Lets Encrypt Zertifikatserneuerung funktioniert nicht

MarkusF · September 30, 2020, 2:13pm

Hallo,

ich musste leider feststellen, das die Verlängerung des Let’s Encrypt Zertifikates nicht geklappt hat.
Also dachte ich mir “Machst kurz Self Signed und dann wieder Let’s Encrypt”…

klappt leider nicht und nun häng ich beim Self Signed Zertifikat fest.

Log:

root@ifens3:/# journalctl -u certmanager
– Logs begin at Wed 2020-09-16 08:35:34 UTC, end at Wed 2020-09-30 13:53:17 UTC. –
Sep 30 13:34:04 ifens3 systemd[1]: certmanager.service: Failed to reset devices.list: Operation not permitted
Sep 30 13:34:04 ifens3 systemd[1]: Starting Manage certificate…
Sep 30 13:34:05 ifens3 certmanager[143]: Managing certificate [tk.xyz.de]
Sep 30 13:34:05 ifens3 certmanager[143]: Manage lets encrypt certifcate
Sep 30 13:34:05 ifens3 certmanager[143]: Setting up acmetool
Sep 30 13:34:07 ifens3 certmanager[143]: Removed [*] from lets encrypt handler
Sep 30 13:34:07 ifens3 certmanager[143]: Requesting certificate for [tk.xyz.de]
Sep 30 13:34:21 ifens3 certmanager[143]: /etc/ssl/certs/cs-tls-cert.pem: OK
Sep 30 13:34:21 ifens3 certmanager[143]: Certificate seems to be ok
Sep 30 13:34:21 ifens3 certmanager[143]: Certificate has changes, reloading services
Sep 30 13:34:21 ifens3 certmanager[143]: Reloading apache
Sep 30 13:34:21 ifens3 certmanager[143]: AH00558: apache2: Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1. Set the ‘ServerName’ directive globally to suppress this message
Sep 30 13:34:22 ifens3 certmanager[143]: Present changed certificate to controller
Sep 30 13:34:22 ifens3 certmanager[143]: Done
Sep 30 13:34:22 ifens3 systemd[1]: Started Manage certificate.
Sep 30 13:43:08 ifens3 systemd[1]: certmanager.service: Failed to reset devices.list: Operation not permitted
Sep 30 13:43:08 ifens3 systemd[1]: Starting Manage certificate…
Sep 30 13:43:08 ifens3 certmanager[145]: Managing certificate [tk.xyz.de]
Sep 30 13:43:08 ifens3 certmanager[145]: Manage self signed certificate
Sep 30 13:43:08 ifens3 certmanager[145]: Checking previously created certificate
Sep 30 13:43:08 ifens3 certmanager[145]: /etc/ssl/certs/cs-tls-cert.pem: OK
Sep 30 13:43:08 ifens3 certmanager[145]: Certificate CN [123.123.123.123] does not match public Adress [tk.xyz.de]
Sep 30 13:43:08 ifens3 certmanager[145]: Re-creating self signed certificate, something is wrong
Sep 30 13:43:08 ifens3 certmanager[145]: Create new self signed certificate and private key
Sep 30 13:43:08 ifens3 certmanager[145]: Generating a RSA private key
Sep 30 13:43:08 ifens3 certmanager[145]: …+++++
Sep 30 13:43:08 ifens3 certmanager[145]: …+++++
Sep 30 13:43:08 ifens3 certmanager[145]: writing new private key to ‘/etc/ssl/private/cs-selfsigned.key’
Sep 30 13:43:08 ifens3 certmanager[145]: -----
Sep 30 13:43:08 ifens3 certmanager[145]: Cannot write random bytes:
Sep 30 13:43:08 ifens3 certmanager[145]: 139632934587264:error:2407007A:random number generator:RAND_write_file:Not a regular file:…/crypto/rand/randfile.c:163:Filename=/dev/urandom
Sep 30 13:43:08 ifens3 certmanager[145]: /etc/ssl/certs/cs-tls-cert.pem: OK
Sep 30 13:43:08 ifens3 certmanager[145]: Certificate seems to be ok
Sep 30 13:43:08 ifens3 certmanager[145]: Certificate has changes, reloading services
Sep 30 13:43:08 ifens3 certmanager[145]: Reloading slapd
Sep 30 13:43:08 ifens3 certmanager[145]: Present changed certificate to controller
Sep 30 13:43:08 ifens3 certmanager[145]: Done
Sep 30 13:43:08 ifens3 systemd[1]: Started Manage certificate.

DNS:

dig +short a tk.xyz.de
123.123.123.123

dig +short aaaa tk.xyz.de

Für mich schaut es laut log aus, das er als CN in das Zertifikat die IP Adresse einträgt und nicht die richtige Domain.
Die DNS Auflösung passt auf alle fälle und es ist auch kein AAAA Record gepflegt.

(Domain und IP entfernt, und durch Dummys ersetzt)

Kennt hier jemand die Lösung?

Linuxuser · September 30, 2020, 4:26pm

Hallo @MarkusF,

hatte ein ähnliches Problem. Mir konnte nur der Support helfen, da es mit den Boardmitteln gar nicht mehr funktioniert hat.

Antwort vom Support:

das Zertifikat musste manuell per acmetool neu angefragt und im Anschluss in die richtigen Verzeichnisse importiert werden.

Ich habe dies intern noch einmal weitergegeben, da das Skript welches den automatischen austausch des Zertifikats regelt(wenn 30 Tage gültig) untersucht werden muss.

Gruß

tweber · October 1, 2020, 2:59pm

@MarkusF vielleicht magst Du uns beim Debugging helfen:

Erstmal anmelden etc:

ssh admin@deinsystem
sudo su
lxc-attach ifDEININTERFACE

Versuchen wir das Zertifikat aktuell zu halten?

journalctl -u certmanager.timer

Was passiert dabei?

journalctl -u certmanager.service

Was passiert bei interaktiv aufruf?

certmanager

Danke!

MarkusF · October 1, 2020, 7:27pm

Hallo tweber,

root@ifens3:/# journalctl -u certmanager.timer
-- Logs begin at Wed 2020-09-16 08:35:34 UTC, end at Thu 2020-10-01 18:58:27 UTC. --
Sep 30 13:34:03 ifens3 systemd[1]: Started Keep certs fresh.
Sep 30 13:43:07 ifens3 systemd[1]: Started Keep certs fresh.

root@ifens3:/# journalctl -u certmanager.service
-- Logs begin at Wed 2020-09-16 08:35:34 UTC, end at Thu 2020-10-01 18:58:27 UTC. --
[...Ausgabe von oben....]
Oct 01 00:45:48 ifens3 systemd[1]: **certmanager.service: Faied to reset devices.list: Operation not permitted**
Oct 01 00:45:48 ifens3 systemd[1]: Starting Manage certificate...
Oct 01 00:45:49 ifens3 certmanager[1213]: Managing certificate [tk.webked.de]
Oct 01 00:45:49 ifens3 certmanager[1213]: Manage self signed certificate
Oct 01 00:45:49 ifens3 certmanager[1213]: Checking previously created certificate
Oct 01 00:45:49 ifens3 certmanager[1213]: /etc/ssl/certs/cs-tls-cert.pem: OK
Oct 01 00:45:49 ifens3 certmanager[1213]: Certificate seems to be ok
Oct 01 00:45:49 ifens3 certmanager[1213]: /etc/ssl/certs/cs-tls-cert.pem: OK
Oct 01 00:45:49 ifens3 certmanager[1213]: Certificate seems to be ok
Oct 01 00:45:49 ifens3 certmanager[1213]: Certificate was not changed
Oct 01 00:45:49 ifens3 certmanager[1213]: Done
Oct 01 00:45:49 ifens3 systemd[1]: Started Manage certificate.
Oct 01 11:48:48 ifens3 systemd[1]: **certmanager.service: Faied to reset devices.list: Operation not permitted**
Oct 01 11:48:48 ifens3 systemd[1]: Starting Manage certificate...
Oct 01 11:48:49 ifens3 certmanager[2025]: Managing certificate [tk.webked.de]
Oct 01 11:48:49 ifens3 certmanager[2025]: Manage self signed certificate
Oct 01 11:48:49 ifens3 certmanager[2025]: Checking previously created certificate
Oct 01 11:48:49 ifens3 certmanager[2025]: /etc/ssl/certs/cs-tls-cert.pem: OK
Oct 01 11:48:49 ifens3 certmanager[2025]: Certificate seems to be ok
Oct 01 11:48:49 ifens3 certmanager[2025]: /etc/ssl/certs/cs-tls-cert.pem: OK
Oct 01 11:48:49 ifens3 certmanager[2025]: Certificate seems to be ok
Oct 01 11:48:49 ifens3 certmanager[2025]: Certificate was not changed
Oct 01 11:48:49 ifens3 certmanager[2025]: Done
Oct 01 11:48:49 ifens3 systemd[1]: Started Manage certificate.
root@ifens3:/#


root@ifens3:/# certmanager 
Managing certificate [tk.webked.de]
Manage self signed certificate
Checking previously created certificate
/etc/ssl/certs/cs-tls-cert.pem: OK
Certificate seems to be ok
/etc/ssl/certs/cs-tls-cert.pem: OK
Certificate seems to be ok
Certificate was not changed
Done

Das Problem scheint jetzt auch zu sein, dass ich. Let’s Encypt nicht mehr aktivieren kann.
Nach der Auswahl von Let’s Encypt wird das Interface neu gestartet, geh ich anschließend wieder in das Interface rein (noch immer mit dem selbst signierten Zertifikat) steht hier wieder Selbst Signiert…
im Container, ist dann oben im ersten Beitrag genannter Output zu sehen.

foxpalace · January 6, 2021, 1:40pm

Hi, gab es eine Lösung zu dem Problem? Ich habe ebenfalls das Problem

root@ifens18:/# certmanager

Managing certificate [telefon.xxx.de]
Manage lets encrypt certifcate
Removed [*] from lets encrypt handler
Reconcile certificate for [telefon.xxx.de]
CN = telefon.xxx.de
error 10 at 0 depth lookup: certificate has expired
error /etc/ssl/certs/cs-tls-cert.pem: verification failed
I was not able to get a valid certificate

OlliT · January 10, 2021, 2:14pm

Hallo,

ich habe auch einen Fehler mit dem Lets Encrypt Zertifikat.

Managing certificate [voip.xxx.de]
Manage lets encrypt certifcate
Requesting certificate for [voip.xxx.de]
20210110134858 [ERROR] acmetool.storageops: Target(voip.xxx.de;https://acme-v01.api.letsencrypt.org/directory;0): failed to request certificate: the following errors occurred:
exhausted all possible challenges in authorization “https://acme-v02.api.letsencrypt.org/acme/authz-v3/9817435390” [due to inner error: the following errors occurred:
Get http://voip.xxx.de/.well-known/acme-challenge/3RuNNVf1-czUgjLoMBuzWgPrGfIWNIeW8ijtPTFAvvc: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers);
could not install DNS challenge, no hooks succeeded;
challenge type not supported]

Bei der Umleitungs URL stand mal die interne IP mal die externe IP drin und mal der DNS Name, aber es hat nichts an der Fehlermeldung geändert.
Wenn allerdings der DNS Name drin steht, zeigt die GUI, dass angeblich das Lets Encrypt Zertifikat verwendet wird, wird es allerdings nicht.