Lets encrypt und Subdomains mit Redirect

  • Hallo,


    bei der Sichtung des Logfiles zum Cronjob für die Funktion "letsencrypt -all" ist mir aufgefallen, das für diverse Subdomains kein Zertifikat ausgestellt wird.


    Hierbei wird immer folgendes protokolliert:

    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator webroot, Installer None
    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for subdomain.domain.de
    Using the webroot path /opt/pdadmin/etc/ssl-validation for all unmatched domains.
    Waiting for verification...
    Cleaning up challenges
    Failed authorization procedure. subdomain.domain.de (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from
    http://subdomain.domain.de/.we…YXr-VOBvsbQyqxuncFh92nV0s: q%!(EXTRA string=<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html )
    IMPORTANT NOTES:
    - The following errors were reported by the server:

    Domain: subdomain.domain.de
    Type: unauthorized
    Detail: Invalid response from
      
    http://subdomain.domain.de/.we…YXr-VOBvsbQyqxuncFh92nV0s:
    q%!(EXTRA string=<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0
    Transitional//EN"
    "
    http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html )

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address.
    certbot-auto failed###############################


    Bei Prüfung habe ich festgestellt, das diese Domains alle einen Redirect auf eine andere Adresse durchführen (Redirect 301), weil es so vom Kunden konfiguriert wurde.
    Aus meiner Sicht dürfte hier entweder:
    - gar kein letsencrypt Versuch gemacht werden, da die ggfs. externe Quelle bzw. der andere Pfad kein Anlegen des Challenge Files zuläßt
    - oder in dem Container mit dem Redirect müsste auch eine alias-Konfiguration erfolgen, was aber nicht passiert.

    Hat jemand anders von euch auch dieses Problem und wenn ja, wie geht ihr damit um?




  • Hallo,

    ja, das wohl überall so. Wenn mir das auffällt nehme ich den Redirect raus und mache eine Umleitung mit .htaccess dann wird das Zertifikat richtig erzeugt.


    Zu wünschen wäre aber wenn es in der Subdomain-Verwaltung im customer-Bereich die Möglichkeit gibt für einzelne Subdomains das letsencrypt abzuwählen, denn es kommt auch immer mal vor das Domains angelegt sind, gerade www ja automatisch sobald die Domain angelegt ist um nur eine Subdomain zu betreiben. Dann läuft der letsencrypt für die www. auch ins leere.


    Aber wenn man weiß warum die melden kommen kann man sich auch daran gewöhnen, man muss halt die Logfiles noch genauer durchschauen weil ein wirklicher Fehler dann nicht so schnell sichtbar ist.