Umstellung auf lets encrypt - SSL-Signatur fehlt

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
webminbw
Beiträge: 14
Registriert: 01.05.2016 02:33:36

Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von webminbw » 01.05.2016 03:20:53

Hi,

ich würde gerne eine Seite auf lets encrypt umstellen.
Eigentlich handelt es sich um eine größere owncloud, ein WIKi und mehrere CMS (produktiv, alt, testing).
Dafür habe ich einen aktuellen debian webserver eingerichtet.

Es gibt
1* >>gekaufte1und1topleveldomain.de<<
4* dynamic dns-domains auf dem Rechner sind vom Server aus mittels bash-skript über einen dynDNS-Provider mit der wechselnden IP des Providers verbunden
subdomain1.dyndns.com - subdomain4.dyndns.com
1*VODAFONE ADSL 16MBit/1MBit

FRÜHER
Bisher war mit selbstsigniertem Zertifikat verschlüsselt, was auch funktioniert hat, allerdings mit der bekannten Fehlermeldung.
https://2015.gekaufte1und1topleveldomain.de
wobei 2015.gekaufte1und1topleveldomain.de per CNAME-Weiterleitung auf subdomain1.dyndns.com zeigt.
mit
https://2015.gekaufte1und1topleveldomain.de/wiki (mediawiki)
https://2015.gekaufte1und1topleveldomain.de/oc (owncloud)
https://2015.gekaufte1und1topleveldomain.de/cms (joomla)
https://2015.gekaufte1und1topleveldomain.de/blog (wordpress)

ZIEL
Jetzt soll für jede einzelne webapplikation eine subdomain eingerichtet werden.
Dabei geht es zunächst nur um:
1. ownCloud:
https://oc.gekaufte1und1topleveldomain.de
2. CMS (Joomla)
a) https://www.gekaufte1und1topleveldomain.de/
b) https://testing.gekaufte1und1topleveldomain.de/
c) https://archiv.gekaufte1und1topleveldomain.de/
3. WIKI (mediawiki)
bekommen wir später.

Allerdings bekomme ich aktuell eine Fehlermeldung:

Code: Alles auswählen

/var/log/apache2# less error.log
[Sun May 01 02:21:24.579058 2016] [ssl:emerg] [pid 3528] AH02572: Failed to configure at least one certificate and key for 2015.gekaufte1und1topleveldomain.de:443
[Sun May 01 02:21:24.579640 2016] [ssl:emerg] [pid 3528] SSL Library Error: error:140A80B1:SSL routines:SSL_CTX_check_private_key:no certificate assigned
[Sun May 01 02:21:24.579707 2016] [ssl:emerg] [pid 3528] AH02312: Fatal error initialising mod_ssl, exiting.
AH00016: Configuration Failed
Hier meine conf-Datei für owncloud:

Code: Alles auswählen

<VirtualHost *:80>
                ServerAlias *
                RewriteEngine On
                RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301]
</VirtualHost>
<IfModule mod_ssl.c>
        <VirtualHost *:443>
                ServerName subdomain1.dyndns.com:443
                ServerName 2015.gekaufte1und1topleveldomain.de:443
                ServerAlias 2015.gekaufte1und1topleveldomain.de subdomain1.dyndns.com
                ServerAdmin webmaster@gekaufte1und1topleveldomain.de
                Alias /blog /var/www/html/subdomain1.dyndns.com/blog
                Alias /wiki /var/www/html/subdomain1.dyndns.com/wiki
                Alias /oc /var/www/html/subdomain1.dyndns.com/oc 
                Alias /cms /var/www/html/subdomain1.dyndns.com/cms
                DocumentRoot /var/www/html/subdomain1.dyndns.com
                Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
                BandwidthModule On
                ForceBandWidthModule On
                Bandwidth all 604800
                ErrorDocument 510 /errors/maxconexceeded.html
                BandWidthError 510
                LargeFileLimit .avi 1 200000
                LargeFileLimit .mpg 1 200000
                CustomLog ${APACHE_LOG_DIR}/access.log combined
                
                
                <FilesMatch "\.(cgi|shtml|phtml|php)$">
                                SSLOptions +StdEnvVars
                </FilesMatch>
                <Directory /usr/lib/cgi-bin>
                                SSLOptions +StdEnvVars
                </Directory>
                <Directory /var/www/html/subdomain1.dyndns.com/blog>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
                </Directory>
                
                <Directory /var/www/html/subdomain1.dyndns.com/wiki>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
                </Directory>
                <Directory /var/www/html/subdomain1.dyndns.com/cms>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
                </Directory>
                <Directory /var/www/html/subdomain1.dyndns.com/oc>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
                DAV Off
                
                Satisfy Any
                </Directory>
                BrowserMatch "MSIE [2-6]" \
                                nokeepalive ssl-unclean-shutdown \
                                downgrade-1.0 force-response-1.0
                BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
        </VirtualHost>
</IfModule>
Nun bin ich mir nicht sicher, ob dieses Problem, der fehlenden SSL-Signatur ein lets encrypt-Problem oder ein debian-Problem ist.
Vielen Dank für Eure Hilfe und fürs Lesen!

Mit besten Grüßen

webminbw

Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von Dimejo » 01.05.2016 11:21:43

webminbw hat geschrieben:

Code: Alles auswählen

[Sun May 01 02:21:24.579058 2016] [ssl:emerg] [pid 3528] AH02572: Failed to configure at least one certificate and key for 2015.gekaufte1und1topleveldomain.de:443
Viel eindeutiger kann es nicht mehr werden. Du erzwingst SSL, gibst aber kein Zertifikat an, das dafür verwendet werden soll.

herrmeier
Beiträge: 41
Registriert: 04.12.2007 23:57:18

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von herrmeier » 01.05.2016 11:51:42

Vielen Dank für die Antwort.
Den Teil habe ich durchaus begriffen - siehe oben => Betreff.

Dennoch ist Deine richtige Antwort von mir verschuldet, weil ich den letsencrypt-Befehl vergessen habe. Entschuldige bitte...
Ich frage mich nur, wie der Befehl:

Code: Alles auswählen

sudo ./letsencrypt-auto --apache -d gekaufte1und1topleveldomain.de -d oc.gekaufte1und1topleveldomain.de -d www.gekaufte1und1topleveldomain.de -d testing.gekaufte1und1topleveldomain.de -d archiv.gekaufte1und1topleveldomain.de
die conf-Datei so verändert, dass ich umstellen kann.
Weil in der momentanen Konfiguration funktioniert es nicht einmal, das letsencrypt-auto durchlaufen zu lassen, weil er die vhosts erwartet...

Das Schwierigste ist ja immer die richtige Frage zu stellen, insbesondere, wenn man mal wieder zu wenig geschlafen hat;-)

Meine Frage ist glaube ich die folgende:
Muss ich die
a) vhosts erstellen und zwar ohne ssl und dann letsencrypt-auto
b) vhosts erstellen mit selbstsigniertem Schlüssel und dann letsencrypt-auto

Vielen Dank im Voraus
Debian etch - testing

Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von Dimejo » 01.05.2016 14:23:31

Ich kann Dir bei der automatischen Konfiguration von Apache leider nicht wirklich helfen, weil ich es nie verwendet habe (bei uns läuft nginx).

Du kannst aber die manuelle Variante ausprobieren. Dafür musst Du pro vHost nur diese 3 Direktiven einfügen.

Code: Alles auswählen

SSLCertificateKeyFile    /etc/letsencrypt/live/gekaufte1und1topleveldomain.de/privkey.pem
SSLCertificateFile    /etc/letsencrypt/live/gekaufte1und1topleveldomain.de/cert.pem
SSLCertificateChainFile    /etc/letsencrypt/live/gekaufte1und1topleveldomain.de/chain.pem
Diese Dateien sind Symlinks zu den aktuellen Zertifikaten - entsprechend müssen sie bei einem letsencrypt renew auch nicht mehr angepasst werden.

webminbw
Beiträge: 14
Registriert: 01.05.2016 02:33:36

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von webminbw » 02.05.2016 17:31:04

Aus irgendwelchen Gründen legt letsencrypt nur einen Ordner an:

Code: Alles auswählen

/etc/letsencrypt/live/www.gekaufte1und1topleveldomain.de# ll
insgesamt 0
lrwxrwxrwx 1 root root 38 Mai  2 17:03 cert.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/cert1.pem
lrwxrwxrwx 1 root root 39 Mai  2 17:03 chain.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/chain1.pem
lrwxrwxrwx 1 root root 43 Mai  2 17:03 fullchain.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/fullchain1.pem
lrwxrwxrwx 1 root root 41 Mai  2 17:03 privkey.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/privkey1.pem
Ich schätze das liegt daran, dass ich gekaufte1und1topleveldomain.de als 2nd level domain noch mit einem Ordner beim Hoster verbunden habe.
Dort liegt eine Typo3-Installation.

Ich würde gerne eine "weichen" Übergang wählen.
Also erst einmal http://www.gekaufte1und1topleveldomain.de als 3rd level-domain auf den neuen debian-web-server und dann später, wenn alles geklappt hat
auch die 2nd-level Domain gekaufte1und1topleveldomain.de auf den neuen debian webserver umstellen.

Code: Alles auswählen

sudo /usr/local/letsencrypt/letsencrypt-auto-source/letsencrypt-auto certonly --rsa-key-size 4096 -d www.gekaufte1und1topleveldomain.de -d oc.gekaufte1und1topleveldomain.de
update1:
sudo /usr/local/letsencrypt/letsencrypt-auto-source/letsencrypt-auto certonly --rsa-key-size 4096 -d oc.gekaufte1und1topleveldomain.de
hinterhergeschoben.

Nun ist auch ein Ordner /etc/letsencrypt/live/oc.gekaufte1und1topleveldomain.de entstanden.

Leider bekomme ich nun eine SSL-Fehlermeldung:

Code: Alles auswählen

SSL_ERROR_RX_RECORD_TOO_LONG
Es ist zum Verrücktwerden...

Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von Dimejo » 04.05.2016 09:58:17

webminbw hat geschrieben:Aus irgendwelchen Gründen legt letsencrypt nur einen Ordner an:

Code: Alles auswählen

/etc/letsencrypt/live/www.gekaufte1und1topleveldomain.de# ll
insgesamt 0
lrwxrwxrwx 1 root root 38 Mai  2 17:03 cert.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/cert1.pem
lrwxrwxrwx 1 root root 39 Mai  2 17:03 chain.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/chain1.pem
lrwxrwxrwx 1 root root 43 Mai  2 17:03 fullchain.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/fullchain1.pem
lrwxrwxrwx 1 root root 41 Mai  2 17:03 privkey.pem -> ../../archive/www.gekaufte1und1topleveldomain.de/privkey1.pem
Let's encrypt legt pro Zertifikat einen Ordner an. Du hast ein Zertifikat für mehrere Domains erstellt (Stichwort SAN oder Multi-Domain).
webminbw hat geschrieben:Ich schätze das liegt daran, dass ich gekaufte1und1topleveldomain.de als 2nd level domain noch mit einem Ordner beim Hoster verbunden habe.
Dort liegt eine Typo3-Installation.
Wieso sollte das einen Einfluss auf Deinen Server haben? Versteh ich nicht ...
webminbw hat geschrieben:Nun ist auch ein Ordner /etc/letsencrypt/live/oc.gekaufte1und1topleveldomain.de entstanden.

Leider bekomme ich nun eine SSL-Fehlermeldung:

Code: Alles auswählen

SSL_ERROR_RX_RECORD_TOO_LONG
Das kann viele Ursachen haben. Hast Du dazu schon die Suchmaschine Deiner Wahl befragt?

Benutzeravatar
bluestar
Beiträge: 2335
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von bluestar » 02.06.2016 16:34:14

Ich hab mich auch mal mit LetsEncrypt näher beschäftigt, allerdings find ich den Standard-Client ein wenig unhandlich und würde dir eher zu
https://github.com/diafygi/acme-tiny raten.

webminbw
Beiträge: 14
Registriert: 01.05.2016 02:33:36

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von webminbw » 16.06.2016 15:08:07

Die Erstellung hat nach einem update nun geklappt. Ich hadere jetzt nur noch mit der eigentlich einfacheren .conf-Einstellung in einem anderen thread.

Code: Alles auswählen

sudo /usr/local/letsencrypt/letsencrypt-auto-source/letsencrypt-auto certonly --rsa-key-size 4096 -d www.gekaufte1und1topleveldomain.de -d oc.gekaufte1und1topleveldomain.de
lief nun erfolgreich durch.
Ob es daran gelegen hat, dass nur die DNS-Server sich erst duchaktualisieren mussten oder das update etwas gebracht hat, kann ich von hier aus leider nicht feststellen.
Das Einzige, was mir Sorgen macht:

X509v3 Basic Constraints: critical
CA:FALSE

Code: Alles auswählen

sudo openssl x509 -text -in /etc/letsencrypt/live/www.gekaufte1und1topleveldomain.de/cert.pem|less
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:45:96:78:aa:10:ff:18:65:e4:c4:1a:2f:0e:9e:c0:97:13
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
        Validity
            Not Before: Jun 14 18:47:00 2016 GMT
            Not After : Sep 12 18:47:00 2016 GMT
        Subject: CN=www.gekaufte1und1topleveldomain.de
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
[...]
Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier: 
                D0:2A:40:5E:05:FD:2B:6D:04:D7:E0:73:F4:6B:0D:41:64:1D:0F:54
            X509v3 Authority Key Identifier: 
                keyid:A8:4A:6A:63:04:7D:DD:BA:E6:D1:39:B7:A6:45:65:EF:F3:A8:EC:A1

            Authority Information Access: 
                OCSP - URI:http://ocsp.int-x3.letsencrypt.org/
                CA Issuers - URI:http://cert.int-x3.letsencrypt.org/

            X509v3 Subject Alternative Name: 
                DNS:oc.gekaufte1und1topleveldomain.de, DNS:www.gekaufte1und1topleveldomain.de
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.1
                Policy: 1.3.6.1.4.1.44947.1.1.1
                  CPS: http://cps.letsencrypt.org
                  User Notice:
                    Explicit Text: This Certificate may only be relied upon by Relying Parties and only in accordance with the Certificate Policy found at https://letsencrypt.org/repository/
    Signature Algorithm: sha256WithRSAEncryption
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----

getphp
Beiträge: 80
Registriert: 14.01.2006 15:23:28

Re: Umstellung auf lets encrypt - SSL-Signatur fehlt

Beitrag von getphp » 17.06.2016 12:09:05

Was sagt denn ssllabs?
Gruss
getphp

Antworten