OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Fehler bei ACME-Challenge an Server hinter nginx-reverse-proxy mit CNAME-Eintrag
« previous next »
  • Print
Pages: [1]

Author Topic: Fehler bei ACME-Challenge an Server hinter nginx-reverse-proxy mit CNAME-Eintrag  (Read 652 times)

mm2023

  • Newbie
  • *
  • Posts: 7
  • Karma: 0
    • View Profile
Fehler bei ACME-Challenge an Server hinter nginx-reverse-proxy mit CNAME-Eintrag
« on: January 03, 2023, 12:54:11 am »
Hallo zusammen,

ich habe einen Acme-Challenge-Fehler (Timeout der well-known-Adresse) bei der Aktualisierung eines Zertifikats.

Folgender Aufbau:

Subdomain sub.domain.tld verweist per CNAME-Record auf andere.zweitdomain.tld.

Der Server hinter andere.zweitdomain.tld liegt hinter einer OPNsense.
Auf der OPNsense ist nginx aktiviert und eingerichtet. Der Server ist erreichbar und funktioniert ordnungsgemäß.
Der Server selbst ist ein Docker-Container.

Bei der Aktualisierung des Zeritifikats wird nun ein Timeout beim Abruf der well-known-Adresse festgestellt.

Konfiguration ACME-Client: HTTP-01 auf Schnittstelle WAN.

Konfiguration NGINX-Eintrag:
  • Position
    - URL-Pattern: /
    - Match Type: Don't check REGEX
    - HTTPS erzwingen: ja
    - HTTP/2-Preloading: ja

  • HTTP-Server
    -  Enable Let's Encrypt Plugin Support: ja
    - HTTPS only: ja

Aktuell weiß ich nicht, warum die Ausgabe der Zertifikats beim ersten Mal funktioniert hat und warum die Erneuerung nun nicht funktioniert. Ich habe schon verschiedenes ausprobiert. Mir gehen langsam die Ideen aus. Hat jemand von euch eine Idee?[/list]
Logged

mm2023

  • Newbie
  • *
  • Posts: 7
  • Karma: 0
    • View Profile
Re: Fehler bei ACME-Challenge an Server hinter nginx-reverse-proxy mit CNAME-Eintrag
« Reply #1 on: January 13, 2023, 12:25:04 pm »
Hat niemand eine Idee?

Ich vermute, dass es evtl. am Port 80 bzw. an der Portweiterleitung liegt.
Wenn ich im ACME-Plugin den Debug-Modus schalte und dann die im Log aufgelistete http-Adresse manuell aufrufe, erhalte ich die Datei als Download, da sie bei Abbruch vom ACME-Modul nicht gelöscht wird.
Insofern scheint es also mit der Portweiterleitung, die ja nur temporär für die Dauer der Aktualisierung gesetzt werden soll, nicht zu funktionieren. Ich frage mich nur, woran das liegen kann und was ich ggf. ändern muss.

Evtl. hilfreich:

Den Verwaltungsport habe ich auf einen anderen Port als 443 gesetzt, da die 443-Portweiterleitung für nginx gebraucht wird.
Die Anti-Aussperrregel ist im LAN auf Port 80 und dem neuen Verwaltungsport für https aktiv.
Diese Einstellungen waren allerdings auch schon so, als das Zertifikat das erste Mal gesetzt wurde.

Mir ist im Log außerdem aufgefallen, dass das Skript nur bis 5/30 zählt, bis es abbricht. Es werden also nicht 30 Sekunden (?) abgewartet.

Grüße
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Fehler bei ACME-Challenge an Server hinter nginx-reverse-proxy mit CNAME-Eintrag
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2