Server Support Forum
Problem mit Letsencrypt auf Wordpress Site

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 11.02.2017, 13:48
tsk tsk ist offline
Registered User
 
Registriert seit: 01.2011
Ort: Vaals, Niederlande
Beiträge: 153
Problem mit Letsencrypt auf Wordpress Site

Hallo zusammen,

ich habe ein Problem mit der Erneuerung von Letsencrypt Zertifikaten auf einer Wordpress Installation. Dies muss an meiner derzeitigen Apache Konfiguration liegen, denn vor der Installation von Wordpress funktionierte die Erstausstellung wie auch per dry-run ausgeführte Erneuerungen.

Der wahrscheinlich relevante Teil des virtual host (domain anonymisiert):

Code:
<IfModule mod_ssl.c>
    <VirtualHost *:443>
        ServerName www.mydomain.test
        ServerAlias smtp.mydomain.test imap.mydomain.test pop.mydomain.test mydomain.test zeus.mydomain.test
	DocumentRoot /var/www/mydomain/public_html
	. . .
	. . .
	. . . 
        <Directory "/var/www/mydomain/public_html/.well-known">
            Options -Indexes
            Require all granted
        </Directory>

        <Directory "/var/www/mydomain/public_html">
            Require all granted
            DirectoryIndex index.php
            AllowOverride FileInfo
            Options FollowSymLinks
            FallbackResource /index.php
            # Deny access to No-Referrer Requests
            # (Spam Bots which don't use comment form)
            <IfModule mod_rewrite.c>
                 RewriteCond %{REQUEST_METHOD} POST
                 RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
                 RewriteCond %{HTTP_REFERER} !.*mydomain.test.* [OR]
                 RewriteCond %{HTTP_USER_AGENT} ^$
                 RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]
            </IfModule>
        </Directory>
. . .
Bei Zugriff des certbot auf .well-known erfolgt ein 403. Lege ich unter .well-known (derzeit chmod 775) eine Testdatei an, so kann ich sie im Browser aufrufen. Jetzt geht mir die Puste aus, und meine Zertifikate laufen zeitnah aus.

Ein dry-run bei der Zertifikatserneuerung führt hierzu (nur der Teil mit den Fehlern)
Code:
Attempting to renew cert from /etc/letsencrypt/renewal/mydomain.test.conf produced an unexpected error: Failed authorization procedure. mydomain.test (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to www.mydomain.test.well-known, maximus.mydomain.test (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to maximus.mydomain.test.well-known, imap.mydomain.test (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to www.mydomain.test.well-known, zeus.mydomain.test (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to www.mydomain.test.well-known, smtp.mydomain.test (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to www.mydomain.test.well-known, www.mydomain.test (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to www.mydomain.test.well-known, pop.mydomain.test (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to www.mydomain.test.well-known. Skipping.
Langsam wächst die Panik. Wäre für jede Unterstützung dankbar.
Mit Zitat antworten

  #2  
Alt 11.02.2017, 14:20
XioniX XioniX ist offline
Registered User
 
Registriert seit: 08.2006
Beiträge: 290
maximus.mydomain.test wird nicht vom Apache ausgeliefert.

Edit: Existieren entsprechende http-->https Weiterleitungen? Oder ist der .well-known Ordner auch unter http erreichbar?

Geändert von XioniX (11.02.2017 um 16:12 Uhr)
Mit Zitat antworten
  #3  
Alt 11.02.2017, 14:32
tsk tsk ist offline
Registered User
 
Registriert seit: 01.2011
Ort: Vaals, Niederlande
Beiträge: 153
Die maximus subdomain soll nicht immer aktiv sein. Ursprünglich war sie für rein administrative Zwecke gedacht. Sie wird vom Renew script gestartet, und danach wieder disabled.

Code:
./certbot-auto renew --dry-run --keep-until-expiring --pre-hook "a2ensite maximus.mydomain.test-ssl && systemctl reload apache2" --post-hook "a2dissite maximus.mydomain.test-ssl && systemctl reload apache2"
Die Default Site www.mydomain.test ist ssl-only. Von der non-www Site erfolgt ein permanenter Redirect auf die Default (ssl) Site

EDIT: ich habe die maximus subdomain zum Test permanent aktiviert. Gleiches Ergebnis.

Geändert von tsk (11.02.2017 um 14:42 Uhr)
Mit Zitat antworten
  #4  
Alt 11.02.2017, 15:11
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 2.970
Der Meldungsteil http-01 weist darauf hin, dass die Domain nicht per http erreichbar ist.
Der LE client will das aber.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #5  
Alt 11.02.2017, 15:47
tsk tsk ist offline
Registered User
 
Registriert seit: 01.2011
Ort: Vaals, Niederlande
Beiträge: 153
uff - das würde es erklären. Ich habe überall Redirects von http auf https. Wie gehe ich denn damit am besten um, wenn ich keine non-ssl Sites will?
Mit Zitat antworten
  #6  
Alt 11.02.2017, 16:06
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 2.970
Vermutung: certbot braucht auch redirect.
Code:
--redirect
https://certbot.eff.org/docs/using.h...d-line-options

Notfalls auch mal mit --verbose laufen lassen.
__________________
die Gwen, also die Drachin... nix anderscht!

Geändert von GwenDragon (11.02.2017 um 16:08 Uhr)
Mit Zitat antworten
  #7  
Alt 11.02.2017, 16:10
tsk tsk ist offline
Registered User
 
Registriert seit: 01.2011
Ort: Vaals, Niederlande
Beiträge: 153
Holy Cow: Die Lösung war viel banaler. Um https überall zu erzwingen hatte ich auf Port 80 folgendes:

Code:
<VirtualHost *:80>
       ServerName mydomain.test
       Redirect permanent / https://www.mydomain.test
</VirtualHost>

<VirtualHost *:80>
       ServerName www.mydomain.test
       Redirect permanent / https://www.mydomain.test
</VirtualHost>
Man beachte den fehlenden "/" hinter der Domain. Ich Depp, ich.
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Merkwürdiges Problem bei Installation von ffmpeg-php Teco Dedizierte Server 8 21.03.2008 01:58
Secure Site to Site funktionier nicht - proftpd CoTTo FTP 2 01.11.2007 13:55
ERR Login Incorrect (problem creating SMTP socket) suwic Mail 1 12.08.2007 14:33
VSFTPD und Site to Site fremd FTP 4 02.08.2006 23:47
postfix + smtp auth Isch2k Mail 11 05.10.2005 13:59


Problem mit Letsencrypt auf Wordpress Site
Problem mit Letsencrypt auf Wordpress Site
Problem mit Letsencrypt auf Wordpress Site Problem mit Letsencrypt auf Wordpress Site
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.