[Modul] Let's Encrypt

paresy · 26. Februar 2023 um 19:50

Sometimes you need to update twice before you get the certificate.

And you need to restart IP-Symcon to get the certificate loaded.

paresy

DennisM · 27. Februar 2023 um 16:35

I gave up and bought a certicate. The Let’s Encrypt module just gave an error when I tried to fetch a certificate.

daniba · 28. Februar 2023 um 18:55

Man sollte ggf die Doku des Moduls dahingehend ergänzen, dass man aus der webserverinstanz vorher ein eventuell vorhandenes selfcert zertifikat rauslöscht.

Denn wenn man das nicht macht, lädt das Modul auch nicht das lets encrypt Zertifikat rein und das Ganze funktioniert nicht.
Es gibt leider auch keine Fehlermeldung oder Hinweis dazu. Habe ich dann nur zufällig durch ausprobieren herausgefunden.

daniba · 28. Februar 2023 um 19:14

Was ich aber nicht gelöst bekommen habe, ist dass die console über /console im externen Zugriff OHNE passwortabfrage aufgerufen werden kann. Via Systray habe ich natürlich den Fernzugriff deaktiviert.

Die webfronts zeigen schön die passwortabfrage. Aber was nützt mir das, wenn jemand über die console alles ändern kann…

Jemand eine Idee, warum das so ist?
Habe natürlich die Ports erstmal wieder zugemacht…

Die Portweiterleitung geht hier über mehrere Etappen intern. Also nicht direkt vom Inrernetrouter, dazwischen sind noch zwei weitere firewalls die das Port mappen

DerStandart · 1. März 2023 um 15:52

Ich komme bzgl. der Erneuerung des Zertifikates hier auch nicht ans Ziel. Das schlägt fehl.

Hat jemand das gleiche Problem?

tobiasr · 2. März 2023 um 11:28

Solange ich IP-Symcon zum neuladen des Zertifikats neustarten muss, schaue ich mir das Modul nicht an. Finde ich etwas schade, denn Potenzial hätte es.

Mit welcher Fehlermeldung schlägt es fehl? Ohne mir das Modul genauer angesehen zu haben, zeitweise (beim ersten mal?, immer?) nutzt Lets-Encrypt zwangsweise Port 80 ohne SSL zur Überprüfung.

DerStandart · 2. März 2023 um 14:11

Genau war dort lag das Problem. Habe das Problem gestern Abend noch lösen können, indem ich in den Debug des Moduls geschaut habe. Es wird eine unverschlüsselte Verbindung über Port 80 aufgebaut, um das Zertifikat zu verlängern. Diese lasse ich natürlich nicht zu.

Ist natürlich ein riesiger Akt, jedes Mal die Verschlüsselung zu deaktivieren, zu verlängern, Verschlüsselung wieder aktivieren. Dazwischen gefühlt 8 Mal den Dienst neu starten. Alles nicht so flüssig.

Das in Arbeitszeit umgerechnet, da ist es „echtes“ Zertifikat vermutlich günstiger.

rdt69 · 12. Februar 2024 um 19:03

Würde ich auch gerne nutzen aber mit manuellem neustart bring es nichts. Wie macht ihr die Erneuerung an meinem Hauptwohnsitz mache ich es über ein NAS, am Nebenwohnsitz läuft Symcon auf einem Raspberry

daniba · 13. Mai 2024 um 11:35

Wir haben nun nachdem es viele male mit dem manuellen Erneuern funktioniert hat plötzlich Probleme beim Erneuern, die wir nicht gelöst bekommen…
Hat noch jemand eventuell Probleme derzeit?
Es gibt bei Lets encrypt einen Hinweis auf Änderungen seit April 24 die bei der Erneuerung zu solchen Problemen führen können:

onkeldirk · 13. Mai 2024 um 13:18

Hallo, Ich versuche gerade ein Zertifikat zu beantragen bei Lets encrypt.
Es wird mir eine Datei unter C:\ProgramData\Symcon\webfront.well-known\acme-challenge angelegt und auch im Debug angezeigt aber ich bekomme einen Fehler.

Wenn ich die URL aus dem Debug von einem Browser aufrufe dann bekomme ich „File not found“ angezeigt.

Im wireshark sehe ich das
Hypertext Transfer Protocol
HTTP/1.1 404 Not Found\r\n
[Expert Info (Chat/Sequence): HTTP/1.1 404 Not Found\r\n]
Response Version: HTTP/1.1
Status Code: 404
[Status Code Description: Not Found]
Response Phrase: Not Found

Ich komme mit URL auch auf das IPS.

Mir gehe gerade die Ideen aus.

Gruß
Dirk

DerStandart · 13. Mai 2024 um 14:44

Ich hatte mit dem Modul schon immer Probleme. Ich musste immer irgendwie den Port 80 freigeben, um das Zertifikat zu erneuern, da irgend ein Teil der Erneuerung immer unverschlüsselt lief. So richtig funktionierte das Erneuern bei mir nie. Ich habe es daher vor längerer Zeit aufgegeben.

daniba · 13. Mai 2024 um 17:37

das ist das gleiche problem wie bei uns. Bis jetzt lief es, es wurde unsererseits nichts geändert.
Und ja, die Port 80 freigabe haben wir jedesmal freigeschaltet zur Erneuerung…

Tut es jetzt aber auch nicht mehr.
Fehler 404…

daniba · 13. Mai 2024 um 17:59

und manchmal dann der hier:

Fatal error: Uncaught TypeError: Cannot access offset of type string on string in /var/lib/symcon/modules/.store/de.paresy.letsencrypt/libs/vendor/rogierw/rw-acme-client/src/Endpoints/Directory.php:21
Stack trace:
#0 /var/lib/symcon/modules/.store/de.paresy.letsencrypt/libs/vendor/rogierw/rw-acme-client/src/Endpoints/Account.php(66): Rogierw\RwAcme\Endpoints\Directory->newAccount()
#1 /var/lib/symcon/modules/.store/de.paresy.letsencrypt/LetsEncrypt/module.php(47): Rogierw\RwAcme\Endpoints\Account->get()
#2 /var/lib/symcon/scripts/__generated.inc.php(439): LetsEncrypt->FetchCertificate()
#3 /-(3): LE_FetchCertificate(51501)
#4 {main}
thrown in /var/lib/symcon/modules/.store/de.paresy.letsencrypt/libs/vendor/rogierw/rw-acme-client/src/Endpoints/Directory.php on line 21

daniba · 14. Mai 2024 um 11:19

ich habe es nun auch aufgegeben…
Da steht die Fummelei und sucherei in keinem Verhältnis zum Nutzen.

Ich habe nun ein Zertifikat gekauft und eingebunden.
Und es läuft…nach 7.5 Minuten.