[GELÖST] Let's Encrypt Renew - Verify error

Started by PiMas, March 09, 2021, 08:30:13 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
March 09, 2021, 08:30:13 PM Last Edit: March 11, 2021, 02:45:00 PM by PiMas
Hallo

Ich habe Nextcloud via HAProxy mit LE am laufen. Jetzt ist das Zertifikat zum ersten mal abgelaufen und der automatische Renew hat nicht funktioniert. Das Log meint:
Code Select
Verify error:Fetching https://nc.meine.domain:444/.well-known/acme-challenge/xyz123: Invalid port in redirect target. Only ports 80 and 443 are supported, not 444

Port 444 ist das Webinterface von OpnSense.

Als ich das letzten Dezember eingerichtet habe, konnte das Zertifikat auch problemlos erstellt werden.
Was könnte mein Problem sein?

lg
March 09, 2021, 08:54:25 PM #1
Zeig uns Mal deine LE config (screenshots)
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 09, 2021, 09:23:37 PM #2
Die Einrichtung habe ich 1:1 von hier übernommen: https://schulnetzkonzept.de/opnsense (Abschnitt Reverse-Proxy)

lg
March 10, 2021, 10:27:50 AM #3
Gibt es eine Möglichkeit das Zertifikat auf einem alternativen Weg zu generieren und in Opnsene zu hinterlegen?
March 10, 2021, 11:39:44 AM #4
Für das HTTP-Challenge-Response-Verfahren darf kein Redirect ausgelöst werden. /.well-known/acme-challenge muss auf Port 80 bedient werden.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 10, 2021, 03:54:30 PM #5
Verstehe, wo aber könnte der Redirect eingestellt sein? Das einzige wo ich finde, ist die Port-Forward Regel, welche den 80er auf den IP Alias für HAProxy weiterleitet, ebenfalls auf 80.

Was ich auch nicht begreife: Ich habe das im letzten Dezember eingerichtet und seither keine Veränderung diesbezüglich gemacht. Damals konnte ich das Zertifikat mit den aktuellen Einstellungen auf Anhieb generieren.

Kann es sein, dass zwischenzeitlich mit einem Firmware Update beim LE-Plugin was geändert wurde? Zb kam mit 20.7.7 os-acme-client 2.2.

Ich komme gerade nicht weiter  :'(
March 11, 2021, 10:15:41 AM #6
Diese Fehler habe ich ständig, es geht... viele Tage... Dann ohne Änderung nicht mehr.
Betrifft bei mir aber nur die Erneuerung über HA-Proxy.
Über Lets Encrypt funktioniert es, zumindest über tcp/80.
Welche Variante nutzt du?
Ist deine Sense aus dem Internet über tcp/80 erreichbar?

March 11, 2021, 10:48:39 AM #7
Quote from: lenny on March 11, 2021, 10:15:41 AM
Welche Variante nutzt du?
80 & 443 laufen bei mir über HAProxy

Quote from: lenny on March 11, 2021, 10:15:41 AM
Ist deine Sense aus dem Internet über tcp/80 erreichbar?

Beim Versuch von extern auf 80 zuzugreifen, wird auf 443 umgeleitet: HTTP Strict Transport Security (HSTS)
March 11, 2021, 11:13:59 AM #8
Welche Challange nutzt du?
HA oder Lets?
March 11, 2021, 11:24:05 AM #9
Sieht nach HA aus (siehe Screenshots)
March 11, 2021, 11:25:13 AM #10
Sind die Regeln, Backends, Frontends in der HA Config dafür auch aktiviert? Sowie der Haken im LE Plugin?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 11, 2021, 11:31:25 AM #11
Joa den Fehler kenne ich. Funktioniert bei mir auch nur sporadisch.
Stell mal auf Lets Encrypt um, anstelle von HA Proxy... Dann wirds gehen
March 11, 2021, 11:45:40 AM #12
Quote from: lfirewall1243 on March 11, 2021, 11:25:13 AM
Sind die Regeln, Backends, Frontends in der HA Config dafür auch aktiviert? Sowie der Haken im LE Plugin?
Ja, denke schon (siehe Screenshots)

Quote from: lenny on March 11, 2021, 11:31:25 AM
Joa den Fehler kenne ich. Funktioniert bei mir auch nur sporadisch.
Stell mal auf Lets Encrypt um, anstelle von HA Proxy... Dann wirds gehen
Wo muss ich das umstellen? Habe beim Challenge Type nur noch DNS-01 zur Auswahl
March 11, 2021, 11:51:30 AM #13
Lets encrypt. challange type, dort lets encrypt anstelle ha proxy
March 11, 2021, 11:59:16 AM #14
Meinst du den Hacken "HAProxyIntegration" (siehe Screenshot)?
Print
Go Up Pages1 2
User actions