Lets Encrypt http code 400

[guest24551]

Hallo an alle,

ich hoffe heute ist jemand guter Laune und kann mir vielleicht helfen.

Ich versuche seit gestern mir ein Zertifikat über Acme bereitstellen zu lassen. Allerdings bekomme ich ständig den example.com:Verify error:Fetching http://example.com/.well-known/acme-challenge/hlnnJ0Kkupptfisydh32i9MymLsGgR_CPxz3trctzbI: Timeout during connect (likely firewall problem)

Ich bekomme auch beim Domain check einen Timeout. Ich verwende keinen HAProxy, da ich im Moment nur Opnsense im Betrieb habe und der Aufwand IMO etwas größer ist, als bei den meisten Anleitungen.
Ich habe meine Domain bei STRATO reserviert. A Record und DynDNS sind aktiv. Die Weiterleitung funktioniert auch.
Leider erhalte ich permanent diesen 400er Code. Ich habe Opnsense vor kurzem neu aufgesetzt und will weg von den selbst signierten certs ... Ich teste also auf factory default.

Wenn ich meine Domain checke, erhalte ich folgende Meldung:

Fatal: Check of /.well-known/acme-challenge/random-filename has a timeout. Creating a Letsencrypt certificate via http-01 challenge can't work. You need a running webserver (http) and an open port 80. If it's a home server + ipv4, perhaps a correct port forwarding port 80 extern ⇒ working port intern is required. Port 80 / http can redirect to another domain port 80 or port 443, but not other ports. If it's a home server, perhaps your ISP blocks port 80. Then you may use the dns-01 challenge. Trouble creating a certificate? Use https://community.letsencrypt.org/ to ask.

Der Port von Lets encrypt ist 35800. Normalerweise sollte das Plugin auch den Port automatisch umleiten/freischalten, oder irre ich mich?

[superwinni2]

Die Lösung steht doch bereits in deiner Beschreibung...
Er kann domain.xyz/.well-known/... Nicht erreichen...
Hast du eine entsprechende Weiterleitung eingerichtet damit man von extern via Port 80 auf dein Letsencrypt Port kommt?

Wo steht, dass dies automatisch gemacht wird? Es gibt die Möglichkeit (!) automatisch haproxy zu konfigurieren lassen...
Aber mit Port Weiterleitung ist mir das neu

Gesendet von meinem LG-H815 mit Tapatalk

[guest24551]

In den meisten Anleitungen wird nirgends erwähnt, dass man noch zusätzliche Ports freischalten muss, damit HTTP-01 funzt. Also gehe ich von vorn herein davon aus, dass das Plugin automatisch alles richtig einstellt. Hat bei anderen (siehe youtube) scheinbar auch geklappt.
Nichts desto trotz, habe ich vorhin mal port 80 auf wan über tcp + ipv4 geöffnet. Ich habe das 1x als rule und 1x als nat portforwarding getestet. Beides hat nicht geklappt. Letsencrypt empfiehlt zwar selbst port 80 offen zu halten, aber warum das trotzdem nicht funktioniert, ist mir ein rätsel.
Meine rule:
allow
in on wan
tcp - ipv4
from *
port 80

to this firewall
port 35800

Man muss doch die Oberfläche ohne solchen Aufwand auch irgendwie über letsencrypt zertifizieren lassen können? So wie ich das den meisten Dokus entnommen habe, braucht man nur den account, die überprüfungsmethode und das zertifikat. natürlich sollte man noch die domain besitzen ...

[JeGr]

Und warum 35800? Hast du Acme so konfiguriert, dass er auf Port 35800 hören soll? Da du nichts zu deiner Konfiguration wie Screens oder sonstwas postest, ist das hier stochern im Nebel wenn du uns keine Anhaltspunkte lieferst

[micneu]

Kannst du mal bitte deine Konfiguration als Bilder anhängen, so kann man sehen wo Fehler sind.

Ich habe es bei mir am laufen, habe es vor ca. 1,5 Jahren nach einer Anleitung aus dem netz gemacht.


Gesendet von iPad mit Tapatalk Pro

[guest24551]

Komisch das ich keine Benachrichtigung über neue Antworten erhalten habe ....

Bzgl. des Ports habe ich mich vertippt: 43580 ist der richtige

Ich habe die letzten Tage versucht herauszufinden, ob man das ganze über DNS-01 machen kann, aber Strato hat scheinbar keine API für dafür. Bzw. es haben scheinbar andere geschafft, aber keiner verrät wo er was und wie eingestellt hat.
TXT-Record habe ich bei meiner Subdomain hinterlegt. Ich habe da einen Text als eine Art Passwort hinterlegt. (vermute mal das das so gemacht wird) Allerdings weiß ich nicht welchen FQDN ich bei der Überprüfung mit nsupdate angeben soll, oder was da in das Textfeld kommt.

[Wed Jul  1 21:08:12 CEST 2020] d_api='/usr/local/share/examples/acme.sh/dnsapi/dns_nsupdate.sh'
[Wed Jul  1 21:08:12 CEST 2020] Found domain api file: /usr/local/share/examples/acme.sh/dnsapi/dns_nsupdate.sh
[Wed Jul  1 21:08:12 CEST 2020] Adding txt value: W9jKa184fu9XN_UMctUYR5wiOqF41bJEvheq6j45U2Q for domain:  _acme-challenge.sub.example.com
[Wed Jul  1 21:08:12 CEST 2020] adding _acme-challenge.sub.example.com. 60 in txt "W9jKa184fu9XN_UMctUYR5wiOqF41bJEvheq6j45U2Q"
[Wed Jul  1 21:08:12 CEST 2020] error updating domain
[Wed Jul  1 21:08:12 CEST 2020] Error add txt for domain:_acme-challenge.sub.example.com
[Wed Jul  1 21:08:12 CEST 2020] _on_issue_err
[Wed Jul  1 21:08:12 CEST 2020] Please check log file for more details: /var/log/acme.sh.log
[Wed Jul  1 21:08:12 CEST 2020] url='https://acme-staging-v02.api.letsencrypt.org/acme/chall-v3/70781975/jfXZnw'
[Wed Jul  1 21:08:12 CEST 2020] payload='{}'
[Wed Jul  1 21:08:12 CEST 2020] POST
[Wed Jul  1 21:08:12 CEST 2020] _post_url='https://acme-staging-v02.api.letsencrypt.org/acme/chall-v3/70781975/jfXZnw'
[Wed Jul  1 21:08:12 CEST 2020] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header  --trace-ascii /tmp/tmp.YMDhxuuE  -g '

Da momentan mein Firejail Firefox probleme mit File up und download hat, tippe ich mal schnell meine einstellungen runter.

Was genau im Bezug auf die Config wollt ihr sehen? Ich habe mich an einem Youtube Video orientiert.  https://www.youtube.com/watch?v=gVOEdt-BHDY

Meine Settings:
-Plugin aktiviert
-Auto. Erneuerung.
-Port 43580
-Automation Timeout 600
Konten:
-Aktiv
-namexyz
-meine mail


Überprüfungsmethode:
-name opnsense
-Herausforderung (HTTP-01 und DNS-01 getestet)

Für DNS-01:
Dienst: nsupdate
sleep 120
FQDN habe ich mal zum test einfach meine Subdomain eingegeben
Gemeinsamer Schlüssel wäre vermutlich die value aus dem TXT record?

Für HTTP-01:
HTTP-Dienst: Opnsense Webdienst
Interface: WAN
"automatische IP-Erkennung" aktiviert


Zertifikat:
- Active
- Common Name: sub.example.com
- Konto "xyz"
- Überprüfungsmethode "opnsense"
- Auto renew
- Intervall 60
- Key length 4096 Bit
- DNS Alias Mode (Not using DNS alias mode) Habe auch automatic ausprobiert.

[micneu]

ok, erster unterschied, ich setze cloudflare als dns diens bei mir ein, so kann ich meinen eigenen dyndns-dienst betrtreiben und die api wird von der sense unterstützt.

[guest24551]

Eigentlich wollte ich einen Domänenumzug vermeiden... :/

Scheinbar muss ich bei Strato etwas druck machen, wenn hier niemand eine passable Lösung hat. 

[superwinni2]

Warum Domänenumzug?
Musst nur den entsprechenden NS Eintrag von cloudflare angeben...
Habe ich selbst ebenso im Einsatz...

Gesendet von meinem LG-H815 mit Tapatalk

[micneu]

Heise hatte dazu mal einen Artikel in der ct.



Gesendet von iPad mit Tapatalk Pro

[guest24551]

Warum Domänenumzug?
Musst nur den entsprechenden NS Eintrag von cloudflare angeben...
Habe ich selbst ebenso im Einsatz...

Gesendet von meinem LG-H815 mit Tapatalk

Wenn das so einfach ist, gucke ich mir das mal an. Danke für den Hinweis!

Das DNS Thema und seine Möglichkeiten sind noch Neuland für mich. ^^

[guest24551]

Heise hatte dazu mal einen Artikel in der ct.



Gesendet von iPad mit Tapatalk Pro

Meinst du diesen Artikel?
 https://www.heise.de/select/ct/2018/4/1518744647738615

[superwinni2]

Melde dich einfach mal bei cloudflare an und gib deine Domäne ein.. Was du dann machen musst, steht dort....

PS. Bei mir hat es sogar mehr als 24 Stunden gedauert...

Gesendet von meinem LG-H815 mit Tapatalk

[guest24551]

Mache ich, danke nochmal.

[JeGr]

> Mache ich, danke nochmal.

Zur kurzen Erklärung: Du musst nicht die Domain umziehen, du musst lediglich die Möglichkeit haben (hat soweit ich mich erinnere Strato), die DNS Server der Domain zu ändern. Sobald man sich bei Cloudflare o.ä. registriert bekommt man 2 CF DNS Server zugewiesen. Diese trägt man als neue DNS Server für die Domain ein und schon liegen alle DNS Einstellungen danach bei Cloudflare. Dazu sollte man allerdings vorher wissen was man übernehmen muss (Mail Einträge etc. sonst klappt plötzlich kein Mail mehr