Letsencrypt Fehler

FlorianL · September 11, 2021, 5:56pm

Hallo Community,

ich bin gerade dabei auf meinem Raspberry Pi 4 die Nextcloud zu installieren. Soweit hat auch alles geklappt.
ich habe den Port 80 und 443 freigeschalten, ein DynDNS unter DuckDns .org eingerichtet.
Leider bekomme ich es nicht hin ein Zertifikat zu erstellen. ich erhalte immer eine Fehlermeldung.

[ letsencrypt ] (Sat Sep 11 18:42:33 BST 2021)
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for x.duckdns. org
Using the webroot path /var/www/nextcloud for all unmatched domains.
Waiting for verification…
Cleaning up challenges
Failed authorization procedure.x.duckdns.org (http-01): urn:ietf:params:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching https://x.duckdns.org/.well-known/acme-challenge/-bTyvNRE5g0hc_7AOmjE3GOGppGwHdvRXJLtBJVga9o: Error getting validation data
IMPORTANT NOTES:

The following errors were reported by the server:

Domain: x.duckdns.org
Type: connection
Detail: Fetching
https://x.duckdns.org/.well-known/acme-challenge/-bTyvNRE5g0hc_7AOmjE3GOGppGwHdvRXJLtBJVga9o:
Error getting validation data

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you’re using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.

die NextCloud ist über die DynDNS erreichbar, zumindest bis zur Seite wo mir gesagt wird “Zugriff über eine nicht vertrauenswürdige Domain”.

Leider kann ich keine Screenshots hochladen. Ich bekomme immer einen Fehler wenn ich es versuche…

Könnt Ihr mir weiterhelfen und mir den Fehler nennen. Vielen Dank im Vorraus.

Gruss Florian

ZendaiOwl · September 14, 2021, 11:40pm

I used Google translate, unfortunately I don’t speak German.

This issue should be due to nc-https-only being active which caused the challenge request from the certbot on port 80 using http to fail.

Try turning this setting off and retry for a certificate and it should work for you, don’t forget to turn it back on afterwards

FlorianL · September 15, 2021, 6:00pm

Hello ZendaiOwl,

your proposed solution was correct. I have now created a certificate and turning on the settings for https only to on.

However, i still get a message that this site is not secure. the message does not come safely in the browser either.

I have reboot the Cloud, but the problem was not resolved.

ZendaiOwl · September 15, 2021, 7:51pm

Great that it worked for getting the certificate

Is this when you’re using the Web-UI i.e nextcloudpi.local:4443 or your.domain:4443 that it says you’re on a untrusted site?

Nanu · September 15, 2021, 7:56pm

Na ist doch schön das alle Englisch schreiben. Nur hilft das die Deutschen Benutzer wenig. … wenn man das in ein Deutschen Unterforum schreibt

Mornsgrans · September 15, 2021, 7:56pm

What dows you browser tell, if you view the certificate details? - Does it show, thet the certificate is verified by Letsencrypt? Is the domain name in “View certificate” the right one?
Does the Apache/Nginx SSL configuratin file point to the Letsencrypt certificate?

FlorianL · September 15, 2021, 8:48pm

Entschuldigung, ich werde wieder auf deutsch schreiben.

Wenn ich auf dem Dashboard bin, wird mir ein gültiges Zertifikat angezeigt.
Wenn ich dann auf die nc Admin Oberfläche wechseln möchte, geht eine neue Seite auf mit dem Hinweis “ERR_CONNECTION_TIMED_OUT”, Seite nicht erreichbar. Auch das Zertifikat ist dann nicht mehr gültig. Irgendwie bin ich ratlos.

Mornsgrans · September 16, 2021, 8:53pm

Ändert sich dabei vielleicht die URL (https://hostname.domain/xxx)?

FlorianL · September 17, 2021, 7:09am

Die Domain ändert sich in https und Port 4443.

https://xxx.duckdns.org:4443/

Hat es was damit zu tun das im fritz Box Router der Port 443 frei ist aber in der URL 4443 steht?

bb77 · September 17, 2021, 9:00am

Wo ändert sich das? Im Browser? Versuche mal den Browser zurückzusetzten oder die URL im “privaten” Modus aufzurufen.

Ja damit certbot die Zertifikate automatisch beziehen kann, muss Port 80 und 443 offen sein und der Webserver, respektive der Apache VirtualHost für die Nextclud, muss auch auf diese Ports hören. Port 4443 ist doch soviel ich weiss das Admin Interface von NextcloudPi? Das sollte sowieso nicht von ausserhalb des lokalen Netzwerks errreichbar sein, imho.

FlorianL · September 17, 2021, 9:30am

An meinem geschäftsrechner habe ich das selbe.

Und ja ich meine das admin interface… Wenn es aber grundsätzlich nicht von außen zu erreichen ist dann passts ja…

Noch eins. Wenn ich im lokalen Netz bei mir zuhause über die interne IP die cloud Aufrufe kommt auch eine Meldung auf eine unsichere seite.

bb77 · September 17, 2021, 9:46am

Das liegt daran, dass du die Seite via IP Adresse aufrufst. Das Zertifikat gilt nur für den Domainnamen. Um eine sichere Verbindung angezeigt zu bekommen, muss du auch von intern den DNS Namen verwenden, um deine Cloud aufzurufen. Falls das nicht funktioniert, schaue mal im Router nach einer Einstellung wie NAT-Loobback, Hairpinning o.ä…

https://www.datamate.org/nat-loopback-oder-wie-dyndns-fuers-interne-netzwerk-fit-gemacht-werden-kann/