[Eisfair] [E64]: dehydrated: unauthorized

Rolf Bensch azubi at bensch-net.de
So Mai 29 16:54:50 CEST 2022 

Hallo Marcus,

Am 29.05.22 um 15:16 schrieb Marcus Röckrath:
>...
>> Aktuell
>> problematisch ist m.E. nur das Laufzeitverhalten der Aktivierung/Sperrung.
> 
> Und genau da habe ich bei meiner 7490 niemals etwas feststellen können; ein
> neues Portforwarding ist augenblicklich verfügbar.

Auf einer 7590 ist das auch in der GUI sichtbar. Nach [OK] wird die Einstellung geschrieben, in der anschließenden Übersicht ist der Port aber nie [de/]aktiv. Hier muss man grundsätzlich [aktualisieren] wählen um das Ergebnis der Änderung zu sichten.

>> Das habe ich versucht mit einem "sleep 5" in einem Script zu beheben
>> (vergl: "certs, LE Certifikat, hat mal funktioniert, jetzt nicht mehr"). 2
>> Intervalle hat das gut funktioniert, heute nicht mehr. Wenn jetzt Jürgen
>> nicht noch eine Idee hat, geht's wieder zurück zu http-01 und sleep wird
>> verlängert.
> 
> Tut doch auch nicht weh, dem eine ganze Minute Zeit zu lassen, oder?

Nein, nicht wirklich. Ich glaube aber, ich bin auf dem falschen Weg. Habe soeben wieder htt-01 aktiviert und erhalte wieder keinen erfolgreichen Challenge. Auffallend hier, der http-Result ist 403. D.h. der Server wird grundsätzlich erreicht und er gibt auch Antwort. Bleibt die Frage, weshalb er den Zugriff verweigert.

["error"]       {"type":"urn:ietf:params:acme:error:unauthorized","detail":"46.12.34.196: Invalid response from http://www.my.domain/.well-known/acme-challenge/e7fMQLVIls0Q_xQfEO67GGDsnEz51VEU-Q8R1JmL9ZQ: 403","status":403}

Diesen Fehler erhielt ich auch heute Nacht. Meine Schlussfolgerung "Funktioniert wieder nicht" == "Fehler in der FB-Portfreigabe" war also voreilig.

Um ein Rechteproblem auszuschließen habe ich dehydrated re-installiert. Das Ergebnis bleibt bei 403, ein Browser liefert entsprechend "forbidden". Woher kommt das? /etc/apache2/mods-enabled/certs-dehydrated.conf wurde neu erstellt und sieht m.E. gut aus:

Alias /.well-known/acme-challenge /var/www/htdocs/certs_dehydrated

   <Directory /var/www/htdocs/certs_dehydrated>
     Options None
     AllowOverride None
     Require all granted
     Header add Content-Type text/plain
     DirectoryIndex index.html
   </Directory>

Apache2/ssl_request_log zum Challenge:

   [29/May/2022:16:12:53 +0200] 46.94.122.196 TLSv1.3 TLS_AES_256_GCM_SHA384 "GET /.well-known/acme-challenge/2WtF0dJ9iFGMP6rVHh0TbOUum5TVeDyN05oP0rIi2KU HTTP/1.1" 199

Andere Apache-Logfiles geben nichts her.

Hat jemand eine Idee?

Grüße

Rolf

Mehr Informationen über die Mailingliste Eisfair