[Eisfair] Problem bei certs_dehydrated Zertifikat Update?

[Juergen Edner]

Hallo Detlef,

> heute Nacht sollte ein Zertifikat Update von certs_dehydrated
> durchgeführt werden, schief gelaufen ist, da, wie ich finden konnte,
> alle Zugriffe auf /.well-known/acme-challenge in HTTP-Code 403 enden.
> 
> error_log
> [Sun Feb 05 10:09:50.382965 2023] [rewrite:error] [pid 25666:tid
> 140118862059072] [client 91.45.54.62:50204] AH00670: Options
> FollowSymLinks and SymLinksIfOwnerMatch are both off, so the RewriteRule
> directive is also forbidden due to its similar ability to circumvent
> directory restrictions : /var/www/htdocs/certs_dehydrated
> 
> Port 80 und 443 sind bei mir dauerhaft offen.

die Meldung scheint mir eher vom Apache2-Webserver als vom Paket zu 
kommen. Vielleicht werden seit dem letzten Update Parameter etwas anders 
behandelt.

> Als Zwischenlösung habe ich in
> /etc/apache2/mods-enabled/certs_dehydrated.conf die Zeile "Options None"
> auskommentiert und damit greift das Standardmäßige "Options
> FollowSymLinks" in Apache2.
> Aber beim nächsten Paket-Update von certs_dehydrated ist das wieder weg
> und das war zuvor nicht nötig. Und die Einträge in
> /etc/apache2/mods-enabled/certs_dehydrated.conf entsprechen dem, was
> überall zu finden ist.
> Was ist denn hier auf einmal anders?

Es wäre auch möglich, dass die Apache2-Konfigurationsdateien in einer 
anderen Reihenfolge abgearbeitet werden als zuvor, weil Du z.B. eine 
andere Konfiguration ergänzt hast, die alphabetisch vorher abgearbeitet 
wird. Im certs_dehydrated-Paket gibt es den optionalen Parameter 
DEHYDRATED_APACHE2_PREFIX='zz-04' über den man einen Prefix für die 
Konfigurationsdatei festlegen kann. Im Beispiel wird der Datei z.B. 
'zz-04' vorangestellt, was dafür sorgt, dass die Datei erst ganz am Ende 
und dort an vierter Stelle geladen wird.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org