Letsenscript Zertifikat lässt sich nicht aktualisieren

[details=“Support intro”]

Hallo, ich komme als Netzwerkanfänger nicht weiter. Meine Ausstattung: Mini-PC Intel NUC i5, Ubuntu 22.04, Apache 2.52, Certbot 1.21, Nextcloud 30.0.2, FritzBox 7590 mit Portfreigaben für 80 und 443, DynDNS über NOIP. Das automatische Aktualisieren des Let’s Encrypt-Zertifikats funktioniert nicht mehr. Die Certbot-Log-Ausgabe habe ich unten angefügt. In den letzten Wochen wurden mehrere Updates durchgeführt und die Umstellung von DSL auf Glasfaser vorgenommen. Wie kann ich herausfinden, wo genau das Problem liegt? Ich habe bereits zahlreiche Beiträge durchgelesen, bin aber zu keiner Lösung gekommen.

Zugriff NC über https und http (Weiterleitung https) funktioniert.

Ausgabe certbot renew -v

Saving debug log to> /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/nyenhuis.myftp.org.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate is due for renewal, auto-renewing...
Plugins selected: Authenticator apache, Installer apache
Renewing an existing certificate for nyenhuis.myftp.org
Performing the following challenges:
http-01 challenge for nyenhuis.myftp.org
Waiting for verification...
Challenge failed for domain nyenhuis.myftp.org
http-01 challenge for nyenhuis.myftp.org

Certbot failed to authenticate some domains (authenticator: apache). The Certificate Authority reported these problems:
  Domain: nyenhuis.myftp.org
  Type:   dns
  Detail: no valid A records found for nyenhuis.myftp.org; no valid AAAA records found for nyenhuis.myftp.org

Hint: The Certificate Authority failed to verify the temporary Apache configuration changes made by Certbot. Ensure that the listed domains point to this Apache server and that it is accessible from the internet.

Cleaning up challenges
Failed to renew certificate nyenhuis.myftp.org with error: Some challenges have failed.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
All renewals failed. The following certificates could not be renewed:
  /etc/letsencrypt/live/nyenhuis.myftp.org/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

Auszug letsenscript.log

.
.
.

2024-11-10 12:26:18,007:DEBUG:certbot._internal.error_handler:Calling registered functions
2024-11-10 12:26:18,007:INFO:certbot._internal.auth_handler:Cleaning up challenges
2024-11-10 12:26:18,177:ERROR:certbot._internal.renewal:Failed to renew certificate nyenhuis.myftp.org with error: Some challenges have failed.
2024-11-10 12:26:18,178:DEBUG:certbot._internal.renewal:Traceback was:
Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/certbot/_internal/renewal.py", line 475, in handle_renewal_request
    main.renew_cert(lineage_config, plugins, renewal_candidate)
  File "/usr/lib/python3/dist-packages/certbot/_internal/main.py", line 1386, in renew_cert
    renewed_lineage = _get_and_save_cert(le_client, config, lineage=lineage)
  File "/usr/lib/python3/dist-packages/certbot/_internal/main.py", line 122, in _get_and_save_cert
    renewal.renew_cert(config, domains, le_client, lineage)
  File "/usr/lib/python3/dist-packages/certbot/_internal/renewal.py", line 335, in renew_cert
    new_cert, new_chain, new_key, _ = le_client.obtain_certificate(domains, new_key)
  File "/usr/lib/python3/dist-packages/certbot/_internal/client.py", line 389, in obtain_certificate
    orderr = self._get_order_and_authorizations(csr.data, self.config.allow_subset_of_names)
  File "/usr/lib/python3/dist-packages/certbot/_internal/client.py", line 439, in _get_order_and_authorizations
    authzr = self.auth_handler.handle_authorizations(orderr, self.config, best_effort)
  File "/usr/lib/python3/dist-packages/certbot/_internal/auth_handler.py", line 90, in handle_authorizations
    self._poll_authorizations(authzrs, max_retries, best_effort)
  File "/usr/lib/python3/dist-packages/certbot/_internal/auth_handler.py", line 178, in _poll_authorizations
    raise errors.AuthorizationError('Some challenges have failed.')
certbot.errors.AuthorizationError: Some challenges have failed.
2024-11-10 12:26:18,179:DEBUG:certbot._internal.display.obj:Notifying user:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2024-11-10 12:26:18,180:ERROR:certbot._internal.renewal:All renewals failed. The following certificates could not be renewed:
2024-11-10 12:26:18,180:ERROR:certbot._internal.renewal:  /etc/letsencrypt/live/nyenhuis.myftp.org/fullchain.pem (failure)
2024-11-10 12:26:18,180:DEBUG:certbot._internal.display.obj:Notifying user: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2024-11-10 12:26:18,180:DEBUG:certbot._internal.log:Exiting abnormally:
Traceback (most recent call last):
  File "/usr/bin/certbot", line 33, in <module>
    sys.exit(load_entry_point('certbot==1.21.0', 'console_scripts', 'certbot')())
  File "/usr/lib/python3/dist-packages/certbot/main.py", line 15, in main
    return internal_main.main(cli_args)
  File "/usr/lib/python3/dist-packages/certbot/_internal/main.py", line 1574, in main
    return config.func(config, plugins)
  File "/usr/lib/python3/dist-packages/certbot/_internal/main.py", line 1460, in renew
    renewal.handle_renewal_request(config)
  File "/usr/lib/python3/dist-packages/certbot/_internal/renewal.py", line 500, in handle_renewal_request
    raise errors.Error("{0} renew failure(s), {1} parse failure(s)".format(
certbot.errors.Error: 1 renew failure(s), 0 parse failure(s)
2024-11-10 12:26:18,181:ERROR:certbot._internal.log:1 renew failure(s), 0 parse failure(s)

Bist Du sicher, dass Deine Cloud von extern erreichbar ist und eine eigene IP-Adresse hat?

Stand jetzt bekomme ich von nyenhuis.myftp.org keine Ping-Antwort.

meistens geht diese Umstellung mit einer Umstellung von IPv4 auf eine IPv6-Adresse von statten. Du wirst jetzt eine IPv6-Adresse haben.
Das könnte Auswirkungen auf den LE-erneuerungsprozess haben. Da musst du allerdings nachlesen.
zusätzlich kann es auch zu erforderlichen Anpassungen kommen, in Bezug auf NOIP.
Wie @rakekniven schon sagte, schau zuerst, ob du deinen Server überhaupt von außen erreichen kannst

Hallo, der Zugriff per App (Android) auf nyenhuis.myftp.org funktioniert. Teste morgen von der Arbeit den Zugriff incl. Ping

sofern du im selben (W)LAN bist wie dein Server klappt das vermutlich auch. Interessant wird es, wenn du richtig von außerhalb deines Netzwerks zugreifst.
Also ich erreiche deine Seite über den Link oben nicht. Gibt erst eine “nur Http”-Warnung und dann ein Timeout

Hier die Antwort von NOIP:

Hello,

Thank you for contacting No-IP support. My name is Daniel and I will be happy to assist you.

Doesn’t look like there are any issues on our end. That domain is resolving:

nyenhuis.myftp.org. 16 IN A 100.69.48.187

You will have to go through Let’s Encrypt for troubleshooting.

Alternatively you could try setting up one of our certificates. It is more of a manual process though: How to Receive and Install an SSL Certificate | Support | No-IP Knowledge Base

Regards

Dann müsste doch eigentlich ein PING funktionieren?

Die IP ist für mich nicht erreichbar.

du hast sicher einen neuen Router bekommen @nyjo ggf ist dort die Portweiterleitung nicht eingerichtet oder sowas.

die FB7590 kann doch gar kein Glasfaser… oder?

aber wie auch immer, LE sucht definitiv nach der IPv6 Adresse und findet die nicht.
Falls du IPv4 UND IPv6 aktiviert hast in deiner FB, solltest du aufpassen, soweit ich weiß, musst du die Portfreigaben in der FB auch für IPv6 (gesondert) eingeben.

ah, jetzt verstehe ich, du hast die FB7590 an einem externen GF-Modem hängen (am WAN-Port). Je nachdem sollte man auch dort ggf die Ports auf die FB weiterleiten.

Läuft wieder !
Ursache war DS-Lite, d.h. keine öffentliche IPv4-Adresse.

Was musste gemacht werden:

Host bei NOIP löschen und mit einem AAAA-Eintrag neu erstellen.
WICHTIG: Bei der Neuanlage die IPv6-GUA-Adresse des Nextcloud-Servers verwenden.

Danke für eure Unterstützung!

Sehr gut, dass Du die Lösung hast.

Kupfer auf Glasfaser riecht nach solchen Themen.
Es lohnt sich den Podcast c’t-uplink von heise zu hören.

This topic was automatically closed 8 days after the last reply. New replies are no longer allowed.