[Eisfair] Problem bei certs_dehydrated Zertifikat Update?

Detlef Paschke schabau at t-online.de
Mo Feb 6 12:52:28 CET 2023 

Am 06.02.2023 um 09:59 schrieb Juergen Edner:
> Hallo Detlef,

Hallo Juergen,

>> error_log
>> [Sun Feb 05 10:09:50.382965 2023] [rewrite:error] [pid 25666:tid
>> 140118862059072] [client 91.45.54.62:50204] AH00670: Options
>> FollowSymLinks and SymLinksIfOwnerMatch are both off, so the RewriteRule
>> directive is also forbidden due to its similar ability to circumvent
>> directory restrictions : /var/www/htdocs/certs_dehydrated
>>
>> Port 80 und 443 sind bei mir dauerhaft offen.
> 
> die Meldung scheint mir eher vom Apache2-Webserver als vom Paket zu 
> kommen. Vielleicht werden seit dem letzten Update Parameter etwas anders 
> behandelt.

in dieser Richtung dachte ich auch, dass letzte Update von
certs_dehydrated ist auch schon länger her, wie ich meine.


>> Als Zwischenlösung habe ich in
>> /etc/apache2/mods-enabled/certs_dehydrated.conf die Zeile "Options None"
>> auskommentiert und damit greift das Standardmäßige "Options
>> FollowSymLinks" in Apache2.
>> Aber beim nächsten Paket-Update von certs_dehydrated ist das wieder weg
>> und das war zuvor nicht nötig. Und die Einträge in
>> /etc/apache2/mods-enabled/certs_dehydrated.conf entsprechen dem, was
>> überall zu finden ist.
>> Was ist denn hier auf einmal anders?
> 
> Es wäre auch möglich, dass die Apache2-Konfigurationsdateien in einer 
> anderen Reihenfolge abgearbeitet werden als zuvor, weil Du z.B. eine 
> andere Konfiguration ergänzt hast, die alphabetisch vorher abgearbeitet 
> wird. Im certs_dehydrated-Paket gibt es den optionalen Parameter 
> DEHYDRATED_APACHE2_PREFIX='zz-04' über den man einen Prefix für die 
> Konfigurationsdatei festlegen kann. Im Beispiel wird der Datei z.B. 
> 'zz-04' vorangestellt, was dafür sorgt, dass die Datei erst ganz am Ende 
> und dort an vierter Stelle geladen wird.

Das habe ich ausprobiert, dass hat leider keinerlei Veränderung gebracht.

So wie ich zwischenzeitlich in anderen Beiträgen gelesen habe, habe ich
in der /etc/apache2/mods-enabled/certs_dehydrated.conf jetzt diese Zeile
angegeben.

Options FollowSymLinks MultiViews

Damit funktioniert es erst mal aber wie es bei eisfair nun mal leider so
ist, bei jedem Update oder schließen der Konfiguration ist die Zeile
wieder im Ausgangszustand.
Das Zertifikat Update ist erst mal durchgelaufen. Ich hatte zwar kurz
Ärger mit meinem Roundcube VHOST, dass war aber meine Schuld. Den hatte
ich irgend wann dummerweise auf APACHE2_VHOST_N_SSL_FORCE='yes' gestellt.

Ich habe auch die Möglichkeit, auf dns-01 umzusteigen und solchen
Problemen damit aus dem Weg zu gehen. Aber es tut mir Leid, ich verstehe
die Doku an dieser Stelle einfach nicht. Ich sehe zwar den Unterschied
der Challenge-Typen, aber ich bin einfach zu blöd um zu begreifen, wie
ich einen anderen als den Standard http-01 einzurichten habe.

Ich habe von meinem Domainanbieter eine Adresse und einen API-Token für
die DNS-01 Validation. In die Adresse muss neben dem API-Token, die
Domain und der Wert für den neuen TXT-Record. Das hat wenn ich es
richtig verstehe, certs_dehydrated als Umgebungsvariablen zur Verfügung.
(DOMAIN, TOKEN_VALUE)
Dann würde die Adresse so aussehen.

https://my.do.de/api/letsencrypt?token=XXX&domain=_acme-challenge.DOMAIN&value=TOKEN_VALUE

Aber wo muss ich die Zeile nun eintragen? Ich sehe es einfach nicht.

> Gruß Jürgen

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu

Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair