Let's encrypt probleem

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Daniel van Seggelen

Daniel van Seggelen

03/12/2023 18:14:22
Quote Anchor link
Wil een SSL certificaat instellen voor een domein, waarvan de a-records geredirect zijn naar mijn server wat ook met ping te zien is.

[domein.com] acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: 2a06:2ec0:1::153: Invalid response from http://domein/.well-known/acme-challenge/U3AQbZuvjBI7N80ZHQE3BAN0vsZtK32UK8IY6XlmHjU: 404
[www.domein] acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: 2a06:2ec0:1::153: Invalid response from http://www.domein/.well-known/acme-challenge/cMVW-CYRKDVhiYTplm-rB3YpEctEJPilJs3S_DGlkEY: 404
Certificate generation failed.

Wat kan hier nu fout zijn?
geen problemen met andere dominene.
 
PHP hulp

PHP hulp

31/01/2025 00:36:29
 
Rob Doemaarwat

Rob Doemaarwat

03/12/2023 18:32:57
Quote Anchor link
Heb je geen "catch-all" in je .htaccess? Plaats anders zelf even een test.txt bestandje in die .well-known directory, en kijk of je 'm via de browser ook weer uit kunt lezen.
 
- Ariën  -
Beheerder

- Ariën -

03/12/2023 18:33:42
Quote Anchor link
Blijkbaar is die challenge niet aangemaakt in je .well-known map.
 
Daniel van Seggelen

Daniel van Seggelen

03/12/2023 21:31:01
Quote Anchor link
in public_html staat index.html er staat verder geen andere mappen.
Heb geen catch all, heb .well-known aangemaakt etc, en weer de lets encrypt via DA gedaan.
krijg exact hetzelfde
Gewijzigd op 03/12/2023 21:33:06 door Daniel van Seggelen
 
- Ariën  -
Beheerder

- Ariën -

03/12/2023 21:44:03
Quote Anchor link
/.well-known staat niet in de /public_html van DA, maar volgens mij in /var/www/.

Dus kijk eens of een handmatig aangemaakt bestand in die directory gewoon te bekijken is in de browser.
 
Ivo P

Ivo P

03/12/2023 21:44:13
Quote Anchor link
en is er geen .htaccess bestand aanwezig?

Als toch: wat staat daar in?
 
Daniel van Seggelen

Daniel van Seggelen

03/12/2023 21:48:59
Quote Anchor link
in /var/www/ staat hij niet, en het is een lege site, dus er staat nog geen htacccess in
 
- Ariën  -
Beheerder

- Ariën -

03/12/2023 21:51:44
 
Daniel van Seggelen

Daniel van Seggelen

04/12/2023 04:19:14
Quote Anchor link
op deze manier maakt hij geen nieuwe file aan:

echo "test" >> /var/www/html/.well-known/acme-challenge/test.txt

Moet er gewoon echo "test" in een bestand test.txt komen?

dan maak ik die gewoon aan.

Ik heb het bij al mijn andere domeinen nooit gehad, maar die zijn direct via transip aangemaakt. Deze is van een klant die de a-records heeft geredirect.

Verder werkt dit ook niet als ik een test aanmaak:

https://www.domein.com/.well-known/acme-challenge/test.txt

In /etc/httpd/conf/extra/httpd-alias.conf

staat:
Alias /.well-known/acme-challenge /var/www/html/ .well-known/acme-challenge.

In het bericht staat ook :

acme: Could not find solver for: tls-alpn-01


heeft iets met de DNS validation te maken?

Dit is het hele bericht dat ik krijg:

Quote:
2023/12/04 04:33:12 [INFO] [domein.com, www.domein.com] acme: Obtaining SAN certificate
2023/12/04 04:33:13 [INFO] [domein.com] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz-v3/290193103716
2023/12/04 04:33:13 [INFO] [www.domein.com] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz-v3/290193103726
2023/12/04 04:33:13 [INFO] [domein.com] acme: Could not find solver for: tls-alpn-01
2023/12/04 04:33:13 [INFO] [domein.com] acme: use http-01 solver
2023/12/04 04:33:13 [INFO] [www.domein.com] acme: Could not find solver for: tls-alpn-01
2023/12/04 04:33:13 [INFO] [www.domein.com] acme: use http-01 solver
2023/12/04 04:33:13 [INFO] [domein.com] acme: Trying to solve HTTP-01
2023/12/04 04:33:20 [INFO] [www.domein.com] acme: Trying to solve HTTP-01
2023/12/04 04:33:23 [INFO] Deactivating auth: https://acme-v02.api.letsencrypt.org/acme/authz-v3/290193103716
2023/12/04 04:33:23 [INFO] Deactivating auth: https://acme-v02.api.letsencrypt.org/acme/authz-v3/290193103726
2023/12/04 04:33:24 Could not obtain certificates:
error: one or more domains had a problem:
[domein.com] acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: 2a06:2ec0:1::153: Invalid response from http://domein.com/.well-known/acme-challenge/VTOatpQIYB9KYqFGcxD_KyBOh9pKijOBWbGvicQt6AY: 404
[www.domein.com] acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: 2a06:2ec0:1::153: Invalid response from http://www.domein.com/.well-known/acme-challenge/ZT3mV12Y2xMHQamtyw4w1Oz7aJz3qSKj3BnuO_pjBbc: 404
Certificate generation failed.

Gewijzigd op 04/12/2023 04:44:46 door Daniel van Seggelen
 
- Ariën  -
Beheerder

- Ariën -

04/12/2023 09:07:10
Quote Anchor link
Onder welke user voer je die test uit?
Gewijzigd op 04/12/2023 09:07:25 door - Ariën -
 
Ivo P

Ivo P

04/12/2023 11:10:08
Quote Anchor link
Daniel van Seggelen op 04/12/2023 04:19:14:
In /etc/httpd/conf/extra/httpd-alias.conf

staat:
Alias /.well-known/acme-challenge /var/www/html/ .well-known/acme-challenge.


Inclusief die spatie?
En waarom staat er geen domeinnaam in het tweede path? Of heb je dat er (slordig) uitgeknipt?
En staat die in dit geval in de document-root (public_html)?

Met die Aliassen kun je rare dingen bereiken / hoop onduidelijkheid creëren omdat zaken niet op de plek staan die je verwacht.
Gewijzigd op 04/12/2023 11:58:43 door - Ariën -
 
- Ariën  -
Beheerder

- Ariën -

04/12/2023 12:01:31
Quote Anchor link
Maar dat is iets van DirectAdmin. Misschien is die alias een compatibiliteitsdingetje na een verandering?
Ik ga er vanuit dat Daniel hier niks mee heeft aangepast. En als je het veranderd, dan zullen de packages van DirectAdmin mogelijk niet meer werken. Misschien wel na een reinstall daarvan, maar blijf er liever van af is mijn advies.

Ander advies voor Daniel is om Lets Encrypt eens opnieuw te builden.
 

04/12/2023 14:23:37
Quote Anchor link
Volgens mij ben je al te ver als je je eigen challenge uitvoer zit te schrijven.
De challenge ontvang je juist via ACME, en die moet je in de map zetten om Let's Encrypt te laten merken dat de domeinnaam bij de webserver hoort.

Van welke ACME-client maak je gebruik?
Je kunt gewoon certbot gebruiken voor het beheren van certificaten?
Je installeert die tool op je systeem, je geeft aan voor welke domeinen wat voor een SSL-certificaat moet komen en de tool regelt alles, inclusief de periodieke vernieuwing.
Misschien wil je alleen nog de configuratie van de webserver om de zoveel tijd reloaden om de certificaten te activeren.
 
- Ariën  -
Beheerder

- Ariën -

04/12/2023 14:42:35
Quote Anchor link
@Ad: het gaat zo te zien niet om een self-bouw server, maar om DirectAdmin.
Dus de vraag is of je Daniel helpt met het ongevraagd maken van een fork van DirectAdmin. :-P

Mijn beste advies in deze situatie: Ga Lets Encrypt re-builden.

En ja, Directadmin is best afwijkend als het om beheer gaat vergeleken met een zelf gebouwde server. Het werkt best heerlijk, maar er zijn zeker punten waar ik het niet over eens ben, maar het is wel een voordeel voor mensen die niet heel erg bekend zijn met Linux.

Als ik veel tijd over zou hebben had ik liever zelf wat gebouwd dan dat ik DirectAdmin gebruikte.
Gewijzigd op 04/12/2023 14:46:11 door - Ariën -
 
Daniel van Seggelen

Daniel van Seggelen

04/12/2023 17:07:49
Quote Anchor link
@Ivo

"Inclusief die spatie?"

ja exact zo overgenomen.

"En waarom staat er geen domeinnaam in het tweede path"
staat domein.com als voorbeeld

Ok, ik zal lets encrypt opnieuw builden

Toevoeging op 04/12/2023 17:16:52:

Hij is geupdate en opnieuw gebuild.

zelfde probleem.
Raar want met alle andere domeinen, is er totaal geen probleem, die ik direct via transip gekopepld heb, maar deze die via a-records geridirect zijn, krijgt alleen dit probleem.
 

06/12/2023 09:05:52
Quote Anchor link
- Ariën - op 04/12/2023 14:42:35:
@Ad: het gaat zo te zien niet om een self-bouw server, maar om DirectAdmin.
Dus de vraag is of je Daniel helpt met het ongevraagd maken van een fork van DirectAdmin. :-P

Mijn beste advies in deze situatie: Ga Lets Encrypt re-builden.

En ja, Directadmin is best afwijkend als het om beheer gaat vergeleken met een zelf gebouwde server. Het werkt best heerlijk, maar er zijn zeker punten waar ik het niet over eens ben, maar het is wel een voordeel voor mensen die niet heel erg bekend zijn met Linux.

Als ik veel tijd over zou hebben had ik liever zelf wat gebouwd dan dat ik DirectAdmin gebruikte.

Owh, DirectAdmin! Ja, dat had Daniel even niet genoemd. Dat is voor mij wel 10 jaar geleden dat ik dat voor het laatst gebruikte. Daar wil ik geen verstand van hebben :-)

Off-topic: ik hoorde dat vaste IP(v4, v6) nummers tegenwoordig een zeldzaamheid zijn voor particulieren? Dan kun je helemaal niet meer makkelijk zelf thuis wat hosten?
 
- Ariën  -
Beheerder

- Ariën -

06/12/2023 09:39:18
Quote Anchor link
In zijn tweede post had hij Direct Admin nog genoemd als DA. ;)

Iedereen die een internetaansluiting thuis heeft, heeft een ipv4 adres. En dan kan je ook thuis hosten. Sommige providers gebruiken een bepaalde techniek (CGNAT?) om IPv4 adressen te delen in deze tijd van schaarste. Dan kan je niet thuis hosten. Met IPv6 heb je meer dan voldoende adressen voor al je apparatuur en hoef je bij wijze van spreken niet meer te portforwarden.

Maar DirectAdmin werkt voor zover ik weet alleen op netwerkinterfaces met die met IPv4 een extern IP gebruiken, en dus geen lokaal IP. Dus op een thuisnetwerk zal DA niet werken. Maar ik ben benieuwd hoe deze licentiecontrole met IPv6 gaat.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.