[Eisfair] Certs_dehydrated Problem
Dirk Alberti
Howy-1 at gmx.de
Mo Apr 17 00:48:17 CEST 2017
Hallo zusammen,
ich habe mal für das Problem ein neues Thema aufgemacht, weil es nicht
direkt mit Certs zu tun hat.
Beim erstellen eines Zertifikates für meinen Server hatte ich diese
Anzeige und Logeinträge:
+ Responding to challenge for ******.no-ip.biz...
ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:unauthorized",
"detail": "Invalid response from
http://******/.well-known/acme-challenge/6ai94pw8Nmsf__VlDSaFfk4MVfoXZIZEa3WHvw-OwxM:
\"\u003c!DOCTYPE HTML PUBLIC \"-//I
ETF//DTD HTML
2.0//EN\"\u003e\n\u003chtml\u003e\u003chead\u003e\n\u003ctitle\u003e403
Forbidden\u003c/title\u003e\n\u003c/head\u003e\u003cbody\u003e\n\u003ch1\u003eForbid
den\u003c/h1\u003e\n\u003cp\"",
"status": 403
},
"uri":
"https://acme-v01.api.letsencrypt.org/acme/challenge/RrITbg17VDLrj2nylp9EVNR
uEGVbw8baE-8AOkxBtQg/1033861733",
"token": "6ai94pw8Nmsf__VlDSaFfk4MVfoXZIZEa3WHvw-OwxM",
"keyAuthorization":
"6ai94pw8Nmsf__VlDSaFfk4MVfoXZIZEa3WHvw-OwxM.lrpGLkw63SYVyZjuq5
yXB8VfKOnF_ry4aGrySH_RUA0",
"validationRecord": [
{
"url":
"http://******.no-ip.biz/.well-known/acme-challenge/6ai94pw8Nmsf__VlDS
aFfk4MVfoXZIZEa3WHvw-OwxM",
"hostname": "******.no-ip.biz",
"port": "80",
"addressesResolved": [
"91.22.95.243"
],
"addressUsed": "91.22.95.243"
}
]
})
Für mich besagt dass, dass auf meinem Server
".../.well-known/acme-challenge/......" nicht zu finden ist.
Dafür habe ich den Ordner /var/www/htdocs/certs_dehydrated, der
wahrscheinlich vom Setup des Paketes erstellt wurde.
Nach einigem googeln fand ich heraus, dass man im Apachen einen Alias
|/.well-known/acme-challenge auf ||/var/www/htdocs/certs_dehydrated/
erstellen müsste. Danach lief die Zertifikatserstellung phne Probleme
durch.|
|Nur der Apache meckerte dann beim Neustart, dass dieser Alias schon
besteht! Und siehe da, es besteht (wohl vom certs_dehydrated-Setup her)
eine Datei /etc/apache2/mods-enabled/certs_dehydrated.conf besteht.
Nur anscheinend funktioniert sie nicht.
Der von mir erstellte Alias im Apachen erst brachte die Funktion.|
|
|
|Nun ist das Zertifikat erstellt und der Apache startet auch wieder mit
eingeschaltetem SSL. Doch das Zertifikat scheint immer noch nicht
signiert zu sein. Dauert das eine gewisse Zeit, oder wie läuft das?|
|
|
|Beim Chain-Check erhalte ich:|
|* │
│| certificate : ******.no-ip.biz.pem
(fd7013a4) │
│| subject : /CN=******.no-ip.biz │
│| issuer : /CN=Fake LE Intermediate
X1 │
│| MD5 f-print : CE:17:D4:9C:8D:16:F6:A3:F9:5F:23:C5:AC:30:78:D9 │
│| SHA1 f-print:
0E:CE:28:CB:F2:FE:22:BB:9F:EA:6A:33:E2:3F:77:FF:74:B1:29:ED │
│| │
│+->| certificate : fake_le_intermediate_x1.pem
(0a3654cf) │
│ | subject : /CN=Fake LE Intermediate
X1 │
│ | issuer : /CN=Fake LE Root
X1 │
│ | MD5 f-print : 5E:DE:46:F8:43:26:16:E5:77:71:57:88:CC:81:50:2F │
│ | SHA1 f-print:
4E:EE:73:98:C1:A3:DA:F9:1D:A1:66:89:DB:82:43:92:7A:27:1B:9A │
│ | │
│ +-> Error: file '/usr/local/ssl/certs/5a7a72df.0'
missing! │
│ │
│checking certificate chain: ******.no-ip.biz.pem: CN = Fake LE
Intermediate X1 │
│error 2 at 1 depth lookup:unable to get issuer certificate
|
|
|
|Was hat das zu bedeuten? Der Firefox brachte mir auch die Meldung,
dass das Zertifikat von unbekannter Herkunft wäre.|
|
|
|Gruß|
|Dirk
|
Mehr Informationen über die Mailingliste Eisfair