nicht angelegt.

Die [domainname].conf hat folgenden Inhalt:

<VirtualHost *:80>
    ServerAdmin info@schali-graupa.de
    ServerName www.schali-graupa.de
    ServerAlias schali-graupa.de
    DocumentRoot /var/www/schali.homepage
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    RewriteEngine on
    RewriteCond %{SERVER_NAME} =schalmeienkapelle-graupa.de [OR]
    RewriteCond %{SERVER_NAME} =www.schalmeienkapelle-graupa.de [OR]
    RewriteCond %{SERVER_NAME} =schali-graupa.de [OR]
    RewriteCond %{SERVER_NAME} =www.schali-graupa.de
</VirtualHost>
 
<Directory /var/www/schali.homepage/>
    AllowOverride All
</Directory>

ich habe versucht, das Zertifikat mittels folgendem Befehl zu aktualisieren:

sudo certbot --apache -d www.schali-graupa.de

Im Log von Certbot wird folgendes ausgegeben:

2020-04-22 12:53:52,027:DEBUG:certbot.main:certbot version: 0.31.0
2020-04-22 12:53:52,031:DEBUG:certbot.main:Arguments: ['--apache', '-d', 'www.schali-graupa.de']  
2020-04-22 12:53:52,034:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#apache,PluginEntryPoint#manual,PluginEntryPoint#null,PluginEntryPoint#standalone,PluginEntryPoint#webroot)
2020-04-22 12:53:52,066:DEBUG:certbot.log:Root logging level set at 20
2020-04-22 12:53:52,069:INFO:certbot.log:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2020-04-22 12:53:52,071:DEBUG:certbot.plugins.selection:Requested authenticator apache and installer apache
2020-04-22 12:53:52,344:DEBUG:certbot_apache.configurator:Apache version is 2.4.29
2020-04-22 12:53:53,350:DEBUG:certbot.plugins.selection:Single candidate plugin: * apache
Description: Apache Web Server plugin
Interfaces: IAuthenticator, IInstaller, IPlugin
Entry point: apache = certbot_apache.entrypoint:ENTRYPOINT
Initialized: <certbot_apache.override_debian.DebianConfigurator object at 0x7fc11f9789b0>
Prep: True
2020-04-22 12:53:53,356:DEBUG:certbot.plugins.selection:Selected authenticator <certbot_apache.override_debian.DebianConfigurator object at 0x7fc11f9789b0> and installer <certbot_apache.override_debian.DebianConfigurator object at 0x7fc11f9789b0>
2020-04-22 12:53:53,357:INFO:certbot.plugins.selection:Plugins selected: Authenticator apache, Installer apache
2020-04-22 12:53:53,372:DEBUG:certbot.main:Picked account: <Account(RegistrationResource(body=Registration(key=None, contact=(), agreement=None, status=None, terms_of_service_agreed=None, only_return_existing=None, external_account_binding=None), uri='https://acme-v02.api.letsencrypt.org/acme/acct/84119607', new_authzr_uri=None, terms_of_service=None), 0dc81b61f19d939cfc07fc0ed254ed90, Meta(creation_dt=datetime.datetime(2020, 4, 22, 7, 39, tzinfo=<UTC>), creation_host='Pirat-Web-02'))>  
2020-04-22 12:53:53,381:DEBUG:acme.client:Sending GET request to https://acme-v02.api.letsencrypt.org/directory.
2020-04-22 12:53:53,391:DEBUG:urllib3.connectionpool:Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
2020-04-22 12:53:54,006:DEBUG:urllib3.connectionpool:https://acme-v02.api.letsencrypt.org:443 "GET /directory HTTP/1.1" 200 658 
2020-04-22 12:53:54,008:DEBUG:acme.client:Received response:
HTTP 200
Server: nginx
Date: Wed, 22 Apr 2020 10:53:53 GMT
Content-Type: application/json
Content-Length: 658
Connection: keep-alive
Cache-Control: public, max-age=0, no-cache
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800

{
  "YFbX2l2oHqI": "https://community.letsencrypt.org/t/adding-random-entries-to-the-directory/33417",  
  "keyChange": "https://acme-v02.api.letsencrypt.org/acme/key-change",  
  "meta": {  
    "caaIdentities": [  
      "letsencrypt.org"  
    ],
    "termsOfService": "https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf",  
    "website": "https://letsencrypt.org"  
  },
  "newAccount": "https://acme-v02.api.letsencrypt.org/acme/new-acct",  
  "newNonce": "https://acme-v02.api.letsencrypt.org/acme/new-nonce",  
  "newOrder": "https://acme-v02.api.letsencrypt.org/acme/new-order",  
  "revokeCert": "https://acme-v02.api.letsencrypt.org/acme/revoke-cert"  
}
2020-04-22 12:53:54,040:INFO:certbot.renewal:Cert not yet due for renewal
2020-04-22 12:53:58,490:INFO:certbot.main:Keeping the existing certificate
2020-04-22 12:53:58,491:DEBUG:certbot.reporter:Reporting to user: Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/www.schali-graupa.de/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/www.schali-graupa.de/privkey.pem
Your cert will expire on 2020-07-21. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew"  
2020-04-22 12:53:58,495:DEBUG:certbot.reverter:Creating backup of /etc/apache2/sites-available/schalihomepage-le-ssl.conf
2020-04-22 12:53:58,500:DEBUG:certbot.error_handler:Encountered exception:
Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/certbot/client.py", line 516, in deploy_certificate  
    fullchain_path=fullchain_path)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 334, in deploy_cert  
    vhosts = self.choose_vhosts(domain)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 358, in choose_vhosts  
    return [self.choose_vhost(domain, create_if_no_ssl)]
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 540, in choose_vhost  
    vhost = self.make_vhost_ssl(vhost)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1116, in make_vhost_ssl  
    self._copy_create_ssl_vhost_skeleton(nonssl_vhost, ssl_fp)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1260, in _copy_create_ssl_vhost_skeleton  
    ssl_vh_contents, sift = self._sift_rewrite_rules(orig_contents)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1332, in _sift_rewrite_rules  
    line = next(contents)
StopIteration

2020-04-22 12:53:58,500:DEBUG:certbot.error_handler:Calling registered functions
2020-04-22 12:53:58,506:DEBUG:certbot.reporter:Reporting to user: Unable to install the certificate
2020-04-22 12:53:58,507:DEBUG:certbot.log:Exiting abnormally:
Traceback (most recent call last):
  File "/usr/bin/certbot", line 11, in <module>  
    load_entry_point('certbot==0.31.0', 'console_scripts', 'certbot')()  
  File "/usr/lib/python3/dist-packages/certbot/main.py", line 1365, in main  
    return config.func(config, plugins)
  File "/usr/lib/python3/dist-packages/certbot/main.py", line 1126, in run  
    _install_cert(config, le_client, domains, new_lineage)
  File "/usr/lib/python3/dist-packages/certbot/main.py", line 760, in _install_cert  
    path_provider.cert_path, path_provider.chain_path, path_provider.fullchain_path)
  File "/usr/lib/python3/dist-packages/certbot/client.py", line 516, in deploy_certificate  
    fullchain_path=fullchain_path)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 334, in deploy_cert  
    vhosts = self.choose_vhosts(domain)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 358, in choose_vhosts  
    return [self.choose_vhost(domain, create_if_no_ssl)]
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 540, in choose_vhost  
    vhost = self.make_vhost_ssl(vhost)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1116, in make_vhost_ssl  
    self._copy_create_ssl_vhost_skeleton(nonssl_vhost, ssl_fp)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1260, in _copy_create_ssl_vhost_skeleton  
    ssl_vh_contents, sift = self._sift_rewrite_rules(orig_contents)
  File "/usr/lib/python3/dist-packages/certbot_apache/configurator.py", line 1332, in _sift_rewrite_rules  
    line = next(contents)
StopIteration
2020-04-22 12:53:58,509:ERROR:certbot.log:An unexpected error occurred:

Kann mir jemand von euch sagen, warum ich das Zertifikat nicht erneuert bekomme???

Ich probiere nun schon eine Weile daran herum - hatte schon die Idee, das Zertifikat (bzw. die dort registrierte Domain) einmal komplett bei LetsEncrypt löschen zu lassen und auch das von vorn zu beantragen (weiß da jemand, wie man sowas anstellt???).

Besten Dank für eure Hilfe!
Caspi

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 566908

Url: https://administrator.de/contentid/566908

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

12 Kommentare

Neuester Kommentar

Hallo,

der konfigurierte Server auf Port 80 ist unverschlüsselt.

Wo soll der Bot das Zertifikat denn einbauen?

Gruß,
Jörg

Schalmeien, das ist ja mal was ganz Besonderes !

(Solltest du ggf. mal anonymisieren hier...?!)
Zurück zum Thema:

Hier steht wie es geht. Kapitel 4.2
https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-l ...

Ja - Schalmeien

Die Schlüssel tauchen ja nicht drin auf - aber ich werde mal übers aussparen nachdenken

Danke auch für den Hinweis und den Link,
Werde dann heute gleich mal probieren!
Hoffe. dass ich damit erfolgreicher bin, als bisher...

Danke und Gruß,
Caspi

Wenn man es nach dem Nextcloud Link macht funktioniert das sofort auf Anhieb !

Ich hab das jetzt mal probiert, bekomme aktuell eine Fehlermeldung, dass die Rate-Limits bei LetsEncrypt erreicht sind (scheinbar durch meine zahlreichen Versuche)….
Werde das also später nochmal testen müssen...

Eine Frage nur noch zur Sicherheit:
Das Zertifikat wird ja mittels

sudo ./certbot-auto --apache --agree-tos --rsa-key-size 4096 --email user@domain.org --redirect -d nc.domain.org

erzeugt.
Die manuelle Nacharbeit in Kap 4.2.2 muss ich trotzdem noch machen, oder?

Danke und Gruß,
Caspi

Ja, musst du.

Dann werde ich das kommende Woche (wegen Sperrfrist) mal testen und ne Rückmeldung geben!
Hoffentlich gibt's dann auch so kompetente Unterstützung!

Danke und Gruß,
Caspi

Na klar...!

Hallo,

Zitat von @caspi-pirna:

Ich hab das jetzt mal probiert, bekomme aktuell eine Fehlermeldung, dass die Rate-Limits bei LetsEncrypt erreicht sind (scheinbar durch meine zahlreichen Versuche)….
Werde das also später nochmal testen müssen...

Na und? Du hast bereits das passende Zertifikat auf deinem Rechner und musst nur noch eine passende Konfiguration für deinen Webserver bauen. Dort baust Du dann das bereits gespeicherte Zertifikat ein. Bis das dann abgelaufen ist, ist das Rate Limit 1000 Mal abgelaufen.

Lies' doch mal die Meldungen und guck' Dir an, was der Bot bereits erfolgreich gemacht hat und wo er ausgestiegen ist, Herrje...

Gruß,
Jörg

Zitat von @117471:

Na und? Du hast bereits das passende Zertifikat auf deinem Rechner und musst nur noch eine passende Konfiguration für deinen Webserver bauen. Dort baust Du dann das bereits gespeicherte Zertifikat ein. Bis das dann abgelaufen ist, ist das Rate Limit 1000 Mal abgelaufen.

Lies' doch mal die Meldungen und guck' Dir an, was der Bot bereits erfolgreich gemacht hat und wo er ausgestiegen ist, Herrje...

Wenn mir das alles so klar wäre, hätte ich ja wohl kaum die Frage hier gestellt...
Ich bin das Log durchgegangen und hab eben keinen so rechten Plan davon, schon getan ist und was noch fehlt...

Ich weiß nur, dass es unter 16.04 gleich beim ersten Mal ohne Probleme durchlief, da kannte ich solche Umwege nicht...

Gruß,
Caspi

Hallo,

tut mir leid, wenn ich das jetzt etwas etwas hart formuliere: Das ist ein essentielles Sicherheitsfeature deiner Homepage. Du solltest es nicht beim "abklicken" einer Internet-Anleitung belassen, sondern dich grundsätzlich einarbeiten.

Gruß,
Jörg

Mahlzeit in die Runde,

neuer Versuch - neuer Fehler

Could not reverse map the HTTPS VirtualHost to the original

Das Zertifikat wurde aber angelegt.
Somit habe ich die entsprechende Config für die verschlüsselte Übertragung selbst angelegt und das Script nochmal aufgerufen..
Und siehe da, es ging

Besten Dank nochmal für die Unterstützung und morgen nen schönen Feiertag!
Caspi

gelöst Frage Linux Webserver

Mehr von caspi-pirna

Konverter PoE-RJ45 auf LWLcaspi-pirna - 3 Kommentare

Server fährt herunter, anstatt neu zu startencaspi-pirna - 14 Kommentare

Ubuntu 18.04: Nach Upgrade von 16.04 startet Apache nicht mehrcaspi-pirna - 11 Kommentare

Konzeption XenServer-Pool mit zwei Hosts und gemeinsamen iSCSI-Storagecaspi-pirna - 4 Kommentare

Heiß diskutiert