Startseite » Forum » LiveConfig-Foren (deutsch) » Let's Encrypt » Automatische Erneuerung der LE-Zertifikate
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 28
  1. #1
    Benutzer
    Registriert seit
    11.11.2015
    Beiträge
    38

    Automatische Erneuerung der LE-Zertifikate

    Wenn die automatische Erneuerung der LE-Zertifikate aus welchen Gründen auch immer fehlgeschlagen ist - versucht Liveconfig das dann später nochmal oder muss ich mich manuell drum kümmern?

    Hintergrund der Frage ist, dass ich hier eine Handvoll Zertifikate habe, die aus mir noch unbekannten Gründen nicht verlängert wurden - im ACME-Tab steht auch eine Fehlermeldung drin bzw. im liveconfig.log ebenfalls (das ist der Schwung von der DSGVO-"Panik" - ich hoffe nicht, dass das zuviele auf einmal waren, dann habe ich das Problem ansonsten alle 3 Monate.....

    Nun sind die Zertifikate noch fast 30 Tage gültig, es ist also noch genügend Zeit. Versucht Liveconfig die Erneuerung später nochmal, oder kann / sollte ich schon manuell tätig werden (ich habe eins mal getestet, einfach nochmal auf "speichern" klicken reicht)

  2. #2
    Erfahrener Benutzer
    Registriert seit
    02.04.2012
    Beiträge
    634
    was ist denn die konkrete Fehlermeldung?
    es gibt Fehler da hilft einfach erneut versuchen nichts

  3. #3
    Benutzer
    Registriert seit
    11.11.2015
    Beiträge
    38
    Zitat Zitat von aziegler Beitrag anzeigen
    was ist denn die konkrete Fehlermeldung?
    es gibt Fehler da hilft einfach erneut versuchen nichts
    Naja, bei vielen (den meisten, würde ich sagen) hat es ja geklappt, manuell funktioniert es auch. Nur bei einigen wenigen ist da ein

    Code:
    Invalid response from http://domain.de/.well-known/acme-challenge/VKqmkl70BSwL40Rz63Wl3vwUdHFPqGsuRMsNsA8Xqac: "<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html "
    (domain.de ersetzt die eche Domain)

    Deswegen fürchte ich eine temporäre Überlastung (wobei es da kein anderes Anzeichen für gäbe, die Munin-Graphen z.B. sind in Ordnung und es gibt auch keine Einträge im Error-Log oder sowas) oder ein Timing-Problem oder sowas

    Wobei mir gerade auffällt, dass der HTML-Code, der sich da in der Fehlermeldung andeuet nicht von der fraglichen Domain stammt, da geht es anders los.

  4. #4
    Erfahrener Benutzer
    Registriert seit
    02.04.2012
    Beiträge
    634
    Zitat Zitat von mhagge Beitrag anzeigen
    Wobei mir gerade auffällt, dass der HTML-Code, der sich da in der Fehlermeldung andeuet nicht von der fraglichen Domain stammt, da geht es anders los.
    DNS-Einträge verändert worden? Domain umgezogen?

  5. #5
    Benutzer
    Registriert seit
    11.11.2015
    Beiträge
    38
    Zitat Zitat von aziegler Beitrag anzeigen
    DNS-Einträge verändert worden? Domain umgezogen?
    Nene, die habe ich unter eigener Kontrolle Die Homepage lässt sich ja auch normal aufrufen

    Es gibt aber einen korrespondierenden Eintrag im Apache-Error-Log - das HTML-Fragment dürfte von einem 404er stammen. Die ACME-Challenge wird nicht gefunden, dann geht es an der Stelle natürlich nicht weiter.

    Das wiederrum könnte damit zusammenhängen, dass in dem Web beinahe 3000 Domains sind - es dauert eine Weile die .conf-Datei zu schreiben (runde 3 Minuten, trotz SSD). Deswegen ist meine Vermutung ein Timing-Problem, vermutlich wird die Verifizierung versucht wenn die Konfiguration noch nicht verfügbar ist. Ich hab schon die Apache.MINLOAD und MAXLOAD-Werte angepasst bzw. deutlich höher gesetzt, der Dokumentation nach sollte das die LE-Verifizerung auch berücksichtigen, aber entweder das passiert nicht oder da ist noch ein anderer Faktor, auf den ich noch nicht gekommen bin

  6. #6
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.284
    Zitat Zitat von mhagge Beitrag anzeigen
    es dauert eine Weile die .conf-Datei zu schreiben (runde 3 Minuten, trotz SSD).
    Bitte? Da stimmt dann aber was mit der Hardware nicht...
    Wir fahren mit LiveConfig auch regelmäßig mal Lasttests mit >10.000 Domains in einem Vertrag, auch da dauert die Erstellung der .conf-Dateien keine Sekunde.
    Steht der Server vielleicht recht "unter Dampf"? Ein hoher I/O auf dem Server insgesamt wäre die enizige Erklärung, warum das so lange dauert.

    Deswegen ist meine Vermutung ein Timing-Problem, vermutlich wird die Verifizierung versucht wenn die Konfiguration noch nicht verfügbar ist.
    Nach dem Erstellen eines ACME-"Auftrags" werden automatisch ein CSR erzeugt sowie die ACME-Challenges beauftragt - das geschieht quasi in Echtzeit. Die Challenges werden anschließend in die Webserver-Konfigurationen übernommen und ein Reload angetriggert.
    Frühestens 90 Sekunden nach dem Aktualisieren der Konfigurationsdateien wird dann bei Let's Encrypt die Prüfung der Challenges angestoßen (der Apache-Reload findet ja "normalerweise" nach max. 60 Sekunden statt). Bei größeren Werten für RELOAD_MAX müsste das (wenn ich mich richtig erinnere) entsprechend auch höher sein (also RELOAD_MAX+30sek).
    In der Tat kann es dann also zu Timing-Problemen kommen, wenn der tatsächliche Reload entsprechend länger dauert. Wurde ein Challenge-Request mit einer endgültigen (also nicht temporären!) Fehlermeldung beantwortet, erfolgt keine automatische Wiederholung. In der Regel müsste es aber genügen, bei den Zertifikaten einfach erneut auf "speichern" zu klicken, dann müsste LC offene Challenges erneut anstoßen.

    Wir haben bereits einen Konfigurations-Prototypen entwickelt, mit dem die Challenges ohne Reload des Apache verwaltet werden können (während gleichzeitig sichergestellt ist, dass Challenges nur für die jeweiligen Domains erreichbar sind). In LiveConfig v2.7 werden wir das nicht mehr hinein bekommen, aber bis v2.8 (Herbst) sollte es fertig sein.

  7. #7
    Benutzer
    Registriert seit
    11.11.2015
    Beiträge
    38
    Zitat Zitat von kk Beitrag anzeigen
    Bitte? Da stimmt dann aber was mit der Hardware nicht...
    Wir fahren mit LiveConfig auch regelmäßig mal Lasttests mit >10.000 Domains in einem Vertrag, auch da dauert die Erstellung der .conf-Dateien keine Sekunde.
    Steht der Server vielleicht recht "unter Dampf"? Ein hoher I/O auf dem Server insgesamt wäre die enizige Erklärung, warum das so lange dauert.
    Naja gut, er ist im laufenden Betrieb, aber hat eigentlich reichlich Reserven und mit den restlichen Systemdiensten gibt es auch keine Probleme - die .conf mit dem Web hat 12 MB Größe.

    Ein Apache-Reload dauert etwa 10 Sekunden. Ich hab mal ein Tempfile mit DD geschrieben:

    Code:
    # dd if=/dev/zero of=tempfile bs=1M count=1024 conv=fdatasync,notrunc
    1024+0 Datensätze ein
    1024+0 Datensätze aus
    1073741824 Bytes (1,1 GB, 1,0 GiB) kopiert, 3,88818 s, 276 MB/s
    Nicht überragend, aber auch nicht grottig schlecht würde ich sagen.

    Warum hier 1 GiB keine 4 Sekunden dauert, die web.conf von Liveconfig mit 12 MB Größe aber solange braucht wüsste ich allerdings auch gerne Wie könnte man das genauer eruieren bzw. wo könnte da ein Ansatz für eine Bremse sein?

  8. #8
    Benutzer
    Registriert seit
    04.11.2012
    Ort
    Wuppertal
    Beiträge
    30
    /.well-known/acme-challenge/VKqmkl70BSwL40Rz63Wl3vwUdHFPqGsuRMsNsA8Xqac

    Ordner und Datei auf dem ftp vorhanden?

    Oder eine Permanente Weiterleitung unter Domains gestellt?

    Wenn z.B Domain.d auf www.domain.de weiterleitet kommt es auch zu diesem Fehler wie ich feststellen musste.

    Mein Problem, alles leitet auf https weiter :

    domain.de -> https://domain.de
    www.domain.de -> https://domain.de
    https://www.domain.de -> https://domain.de

    und dadurch kann das Zertifikat nicht verifiziert werden da LE unter domain.de sucht und nicht mit https.

    Hoffe du verstehst was ich meine.

    Gruß WU
    >> Manchen gab Gott die Kraft Dinge zu verändern, mir gab er die Kraft zu ertragen was ich nicht ändern kann! <<

  9. #9
    Erfahrener Benutzer
    Registriert seit
    15.02.2016
    Beiträge
    288
    Das geht doch an der Weiterleitung vorbei. Vereinfacht gesagt wird alles weitergeleitet ausser die Challenge. Die Weiterleitung spielt also keine Rolle.
    Das Gras wächst nicht schneller wenn man daran zieht.

    Bitte keine unnötigen Vollzitate. "Antworten" genügt meistens!

  10. #10
    Benutzer
    Registriert seit
    04.11.2012
    Ort
    Wuppertal
    Beiträge
    30
    Bei mir nicht.
    Ich muss jedes mal die Weiterleitung auf https weg nehmen damit ich die Zertifikate aktualisieren kann.

    Gruß WU
    >> Manchen gab Gott die Kraft Dinge zu verändern, mir gab er die Kraft zu ertragen was ich nicht ändern kann! <<

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •