Let's Enrcypt Zertifikat für Landingpage lässt sich nicht erneuern

crazy-to-bike · 21. September 2023 um 15:03

Hallo,

das Zertifikat für unsere Landingpage (von @dorian) wird nicht mehr erneuert. Dehydrated spuckt dies aus:

# INFO: Using main config file /etc/dehydrated/config
Processing start.unseredomain.de
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting new certificate order from CA...
 + Received 1 authorizations URLs from the CA
 + Handling authorization for start.unseredomain.de
 + 1 pending challenge(s)
 + Deploying challenge tokens...
 + Responding to challenge for start.unseredomain.de authorization...
 + Cleaning challenge tokens...
 + Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]	"http-01"
["status"]	"invalid"
["error","type"]	"urn:ietf:params:acme:error:unauthorized"
["error","detail"]	"80.144.28.93: Invalid response from https://start.unseredomain.de/links: \"    \u003c!DOCTYPE html\u003e\\n    \u003chtml\u003e\\n\\n    \u003chead\u003e\\n      \u003cmeta name=\\\"viewport\\\" content=\\\"width=device-width, initial-scale=1\\\"\u003e\\n\\n      \u003c!-\""
["error","status"]	403
["error"]	{"type":"urn:ietf:params:acme:error:unauthorized","detail":"80.144.28.93: Invalid response from https://start.unseredomain.de/links: \"    \u003c!DOCTYPE html\u003e\\n    \u003chtml\u003e\\n\\n    \u003chead\u003e\\n      \u003cmeta name=\\\"viewport\\\" content=\\\"width=device-width, initial-scale=1\\\"\u003e\\n\\n      \u003c!-\"","status":403}
["url"]	"https://acme-v02.api.letsencrypt.org/acme/chall-v3/266613071466/WbZEzw"
["token"]	"eGfpuDSn05b32_W9Vrkzaf3c3pnVnISe6Sbu-ApZNvM"
["validationRecord",0,"url"]	"http://start.unseredomain.de/.well-known/acme-challenge/eGfpuDSn05b32_W9Vrkzaf3c3pnVnISe6Sbu-ApZNvM"
["validationRecord",0,"hostname"]	"start.unseredomain.de"
["validationRecord",0,"port"]	"80"
["validationRecord",0,"addressesResolved",0]	"80.144.28.93"
["validationRecord",0,"addressesResolved"]	["80.144.28.93"]
["validationRecord",0,"addressUsed"]	"80.144.28.93"
["validationRecord",0]	{"url":"http://start.unseredomain.de/.well-known/acme-challenge/eGfpuDSn05b32_W9Vrkzaf3c3pnVnISe6Sbu-ApZNvM","hostname":"start.unseredomain.de","port":"80","addressesResolved":["80.144.28.93"],"addressUsed":"80.144.28.93"}
["validationRecord",1,"url"]	"https://start.unseredomain.de/"
["validationRecord",1,"hostname"]	"start.unseredomain.de"
["validationRecord",1,"port"]	"443"
["validationRecord",1,"addressesResolved",0]	"80.144.28.93"
["validationRecord",1,"addressesResolved"]	["80.144.28.93"]
["validationRecord",1,"addressUsed"]	"80.144.28.93"
["validationRecord",1]	{"url":"https://start.unseredomain.de/","hostname":"start.unseredomain.de","port":"443","addressesResolved":["80.144.28.93"],"addressUsed":"80.144.28.93"}
["validationRecord",2,"url"]	"https://start.unseredomain.de/links"
["validationRecord",2,"hostname"]	"start.unseredomain.de"
["validationRecord",2,"port"]	"443"
["validationRecord",2,"addressesResolved",0]	"80.144.28.93"
["validationRecord",2,"addressesResolved"]	["80.144.28.93"]
["validationRecord",2,"addressUsed"]	"80.144.28.93"
["validationRecord",2]	{"url":"https://start.unseredomain.de/links","hostname":"start.unseredomain.de","port":"443","addressesResolved":["80.144.28.93"],"addressUsed":"80.144.28.93"}
["validationRecord"]	[{"url":"http://start.unseredomain.de/.well-known/acme-challenge/eGfpuDSn05b32_W9Vrkzaf3c3pnVnISe6Sbu-ApZNvM","hostname":"start.unseredomain.de","port":"80","addressesResolved":["80.144.28.93"],"addressUsed":"80.144.28.93"},{"url":"https://start.unseredomain.de/","hostname":"start.unseredomain.de","port":"443","addressesResolved":["80.144.28.93"],"addressUsed":"80.144.28.93"},{"url":"https://start.unseredomain.de/links","hostname":"start.unseredomain.de","port":"443","addressesResolved":["80.144.28.93"],"addressUsed":"80.144.28.93"}]
["validated"]	"2023-09-21T15:06:39Z")

Was hat sich seit der letzten Zertifikatserneuerung geändert?
Ich habe Collabora ebenfalls im Docker auf dem Server installiert, dafür ein neues Zertifikat office.unseredomain.de erstellt und im Apache eine Reverse-Proxy-Config für diese Subdomain hinzugefügt. Collabora hat auch funktioniert und die Landingpage war weiter erreichbar.

Aus Debugginggründen habe ich in nun den Collabora-Docker wieder entfernt und die Config für office.unseredomain.de deaktiviert.

Die Erneuerung des Zertifikats für die Landingpage funktioniert weiter nicht.

Dann habe ich alle Zertifikate wegkopiert und Dehydrated laufen lassen. Es werden alle Zertifikate angelegt, bis auf das für die Landingpage. Es scheint also auch nicht an Let’s Encrypt zu liegen.

Mein Latein ist damit am Ende.
Wo und wie kann ich die Ursache des Problems finden?

Viele Grüße
Steffen

jrichter · 21. September 2023 um 16:00

Hallo Steffen,

da scheint es ein Problem mit Deiner Serverkonfiguration zu geben. Was mir auffällt: Es wird offenbar alles auf …/links umgeleitet, das könnte ein Problem sein.

Übrigens bringt es nicht wirklich etwas, überall das als-engen.de zu ersetzen, wenn Du die IP drin lässt.

Beste Grüße

Jörg

crazy-to-bike · 21. September 2023 um 16:29

Hallo Jörg,

ja, das /links macht die Landingpage von @dorian so. Ob / wie ich das abstellen kann
Das hat aber bis dato genau so ohne Probleme funktioniert.

Ups, klar. Die wollte ich eigentlich auch ersetzen

Aber so schlimm ist das in dem Fall zum Glück nicht.

Viele Grüße
Steffen

crazy-to-bike · 22. September 2023 um 11:52

Hallo,

also das Problem liegt definitiv im Zusammenhang mit der Landingpage von @dorian im Docker.
Wenn ich im Apache eine Config verwende, in der die die betreffende Subdomain auf z.B. das Openschulportfolio verweist, dann wird das Zertifikat problemlos erneuert.
Verweist die Config auf die Landingpage im Docker, dann geht’s nicht.

Das Zertitikat für Collabora im Docker wird aber auch problemlos erneuert, so dass ich etwas ratlos bin. Leider erreiche ich die Landingpage nicht mehr, wenn ich im Apache die gleiche Reverseproxy-Config verwende wie für Collabora.

Die Apache-Config für die Landingpage sieht so aus:

<VirtualHost *:80>

 ServerName start.unseredomain.de

 RewriteEngine On
 RewriteCond %{HTTPS} off
 RewriteRule (.*) https://%{SERVER_NAME}/ [R=307,L]

</VirtualHost>


<VirtualHost *:443>

ServerName start.unseredomain.de
    
ProxyPreserveHost On
ProxyPass /.well-known !
ProxyPass / http://127.0.0.1:5080/
ProxyPassReverse / http://127.0.0.1:5080/

SSLEngine on
SSLProxyEngine on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:EC$
SSLCertificateFile /etc/dehydrated/certs/start.unseredomain.de/fullchain.pem
SSLCertificateKeyFile /etc/dehydrated/certs/start.unseredomain.de/privkey.pem

</VirtualHost>

Viele Grüße
Steffen