[acme.sh] Fehlermeldung - Selbes Zertifikat mit anderem User erstellen?

[*kw*]

Hallo,

heute Mittag hat mich mein Mac auf mein abgelaufenes internes Zertifikat aufmerksam gemacht, was mittels acme.sh nicht der Fall sein dürfte.

Um es abzukürzen, ich habe meinem "Cert-User" noch vor Ablauf die 2FA verpassst, ohne die Konsequenzen in der account.conf zu berücksichtigen. Ich bin erst drauf gekomnmen, als ich das Zertifikat gelöscht, alles nochmal eingerichtet habe und acme "plötzlich" den OTP key wollte. Weil mir der passende OTP-Code (string) in Bitwarden zu lange erschien, um die account.conf zu ergänzen (otpauth://totp/...3km Zeichen), hab ich einfachheitshalber 2FA bei dem User wieder deaktiviert. Acme beharrt seitdem aber auf OTP, weil das ganz jetzt wohl "mit" deployed wurde. Und bei der Eingabe einfach "weiter" klicken half nicht.

Also, alles nochmal resetet und einen neuen passenden User (ohne 2FA) samt account.conf angelegt. Ich komme bei der Cert-Anforderung bis zum --dnssleep 300. Bis dahin alles "success" (API-key und PW) und die Zahlen sind "grün".

Nachdem die Zeit runtergelaufen ist, kommt Invalid status, meinedomain.de:Verify error detail:Incorrect TXT record.

Habe ich evtl. zu häufig abgefragt? (..bis mir o.g. Fehler einfiel). Die Domain als solches ist doch nicht an diesen Nutzer geknüpft, da geht es doch nur um den Zugriff. In ein paar Stunden nochmal probieren?

edit: zumindest ist der erste Anforderungsbefehl durch, Neustart nur über acme.sh --renew -d meinedomain.de --force

Cert-Erstellung:

- acme.sh --set-default-ca --server letsencrypt

- acme.sh --issue --dns dns_netcup -d meinedomain.de -d *.meinedomain.de --dnssleep 300

#an die DS
- acme.sh --deploy -d meinedomain.de --deploy-hook synology_dsm

 

[plang.pl]

Das hatte ich auch schon. Ich habe einfach den DNSSleep erhöht. Mein Domain Anbieter (netcup) braucht bei mir einfach länger, bis die TXT-Records Wirkung zeigen, die acme.sh mit der Challenge anlegt.
Bei mir bin ich deshalb auf dnsslepp 1800 gegangen. Das ist ne halbe Stunde. Ist mir aber egal, ich warte einmal und danach geht ja eh alles automatisch. Du könntest auch erst auf 900, dann auf 1200 u.s.w. gehen. Ob das dann aber zusammengerechnet nicht länger dauert...
EDIT: Ja kann auch sein, dass du bei LE temporär gesperrt bist wegen zu vielen Anfragen. Auch das hatte ich schonmal

 

[*kw*]

Ich bin ja auch bei netcup.

Okay, dann lag ich mit meiner Vermutung richtig. Ich konnte mich nur nicht an da die damalige Fehlermeldung erinnern.

Nur vollständigkeitshalber, wie bekommt man die zwangsweise OTP-Abfrage seitens acme raus, obwohl das DS-seitig schon wieder erledigt und die account.conf „sauber“ ist. Erledigt das auch die Zeit?

Ich habe auch nichts gg. 2FA einzuwenden. Nur wo bekomme ich den Code her, der sinngemäß wohl so aussieht aaaa-bbbb-cccc-dddd. Ich regele die Einrichtung in Bitwarden über den Foto-Scan (ja, ich weiß, selbe App ) und der ist ewig lang (s.o.).

 

[plang.pl]

Es gibt Apps, um diesen TOTP Key aus dem QR-Code auszulesen (unter Windows z.B. der CodeTwo QR Generator). Viele Dienste zeigen den TOTP aber auch direkt an. Ob das die DS auch macht, weiß ich nicht, ich nutze da kein 2FA.
Wenn du alles sauber haben willst, würd ich so vorgehen:
acme Container + Image löschen.
Docker-Verzeichnis, in welches acme geschrieben hat, leerlöschen
Container neu aufsetzen und dem einfach nix bezüglich 2FA sagen. Beim ersten Mal musste ich beim Deploy die 2FA einmal mit keiner Eingabe + Enter bestätigen. Seitdem hat der Container gecheckt, dass ich kein 2FA habe

 

[plang.pl]

Die Fehlermeldung

Invalid status, meinedomain.de:Verify error detail:Incorrect TXT record

deutet aber eher auf einen Fehler Richtung Hoster und nicht auf eine Sperrung seitens LE hin.

 

[*kw*]

würd ich so vorgehen:

Genau schon zweimal gemacht.

Vorhin standen im CCP noch zwei weitere acme-Einträge, die rechts als unbekannt deklariert waren. Die sind jetzt weg, nach dem ich vorhin nochmal testweise den ursprünglichen User genutzt habe.



Ich teste nochmal mit einem höheren --dnssleep.

 

[plang.pl]

Würd ich auch machen. Nur weil dann die TXT-Records in der Online Console auftauchen, heißt es nicht, dass sie auch schon per DNS abrufbar sind. Die Registrierung im DNS dauert eben seine Zeit. Bei manchen Anbietern kürzer und bei manchen länger. Aber wie ich schon geschrieben habe, ist die längere Wartezeit ja kein Beinbruch

 

[*kw*]

...bin ich gerade noch drüber gestolpert:



Alle Anfragen seit heute Mittag (nach Ablauf) susscuesful

 

[plang.pl]

Ja, so sah es bei mir auch aus. Aber unter 30min kam ich nicht weiter.
Berichte halt mal, ob es klappt.

 

[*kw*]

Jetzt kam offiziell die Fehlermeldung über zu häufige Registrierungsversuche. Ich bin "raus" bis 02.02.2024.

 

[plang.pl]

Oh weh. Wie soll man nur 2 Tage ohne gültges SSL-Zertifikat überleben???
Das ist ein Verstoß gegen die Menschenwürde (und die https-Bibel)

 

[*kw*]

Ich bin schon dabei, die wichtigsten Sachen intern wieder auf IP+Ports umzustellen. Zumindest, was ohne Zertifikat läuft.

 

[plang.pl]

Ja, man macht sich halt schon ein Stück weit abhängig. Aber wo ist das in der IT nicht so, wenn man selbst hosten will? Zumindest macht man sich weniger abhängig von diversen Cloud-Hostern (auch wenn die [meist] ein gültiges Cert haben )
Aber die 2 Tage kann man auch einfach die Warnung wegklicken.
Da ich aber nicht weiß, ob das als Scherz gemeint war, höre ich jetzt einfach auf weiterzuerzählen

 

[Benares]

@*kw* geh mal mit "--dnssleep 300" auf mind. 600 hoch. Netcup ist schnarchlangsam, was die Updates seiner Records über die API betrifft. Hinzu kommt noch die TTL - runter damit.
Achte auf die Zeit, bis ein _acme_challenge-Record nach seiner Anlage auf "gültig" geht. Dann kommt noch die TTL der Domain obendrauf, um einen passenden Wert für --dnsleep zu finden.

 

[*kw*]

@Benares: Danke!

@plang.pl: Geht auch als Hesse: "Basst scho'"

Ich mach dann mal...--olisleep 172800

 

[*kw*]

Und das beste: "13 Cent-Domains" bei netcup kann man eigentlich nie genug haben. Schön, dass heute morgen um 10 Uhr eine Aktion ausgelaufen ist.

Edit:

Hinzu kommt noch die TTL - runter damit.

@Benares: Da habe ich so selbstverständlich drüber gelesen. Was meins du damit? Hier was ändern?

 

[Benares]

Ich hab mittlerweile

weiß aber auch nicht mehr, wie ich auf die Werte gekommen bin. Auf jeden Fall waren die Default-Werte für eine DDNS-Domain bei Netcup viel zu hoch.
Der wichtigste Wert ist die TTL (in s). Die TTL sagt m.W. aus, wie lange sich ein Client das Ergebnis einer Anfrage in seinem Cache merken darf, bevor er wieder beim Server nachfragt. Was soll da ein Wert von 24 Stunden? Natürlich wollen die die Last auf ihren Servern klein halten

Vergleich mal mit anderen DDNS-Providern (nslookup, set debug, irgendeineAbfrage)

 

[haydibe]

Übrigens: wenn euch die Wartezeiten bei Netcup stören, könnte ihr die technische Administration auch zu Cloudflare übertragen und dort verwalten. Netcup bleibt dann weiterhin der Registrar und stellt wie gewohnt jährlich seine Rechnung, nur verwaltet man dann die DNS-Einträge bei Cloudflare.

CloudFlare hat mich bisher keinen Cent extra gekostet.

 

[alexhell]

So nutze ich das seit Jahren auch. Da kann man die Domain auch umziehen und muss nix neu konfigurieren, außer Nameserver wieder ändern.

 

[*kw*]

Das werde ich mir mal anschauen, hab ja noch Zeit und Ruhe.