Problem: Let's Encrypt & Proxy-Redirect

  • Ich habe gemerkt, dass bei mir ein Letsencrypt-Zertifikat nicht verlängert wird. Die Webseite ist im Proxymodus. (CherryPy - Webserver auf localhost)


    D. h. das liegt dann ja vermutlich daran, dass die ACME-Requests an die Anwendung weitergegeben werden, die damit natürlich nix anfangen kann.


    Vielleicht wäre es gut die ACME-Requests als Proxy-Ausnahme zu definieren?

  • Wenn ich ein beliebiges Verzeichnis ohne Proxy-Funktion einstelle wird das Letsencrypt-Zertifikat sauber generiert.


    Wenn ich statt einem Verzeichnis den Proxy eintrage, bekomme ich das hier:


    /var/log/liveconfig/liveconfig.log

    HTML
    [2017/04/19 15:33:58.011187] [24330|12724] ACME: challenge for 'mydomain.de' failed: Invalid response from http://mydomain.de/.well-known/acme-challenge/47nAe1nSzKXT9z_wA1URg4LiFOZq-eonoj14VVUI0xg: "<!DOCTYPE html PUBLIC
    "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html>"
    [2017/04/19 15:33:58.301289] [24330|12724] ACME: challenge for 'www.mydomain.de' failed: Invalid response from http://www.mydomain.de/.well-known/acme-challenge/KFOauR9KCcdixfMYdojc9FIYBugVIDakTVCQXK-pUIU: "<!DOCTYPE html PUBLIC
    "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html>"


    So sieht der generierte Ausschnitt aus der Apache-VHost-Config aus:



    Wie geschrieben, das kann so nicht funktionieren. Ich sehe ja auch die ACME-Requests im CherryPy-Webserver-Log - und da gehören die nicht in.

  • Das Problem war jetzt wirklich etwas ärgerlich. Ich habe zunächst ein eigenes Let's Encrypt-Zertifikat von aussen eingespielt, was mir LiveConfig allerdings immer mit seinem eigenen Let's Encrypt-Zertifikat(dass es wegen der hier beschriebenen Problematik nicht verlängert werden kann und was demzufolge bei mir abgelaufen war) überschrieben hat.


    Sprich jedes mal, wenn ich etwas im LC konfiguriert habe, schmeisst er mir das alte Zertifikat rein.


    Aktueller workaround ist jetzt, dass ich mit dem Hooks-Modul die betroffenen Zertifikate vor der Apache-Konfiguration sichere und nach der Apache-Konfiguration, aber noch vor dem apache2 reload, wieder zurückspiele. Nicht schön, aber jetzt macht es keinen Ärger mehr.


    hooks.conf


    Code
    backup_special_certs,apache.configureVHost,pre
    restore_special_certs,apache.configureVHost,post


    backup_special_certs


    Code
    /usr/bin/install -d -m 700 /var/backup/ssl
    tar --preserve-permissions -C /etc -cf /var/backup/ssl/backup.tar ssl/private/keyfile.key ssl/certs/certfile.crt ssl/certs/certfile-ca.crt


    restore_special_certs


    Code
    tar --preserve-permissions -xf /var/backup/ssl/backup.tar -C /etc 
    rm -f /var/backup/ssl/backup.tar


    Siehe auch:


    Hooks-Script für Liveconfig

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!