Toggle sidebar

Zertifikatserneuerung via Let's Encrypt funktioniert nur dann, wenn ich die Reverse-Proxy Ports ändere

Status
Für weitere Antworten geschlossen.
B

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.102
Punkte für Reaktionen
3.918
Punkte
488
Schau zuerst mal mit nslookup, ob wirklich alle Namen auf die externe IPv4 deines Routers zeigen und kein IPv6 mit im Spiel ist.
Da bei der Verlängerung ja offensichtlich ein http-Challenge abgefragt wird, muss Port 80 und 443 auf den gleichen Web-Server zeigen, mit dem das Zertifikat damals auch erstellt wurde. Andernfalls kannst du ja einfach ein neues Zertifikat erstellen.
 
A

Aardyena

Benutzer
Mitglied seit
12. Jan 2019
Beiträge
30
Punkte für Reaktionen
3
Punkte
8
Ich habe gerade mal geschaut: IPv6 gibt es bei einem nslookup nicht - und alle meine Subdomains verweisen per CNAME auf example.ddnss.de.

Ich habe gerade mal versucht das Zertifikat komplett neu auszustellen so wie ich es damals gemacht habe. Das hatte ich mir mit Screenshots dokumentiert (damit ich auch definitiv weiß was zu tun ist, wenn ich mal einen Service hinzufüge und einen weiteren SAN im Zertifikat benötige).

Damals konnte ich das Zertifikat noch erstellen, heute gibt er mir folgende Fehlermeldung aus: "Ungültige Domain. Stellen Sie sicher, dass diese Domain in eine öffentliche-IP-Adresse aufgelöst werden kann."

Benares schrieb:
Mmh, hast du mal probiert
https://vault.example.com/.well-known/acme-challenge/m9IVMYH3XkshS5uMqacTgOdUSauW-PQRwh1ZWeXwJDc
direkt im Browser aufzurufen? Wo landet die Abfrage, auf der DS?
Zum Vergrößern anklicken....
Hierzu kann ich nochmal sagen: Die hinterlegte Adresse geht direkt auf die Anwendung. Die 404-Seite die ich von dieser Adresse bekomme, ist eine andere 404-Seite die ich bekomme, wenn ich zum Beispiel über meine wiki.example.com-Seite gehe und den Rest an die URL dranhänge.
 
A

Aardyena

Benutzer
Mitglied seit
12. Jan 2019
Beiträge
30
Punkte für Reaktionen
3
Punkte
8
Leider kann man ältere Beiträge hier nicht bearbeiten. Das Problem war wie vermutet etwas simples aber dummes: Einer der SAN-Namen war nicht als CNAME-angelegt. Nachdem ich ein neues Zertifikat angelegt habe ohne diesen SAN-Namen habe ich erfolgreich das Zertifikat ausstellen können. Eine etwas sprechendere Fehlermeldung die mir gesagt hätte, wo genau es hakt hätte mir sicherlich weitergeholfen - stattdessen haben mich die Fehlermeldungen auf Systemebene eher in die Irre geführt :')

Also immer schön dran denken: Alle SAN-Namen im Zertifikat werden gründlich geprüft.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten
Zurück