[Gratismodul] Let's Encrypt!

  • Kann das sein dass da irgendwas kam? Ich bin grad verwirrt, das Modul auf unserer Anlage zeigt mir Version 0.6 an, auf der Nucom-Seite ist aber die 0.544 oder so weiterhin aktuell zum Download, und automatische Updates hatte ich eigentlich ausgeschaltet (aber die Benachrichtigung über Updates an).


    War grad stutzig weil das Modul seine Mail mit dem Updatezyklus verpennt hat - wird im Fehlerfall, also wenn ein Update fehlschlägt eigentlich keine Mail ausgelöst?

  • Hallo zusammen!


    Das Modul an sich ist ja erst mal großartig. Einrichtung nach Anleitung kein Problem. Was uns aber von Anfang an Kummer macht, ist die automatische Verlängerung. Diese funktioniert nämlich nicht. Wir haben das auf "einmal im Monat prüfen" konfiguriert und es scheint so zu sein, dass jeden Monat die Challenge wechselt. Sollte diese nicht gleich bleiben? Natürlich kann ich nicht "mal eben" in der Nacht einen DNS-Eintrag ändern. ;)


    [2021-01-01 04:30:05,320] DEBUG [Config] DNS-Entry-TYPE:TXT ==> _acme-challenge.pbx.karlsruhe.punkt.de
    [2021-01-01 04:30:05,321] DEBUG [Config] DNS-Entry-CONTENT: ==> m4zW7CwrMGuFx2mRoCw9rjl7QVAi4AiWSavmCp-Bjuc
    [2021-02-01 04:30:04,926] DEBUG [Config] DNS-Entry-TYPE:TXT ==> _acme-challenge.pbx.karlsruhe.punkt.de
    [2021-02-01 04:30:04,926] DEBUG [Config] DNS-Entry-CONTENT: ==> rxTE69hKHxgyQrrlpWxsfPtReKFvQTVHJ2WEZgS-bC8


    Wie ist das denn gedacht? Also wie bekommt man das hin, dass die Zertifikate automatisch verlängert werden. In unserer eigenen Hosting-Umgebung benutzen wir die HTTP-Challenge. Aber da laufen ja auch Webserver und ein Dehydrated. Deswegen haben wir das für die Anlage über DNS probiert ...


    Gruß & danke
    Patrick

  • siehe dazu folgende Auszüge:


    Let’s Encrypt erstellt Rate Limits...
    Das Hauptlimit ist Zertifikate pro registrierte Domain (50 pro Woche)


    Verlängerungen werden speziell behandelt: Sie werden nicht auf Ihr Zertifikat pro registrierter Domain-Limit angerechnet, unterliegen jedoch einem Duplikat-Zertifikat-Limit von 5 pro Woche. Hinweis: Verlängerungen wurden bis März 2019 gegen Ihr Zertifikat pro registrierter Domain-Limit angerechnet, jetzt jedoch nicht mehr.


    Zum Beispiel, Sie fordern die Ausstellung eines Zertifikates mit dem Namen [http://www.example.com, example.com], und Sie stellen 4 weitere Anträge auf Zertifikate die Woche. Wenn Sie den Hostnamen ändern durch Hinzufügen von [blog.example.com], werden Sie wieder in der Lage sein, Ausstellungsanfragen zu senden.


    Bei der Erneuerungsbehandlung werden der öffentliche Schlüssel und die angeforderten Erweiterungen ignoriert. Eine Zertifikatsausstellung kann auch dann als Erneuerung betrachtet werden, wenn Sie einen neuen Schlüssel verwenden.


    Beachten Sie, dass eine hohe Anzahl von ausstehenden Autorisierungen das Ergebnis eines fehlerhaften Clients ist. Wenn Sie regelmässig in dieses Rate Limit laufen, sollten Sie Ihren Client Code nochmals überprüfen.


    Quelle:
    https://letsencrypt.org/de/docs/rate-limits/

    Beste Grüße,


    Manuel

    Einmal editiert, zuletzt von team3_Manuel ()


  • Let’s Encrypt erstellt Rate Limits...
    Das Hauptlimit ist Zertifikate pro registrierte Domain (50 pro Woche)


    Das ist mir bekannt. Ich habe hier knapp 1000 Webserver in meinem eigenen RZ, die alle per Dehydrated automatisch verlängern.


    Ich habe nur die Verlängerung mit diesem Modul noch nie automatisch ans Fliegen bekommen. Setze ich den Abstand auf eine Woche, laufe ich ins bekannte Letsencrypt-Limit. Setze ich den Abstand auf einen Monat, wird jedesmal eine neue Challenge ausgehandelt, statt die alte weiterverwendet. So weit zumindest meine Beobachtung, siehe Logfile-Auszug oben.


    Was muss ich tun, damit ich dieses Modul nur noch einmal konfigurieren muss? Funktioniert bei irgendjemandem die automatische Verlängerung?


    Jedenfalls lösche ich jetzt mal wieder und setze neu auf, sonst haben wir am Montag keine Anlage mehr ...


    Grüße und danke,
    Patrick

  • Hallo Miteinander.


    Ich war leider Aufgrund einer OP seit ende Januar bis jetzt im Krankenstand.
    Deshalb bin ich mit den 7 er Versionen der Modulen im Verzug.


    Um zu prüfen, ob eine neue Challenge benötigt wird, wird der letzte SessionPK geladen. Dieser befindet sich im Verzeichnis: /home/starface/letsencrypt/SessionPK.pem
    Mit diesem SessionPK frage ich beim Let's Encrypt Server an, ob eine neue Challenge ausgehandelt werden muss.


    Das einzige, was ich mir Vorstellen könnte, ist dass etwas mit dem SessionPK passiert, und mein Modul einen neuen PK Austellen muss, folglich muss auch eine neue Challenge ausgeführt werden.


    Code
    Order O = Storage.AC.newOrder().domains(Domain).create();	
    		Storage.O=O;
    		
    		if(O.getAuthorizations().get(0).getStatus().equals(Status.VALID))
    		{
    			log.debug("No new Challenge required. Skipping...");
    			Storage.A = O.getAuthorizations().get(0);
    			Success=true;
    			return;
    		}


    Ich werde dem nachgehen, sobald ich Zeit habe.


    MfG


    Fabian

  • So ich habe einen 7er Release rausgegeben.
    Das Modul ist nun Funktionsfähig.


    Ich habe ausserdem aufgrund der Hohen fehlerrate den "Übernehmen" Button aus dem Modul entfernt.


    Ich würde mich freuen, wenn ihr mir noch beim Debugging des Monatsproblems behilflich seid. Indem ihr mir eure Log-Dateien vom Let's Encrypt Modul. Sendet (Via Log-Datei Herunterladen) (Bitte auf DEBUG stellen)


    MfG


    Fabian

  • Ich habe vielleicht die Ursache schon gefunden.
    Die Autorisierung beim Let's Encrypt Server hält immer genau 30 Tage. Wenn ihr das Modul auf 1 mal Monatlich stellt, und der Monat 31 Tag hat, ist die Autorisierung ausgelaufen, und eine neue Challenge muss ausgehandelt werden.
    Das Ideale wäre deshalb, den Zeintervall auf Täglich zu ändern, dann "Wiederholen jede(n) 29 Tag" zu setzen.


    MfG


    Fabian

  • Ich habe vielleicht die Ursache schon gefunden.
    Die Autorisierung beim Let's Encrypt Server hält immer genau 30 Tage. Wenn ihr das Modul auf 1 mal Monatlich stellt, und der Monat 31 Tag hat, ist die Autorisierung ausgelaufen, und eine neue Challenge muss ausgehandelt werden.
    Das Ideale wäre deshalb, den Zeintervall auf Täglich zu ändern, dann "Wiederholen jede(n) 29 Tag" zu setzen.


    MfG


    Fabian


    Servus Fabian!


    Gute Besserung meinerseits.


    Frage zum aktualisieren der Zertifikate ala 29 Tage.
    Müssen hierzu auch die Ports Richtung Starface offen sein?


    Grüße
    Jakob

  • Hallo Jakob


    Eigentlich nicht.
    Ausser du versucht die http-Authentifizierung lokal auf der STARFACE durchzuführen.
    Er geht nach den [n] Tagen erneut zum Acme Server, um ein neues Zertifikat anzufordern.
    Wenn es also das erste mal funktioniert hat, sollte es auch fortlaufend funktionieren.


    MfG


    Fabian

  • Servus Fabian,


    Danke für die Rückmeldung.
    Dann versuche ich mich die Tage nochmal dran und schaue ob das dann wiederholend auch klappt.


    Grüße
    Jakob

  • Hallo auf einer SF 6.7.3.x habe ich das Modul installiert.
    Es steht jetzt da: [Config] Waiting for Pending Challenge
    Muss ich nun den Haken bei: Challenge Erfüllt setzen? Oder wann?
    Wenn dem so sei kommt dann: DEBUG [TriggerChallenge] Challenge Failed. Returned: INVALID


    Die Methode ist HTTP wobei Port 80 und 443 verbogen sind... ich weiß nicht ob das dann trotzdem geht?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!