[Eisfair] Wie üblich: Problem mit Certs und selbstsignierten Zertifikaten

Dirk Alberti Howy-1 at gmx.de
So Apr 16 20:12:29 CEST 2017 

Hallo Jürgen,

Am 16.04.2017 um 19:22 schrieb Juergen Edner:
> Hallo Dirk,
>
>> wiedermal habe ich dasselbe Problem wie immer mit Certs beim> selbstsignieren des Serverzertifikates.> > Ich bin von neu erstellen
> des Keys an das ganze Menü Schritt für Schritt> durchgegangen und wieder
> bleibe ich beim signieren hängen:
> ich weiß nicht was Du für ein CA-Zertifikat verwendest. Falls es noch
> ein CA-Zertifikat mit dem schon seit Jahren als unsicher eingestuften
> SHA1-Hash ist, könnte dies auch zu einem Problem führen.

dieses habe ich grad eben nochmal überprüft, weil es schon in einem 
andere Thread erwähnt wurde.


eisfair # openssl x509 -in /usr/local/ssl/certs/ca.pem  -noout -text | 
\grep "Signature Algorithm"
     Signature Algorithm: sha384WithRSAEncryption
     Signature Algorithm: sha384WithRSAEncryption


Sollte also nicht das Problem sein.

>> Eine Nebenfrage bezüglich certs_dehydrated:  Bedeutet der Einsatz von
>> certs_dehydrated, dass meine Zertifikate nicht mehr mit der eigenen CA
>> signiert werden müssen?
> Dies ist korrekt, da Du dann ein offizielles Let's Encrypt Zertifikat
> erhältst welches von der zugehörigen CA signiert wurde.
>
>> Es gibt zwar die Doku zum Paket, aber die ist für jemand, der eh mit
>> Certs auf Kriegsfuß steht nicht wirklich hilfreich. Ich hatte gehofft,
>> dass damit das eigene Zertifikat "offiziell" signiert würde, aber das
>> habe ich wohl missverstanden.
> Dies ist nur bedingt korrekt, da Du generell keine eigene Zertifikats-
> anforderung erstellen musst. Dies wird in Gänze vom Paket gemacht.

Ok, damit wäre ja quasi das ganze Gedöns mit der Zertifikatserstellung 
und Selbstsignierung erledigt und man bräuchte sich damit gar nicht mehr 
herumzuschlagen?   Das wäre ja fast zu schön, um wahr zu sein.  ;-)


Beim Durchlauf von Certs_dehydrated bekomme ich jetzt dieses im Log 
(beschnitten und Server-URL geändert):

+ Responding to challenge for ******.no-ip.biz...
ERROR: Challenge is invalid! (returned: invalid) (result: {
   "type": "http-01",
   "status": "invalid",
   "error": {
     "type": "urn:acme:error:unauthorized",
     "detail": "Invalid response from 
http://******/.well-known/acme-challenge/6ai94pw8Nmsf__VlDSaFfk4MVfoXZIZEa3WHvw-OwxM: 
\"\u003c!DOCTYPE HTML PUBLIC \"-//I
ETF//DTD HTML 
2.0//EN\"\u003e\n\u003chtml\u003e\u003chead\u003e\n\u003ctitle\u003e403
  Forbidden\u003c/title\u003e\n\u003c/head\u003e\u003cbody\u003e\n\u003ch1\u003eForbid
den\u003c/h1\u003e\n\u003cp\"",
     "status": 403
   },
   "uri": 
"https://acme-v01.api.letsencrypt.org/acme/challenge/RrITbg17VDLrj2nylp9EVNR
uEGVbw8baE-8AOkxBtQg/1033861733",
   "token": "6ai94pw8Nmsf__VlDSaFfk4MVfoXZIZEa3WHvw-OwxM",
   "keyAuthorization": 
"6ai94pw8Nmsf__VlDSaFfk4MVfoXZIZEa3WHvw-OwxM.lrpGLkw63SYVyZjuq5
yXB8VfKOnF_ry4aGrySH_RUA0",
   "validationRecord": [
     {
       "url": 
"http://******.no-ip.biz/.well-known/acme-challenge/6ai94pw8Nmsf__VlDS
aFfk4MVfoXZIZEa3WHvw-OwxM",
       "hostname": "******.no-ip.biz",
        "port": "80",
       "addressesResolved": [
         "91.22.95.243"
       ],
       "addressUsed": "91.22.95.243"
     }
   ]
})



In /var/www/htdocs  gibts aber auch keine /.well-known/, dafür aber 
einen Ordner /certs_dehydrated mit einer index.html

Zuerst hatte ich in Apache SSL eingeschaltet, wodurch dieser aufgrund 
fehlenden Zertifikates nicht lief. Ok, dann eben ohne SSL, mit laufendem 
Apache, aber da bekam ich auch dieses Log.

Und nun waren es wohl einige Versuche zu viel:

  Details:
{
   "type": "urn:acme:error:rateLimited",
   "detail": "Error creating new authz :: Too many invalid 
authorizations recently.",
   "status": 429
}

Hoffentlich bin ich da nicht zu lange gesperrt!



> Gruß Jürgen

Gruß

Dirk

Mehr Informationen über die Mailingliste Eisfair