[Eisfair] Certs_dehydrated dns-01 challenge mit Cloudflare

Juergen Edner juergen at eisfair.org
Mi Nov 4 15:31:11 CET 2020 

Hallo Christian,

> vielen Dank für den Schubs in die richtige Richtung.
> Zwar sind meine Bemühungen noch nicht von Erfolg gekrönt aber ich bin 
> schon mal ein Stück weiter gekommen.
> Weil aber beim speichern der Konfiguration immer wieder die 
> '/var/install/bin/certs_dehydrated-hook' gesetzt wird und dadurch die 
> cfhookbash hook irgentwie ignoriert wird, habe ich das in der Datei /var 
> /install/config.d/certs_dehydrated.sh in Zeile 291 geändert.

warum leicht wenn es auch kompliziert geht :-(

Das genannte Skript is essentiell für die korrekte Konfiguration
des Paketes und darf AUF KEINEN FALL modifiziert werden!

Die Schnittstelle für den Hook-Aufruf externer Skripte ist EINZIG
die Konfigurationsdatei in welcher die folgenden Parameter gesetzt
werden müssen:

DEHYDRATED_HOOK_CMD_x_ACTIVE
DEHYDRATED_HOOK_CMD_x_TYPE
DEHYDRATED_HOOK_CMD_x_EXEC
DEHYDRATED_HOOK_CMD_1_OPTIONS

> Leider hänge ich jetzt nachdem ich die Konfiguration speicher und 
> aktivere hier:

Klar, wenn man an den Skripten herumdoktert kann dies nur schief
gehen ;-)

>> ...
>>  + 1 pending challenge(s)
>>  + Deploying challenge tokens...
>>   % Total    % Received % Xferd  Average Speed   Time    Time     
>> Time  Current
>>                                  Dload  Upload   Total   Spent    
>> Left  Speed
>>   0     0    0     0    0     0      0      0 --:--:-- --:--:-- 
>> --:--:--     0
>> curl: (60) SSL certificate problem: unable to get local issuer 
>> certificate
>> More details here: https://curl.haxx.se/docs/sslcerts.html
>>
>> curl failed to verify the legitimacy of the server and therefore could 
>> not
>> establish a secure connection to it. To learn more about this 
>> situation and
>> how to fix it, please visit the web page mentioned above.

Wie sieht genau der curl-Aufruf in Deinem Skript aus? Du musst sicher 
stellen, dass der Befehl gegebenenfalls den Zertifikatspfad 
/usr/local/ssl/certs kennt und darüber hinaus die Zertifikatskette zum 
Zielserver korrekt geprüft werden kann. Dazu ist es erforderlich dass 
sich das benötigte Root- und gegebenenfalls die erforderlichen 
Zwischenzertifikate auf dem Server befinden. Mit Hilf des Skriptes 
"certs-show-chain" kannst Du dies prüfen.

ERST, wenn das Skript auf der Konsole fehlerfrei läuft rufst Du es
dann über das certs_dehydrated-Paket auf ;-)

Gruß Jürgen

-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair