[Gratismodul] Let's Encrypt!

  • Hallo Fabian,


    ja, hier stand ein halber Roman, der aber, wie sich herausstellte, irrelevant war... ;)


    Das mit der Challenge ist super, das hat mich nämlich jedesmal fast in den Wahnsinn getrieben... ;)


    Jetzt weiß ich auch, warum?


    Habe dann jedesmal neugestartet, so ca. 20 mal... ;) Und das bei einer Appliance... ;)


    Später habe ich das Modul dann deinstalliert und neu installiert. Und genau dabei hatte es mir früher regelmäßig das Webinterface zerschossen. Diesmal aber zum Glück nicht. Deswegen habe ich es auch auf einer STARFACE Compact nochmal probiert, damit ich die notfalls neu aufsetzen kann.


    Update: Ich habe das Autoupdate des Moduls mal auf eine Zeit vor wenigen Minuten gelegt (dann kamen wieder Java-Fehler, nach einem Neustart waren sie logischerweise weg), habe auch eine E-Mail bekommen:


    Zitat

    Neue Version für Let's Encrypt Modul Verfügbar!
    Version: 460
    Releasenotes:
    - Updater aktualisiert
    - Updater kann jetzt Releasenotes anzeigen!



    Es steht jetzt unter "Lizenz & Update" das:


    le.PNG


    Aber unter "About:Nucom" das:


    Zitat

    Autor: Fabian Zünd
    Version: Release 0.50
    Änderungsdatum: 17.08.2018
    Funktion: Implementation & Automatisierung des SSL-Anbieters "Let's Encrypt"


    Wie und wann aktualisiert sich denn die Version?


    Im Log steht das:



    Meine STARFACE ist eine 6.6.


    Daaankeeeeee nochmal!!!!


    Viele grüße aus Köln,


    d i r k


    P.S.: Hier mal die Fehlermeldung:


    Viele Grüße


    d i r k

    6 Mal editiert, zuletzt von d i r k ()

  • Hallo Dirk


    Die neue Version ist jetzt Online.


    Zitat

    Aber unter "About:Nucoom" das:


    Das About:Nucom ist jetzt auch aktuell.


    Zitat

    [2019-03-28 12:28:57,173] DEBUG [RequestCertificate] org.shredzone.acme4j.exception.AcmeRateLimitExceed edException: Error creating new cert :: too many certificates already issued for exact set of domains: sfc.xyz.de: see


    Du hast anscheinend in der Let's Encrypt Produktivumgebung zu viele Zertifikatsanforderungen für deine Domäne generiert.


    Zitat


    The main limit is Certificates per Registered Domain, (50 per week).
    You can create a maximum of 10 Accounts per IP Address per 3 hours.


    Das heisst wohl, du musst bis nächste Woche warten, wenn du ein echtes Zertifikat ausstellen willst.


    MfG


    Fabian

  • Ich hab ja ein echtes Zertifikat...


    Das Problem ist, wenn man beispielsweise nur die Update-Uhrzeit ändert generiert das Modul ja ein neues Zertifikat bzw. will es generieren... ;)


    Ich will gar nichts testen... ;)


    Wieder ein Update meines Beitrages, gerade im Log gesehen:


    Zitat

    [2019-03-28 13:30:00,361] DEBUG [Moduleupdater.Update] Finding out if Update is Required
    [2019-03-28 13:30:00,362] DEBUG [Moduleupdater.Update] Newest Version is: 460
    [2019-03-28 13:30:00,362] DEBUG [Moduleupdater.Update] 460 == 460
    [2019-03-28 13:30:00,362] DEBUG [Moduleupdater.Update] No Update Required
    [2019-03-28 13:30:00,368] DEBUG [Update] hasUpdate: false


    Unter "About:Nucom" steht allerdings immer noch das:


    Zitat

    Autor: Fabian Zünd
    Version: Release 0.50
    Änderungsdatum: 17.08.2018
    Funktion: Implementation & Automatisierung des SSL-Anbieters "Let's Encrypt"


    Grüße,


    d i r k

    Viele Grüße


    d i r k

    2 Mal editiert, zuletzt von d i r k ()

  • Super Modul, vielen Dank für die Mühe (und das Bereitstellen)!


    An der ein oder anderen Stelle habe ich auch die anscheinend üblichen Fehler bekommen, scheint mir aber immer am ACME-Server gelegen zu haben, DNS-Probleme und Timeouts etc. Nach 1-2 Wiederholungen hat alles geklappt. Jetzt habe ich lt. Starface-Oberfläche unter "Webserver" ein gültiges Letsencrypt-Zertifikat drauf. Wenn ich die Appliance (physisch hier bei uns) per openssl anfrage bekomme ich ein ausgelaufenes Zertifikat. Kann mich nicht erinnern ob wir das mal irgendwann in einem Versuch selbst angefragt hatten oder ob das von Hause aus installiert ist:



    Muss ich die Appliance neu starten? Ich wundere mich nur, weil davon in der Anleitung nichts steht.

  • Jetzt hatte ich Gelegenheit mal ein Update einzuspielen und dabei gleich neu zu starten - klappt alles bestens!


    Gruß, Holger

  • Hallo zusammen,


    bzgl. dem Let's Encrypt Modul habe ich 2 Fragen:


    1. Der Wiki Eintrag kann ich nicht erreichen


    2. Der aktuelle Download des Moduls ist für die Version 6.6. Ist das Modul auch kompatibel zu 6.7?


    Grüße
    Michael

  • Hallo Michael


    Das Wiki ist sehr wohl erreichbar, es ist jedoch nicht auf dem Standard HTTP-Port: http://wiki.nucom.ch:8018/ das haben nicht alle Firewalls gerne...


    Wenn das Wiki dann Finalisiert ist, schiebe ich es dann auf einen anderen Webserver, wo ich es dann auch normal per http(s) erreichbar machen werde.


    Ich habe aktuell noch keinen Build für 6.7 rausgegeben, ich würde noch warten. Ich schaue, dass ich diese Woche eine 6.7 er Version rausgeben kann.


    MfG


    Fabian

  • Hallo,


    ich versuche gerade das Modul unter der Version 6.7.0.22 und erhalte folgende Meldung:


    [2019-09-25 21:07:55,387] DEBUG [CheckLicense] Prüfe Lizenz...
    [2019-09-25 21:07:55,388] DEBUG [isLicenseactive] isLicenseactive: true
    [2019-09-25 21:07:55,388] DEBUG [CheckLicense] Lizenz ist bereits aktiv. Prüfe, wieviele Tage seit letzter Validierung vergangen sind.
    [2019-09-25 21:07:55,391] DEBUG [CheckLicense] Range: 8/26/19-9/25/19
    [2019-09-25 21:07:55,392] DEBUG [CheckLicense] Lizenz wird noch nicht überprüft.
    [2019-09-25 21:07:55,392] DEBUG [isLicenseactive] isLicenseactive: true
    [2019-09-25 21:07:55,392] DEBUG [Config] Starte ACME Client..
    [2019-09-25 21:07:55,392] DEBUG [Config] Try 1.0 / 10
    [2019-09-25 21:07:55,393] DEBUG [RegisterSession] Loading existing KeyPair from: /home/starface/letsencrypt/SessionPK.pem
    [2019-09-25 21:07:55,395] DEBUG [RegisterSession] KeyPair Successfully loaded.
    [2019-09-25 21:07:55,395] DEBUG [RegisterACMEAccount] Trying to Register: info@Kunde.de
    [2019-09-25 21:07:55,395] DEBUG [RegisterACMEAccount] Loading Registration file
    [2019-09-25 21:07:55,395] DEBUG [RegisterACMEAccount] Binding existing Registration to Session
    [2019-09-25 21:07:55,395] DEBUG [CreateChallenge] Trying to Authorize Domain: KUNDE.de
    [2019-09-25 21:07:56,502] DEBUG [TriggerChallenge] Triggering Challenge
    [2019-09-25 21:07:56,771] DEBUG [TriggerChallenge] org.shredzone.acme4j.exception.AcmeServerException: JWS has invalid anti-replay nonce 0002VuSpjqmJGfzSadX0t68P2ujy3p4GyRX3EThEufiqsUg
    at org.shredzone.acme4j.connector.DefaultConnection.createAcmeException(DefaultConnection.java:414)
    at org.shredzone.acme4j.connector.DefaultConnection.accept(DefaultConnection.java:207)
    at org.shredzone.acme4j.challenge.Challenge.trigger(Challenge.java:196)
    at nucom.module.letsencryptv3.authorization.TriggerChallenge.execute(TriggerChallenge.java:52)
    at de.vertico.starface.module.core.runtime.executables.JavaFunctionExec.executeImpl(JavaFunctionExec.java:146)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.LoadedModule.invokeFunction(LoadedModule.java:213)
    at de.vertico.starface.module.core.runtime.LoadedFunction.invoke(LoadedFunction.java:74)
    at de.vertico.starface.module.core.runtime.RuntimeEnvironmentImpl.invokeFunction(RuntimeEnvironmentImpl.java:233)
    at de.vertico.starface.module.core.runtime.executables.FunctionCallExec.executeImpl(FunctionCallExec.java:128)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.executables.ContainerExec.executeImpl(ContainerExec.java:82)
    at de.vertico.starface.module.core.runtime.executables.SwitchCaseExecutable.executeImpl(SwitchCaseExecutable.java:44)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.executables.ContainerExec.executeImpl(ContainerExec.java:82)
    at de.vertico.starface.module.core.runtime.executables.SwitchExecutable.executeImpl(SwitchExecutable.java:59)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.executables.ContainerExec.executeImpl(ContainerExec.java:82)
    at de.vertico.starface.module.core.runtime.executables.FunctionExec.executeImpl(FunctionExec.java:57)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.LoadedModule.invokeFunction(LoadedModule.java:213)
    at de.vertico.starface.module.core.runtime.LoadedFunction.invoke(LoadedFunction.java:74)
    at de.vertico.starface.module.core.runtime.RuntimeEnvironmentImpl.invokeFunction(RuntimeEnvironmentImpl.java:233)
    at de.vertico.starface.module.core.runtime.executables.FunctionCallExec.executeImpl(FunctionCallExec.java:128)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.executables.ContainerExec.executeImpl(ContainerExec.java:82)
    at de.vertico.starface.module.core.runtime.executables.FunctionExec.executeImpl(FunctionExec.java:57)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.callEntryPoint(ModuleRuntime.java:336)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.callEntryPoint(ModuleRuntime.java:507)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.callLifeCycleEntryPointsForInstance(ModuleRuntime.java:2070)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.access$000(ModuleRuntime.java:121)
    at de.vertico.starface.module.core.runtime.ModuleRuntime$1.run(ModuleRuntime.java:2044)
    at java.lang.Thread.run(Thread.java:748)

    [2019-09-25 21:08:01,773] DEBUG [Config] Try 2.0 / 10
    [2019-09-25 21:08:01,773] DEBUG [RegisterSession] Loading existing KeyPair from: /home/starface/letsencrypt/SessionPK.pem
    [2019-09-25 21:08:01,775] DEBUG [RegisterSession] KeyPair Successfully loaded.
    [2019-09-25 21:08:01,775] DEBUG [RegisterACMEAccount] Trying to Register: info@KUNDE.de
    [2019-09-25 21:08:01,775] DEBUG [RegisterACMEAccount] Loading Registration file
    [2019-09-25 21:08:01,775] DEBUG [RegisterACMEAccount] Binding existing Registration to Session
    [2019-09-25 21:08:01,775] DEBUG [CreateChallenge] Trying to Authorize Domain: KUNDE.de
    [2019-09-25 21:08:02,579] DEBUG [TriggerChallenge] Triggering Challenge
    [2019-09-25 21:08:02,850] DEBUG [TriggerChallenge] Challenge State: PENDING
    [2019-09-25 21:08:08,027] DEBUG [TriggerChallenge] Challenge Failed. Returned: INVALID


    Hat hier jemand für mich einen Tipp?



    Viele Dank im vorraus.


    Viele Grüße
    Markus

    Viele Grüße
    Markus


    MARIS Computer GmbH
    STARFACE Excellence+ Partner

  • Hallo Markus


    Ich habe es auf Seite 2&3 des Themas bereits mal erklärt.

    Zitat


    Dieser Fehler entsteht dadurch, wenn der Let's Encrypt Server mit dem Client ein nonce für die Verschlüsselung Austauscht.
    Der Server merkt sich aber diese nonce nur eine gewisse Zeit, und dann verwirft er diese wieder.
    Wenn nun ein hohes Aufkommen von Anfragen kommt, dann verwirft er diesen nonce Serverseitig auch wieder schneller,
    Das erzeugt dann den entsprechenden Fehler.



    Je nachdem wieviel Zeit zwsichen der Erstellung der Challenge, und der Ausführung der Challenge vergangen ist, dieser Nonce Schlüssel bereits verfallen.


    Deine Challenge im Modul müsste sich danach auch geändert haben.


    Du solltest die Zeit zwischen dem Triggern der Challenge, und setzen des DNS/HTTP Eintrags möglichst klein halten, um solche Probleme zu vermeiden.


    MfG


    Fabian

  • Hallo Fabian,


    ich bekomme einen Fehler, dass acmev1 nicht mehr als client verfügar ist. Mache ich was falsch oder ist das neu?


    Code
    [2019-10-09 22:41:16,899] ERROR [ConfigEntry] Cause:  
    org.shredzone.acme4j.exception.AcmeUnauthorizedException: Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.


    vg
    Sebastian

  • So. Ich habe nun eine neue Version des Let's Encrypt Moduls online gestellt. Diese ist aktuell lediglich für die 6.7 Verfügbar. Alle anderen Versionen wurden vom Downloadserver entfernt, da diese keine Funktionalität haben.


    MfG


    Fabian

  • Vielen Dank Fabian!
    beim anfordern des Zertifikates bleibt der "Challenge Status:" auf "Warte auf Challenge" stehen, im Debug-Log sieht man aber, dass die Challenge bereits erfüllt wurde. "Status Zertifikatanforderung" bleibt auf "Noch kein Zertifikat angefordert." stehen, im Debug-Log sieht man, dass das Zertifikat angefordert wurde. Das kann evtl. zu Verwirrungen führen. In Summe funktioniert das Modul aber! :)
    Danke noch einmal für Deine Arbeit!

  • Hallo Fux


    Die Problematik ist, dass während du das Modul geöffnet hast sich die GUI-Felder nicht aktualisieren können.
    Und wenn du dann z.b. auf "Übernehmen" ist der Textinhalt in den Feldern wieder überschrieben.


    Deshalb ist es Empfehlenswert immer auf "Speichern" anstatt übernehmen zu drücken.


    MfG


    Fabian

  • Moin Fabian,
    ich hätte zwar jetzt behauptet, streng nach Deinem Wiki-Artikel vorgegangen zu sein, aber u.U. könnte es daran gelegen haben.
    VG!

  • Hi


    tolles Modul. Hab es gestern für eine Demoanlage in Betrieb genommen mit DNS Challenge. Nun ist es doch so das sich die DNS Abfrage immer wieder ändert und somit der Automatismus schwierig wird. Leider hab ich die Challenge per HTTP nicht ans laufen bekommen. Ist dafür alles in Modul vorberietet und legt er selber das File in den Tomcat oder klappt das alles nicht?


    Danke für einen Tipp


    Gruß
    Marco

  • Hallo Marco


    Die Challenge ändert sich nur, wenn die alte Challenge ausgelaufen ist oder schon fehlgeschlagen ist.


    Der Haken bei "Challenge Erfüllt" darf wirklich erst gesetzt werden, wenn die aktuell Angezeigt Challenge Erfüllt ist.


    Und immer daran denken, das Modul speichern nicht übernehmen.


    MfG


    Fabian


  • Moin Fabian,


    danke für die Info. Sollte denn die HTTP Challenge auch funktionieren? Erstellst du die Datei im Tomcat?


    Vielen Dank für das tolle Script!!!


    Gruß
    Marco

  • Das Modul kümmert sich nicht um das resolving der Challenge, wenn also dein Challenge Ziel für die HTTP-Challenge der Webserver der SF sein soll, musst du die entsprechenden Dateien selbst platzieren.


    MfG


    Fabian

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!