certbot renew Fehler

  • Hallo,

    ich wollte gerade die Lets Encrypt - Zertifikate für meine Internetseite (http://www.topsaaten.de) aktualisieren (sudo certbot renew). Jetzt bekomme ich folgende Fehlermeldung:

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

    Processing /etc/letsencrypt/renewal/www.topsaaten.de.conf

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

    Cert is due for renewal, auto-renewing...

    Plugins selected: Authenticator standalone, Installer None

    Attempting to renew cert (http://www.topsaaten.de) from /etc/letsencrypt/renewal/www.topsaaten.de.conf produced an unexpected error: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fcfb9cbd040>: Failed to establish a new connection: [Errno -3] Temporary failure in name resolution')). Skipping.

    All renewal attempts failed. The following certs could not be renewed:

    /etc/letsencrypt/live/www.topsaaten.de/fullchain.pem (failure)


    Woran liegt das? Und vor allem, was kann ich dagegen tun?

    Danke!

  • Ich hab DNS über das netcup - Customercontrolpanel eingestellt.

    Für die Domain, ja.


    Server brauchen aber auch DNS Server, um solche Domains auflösen zu können - in dem Fall um herauszufinden, wo die Let's Encrypt Server stehen.

    Guck mal in deine Netplan Konfiguration.

  • Ok, ist logisch! Und die dazugehörige config-Datei ist 50-cloud-init.yaml? Die enthält folgende Einträge:


    network:

    version: 2

    renderer: networkd

    ethernets:

    eth0:

    addresses:

    - 192.145.45.114/22

    - 2a03:4000:42:430:648d:75ff:fe6d:478c/64

    gateway4: 192.145.44.1

    gateway6: fe80::1

    match:

    macaddress: 66:8d:75:6d:47:8c


    Die Einträge in der 01-netcfg.yaml sind auskommentiert:


    # This file describes the network interfaces available on your system

    # For more information, see netplan(5).

    #network:

    # version: 2

    # renderer: networkd

    # renderer: networkd

    # ethernets:

    # ens3:

    # dhcp4: yes

  • Laut netcup Wiki (https://www.netcup-wiki.de/wiki/Nameserver) sind die Nameserver-Adressen:

    nameserver 46.38.225.230

    nameserver 46.38.252.230

    nameserver 2a03:4000:0:1::e1e6

    nameserver 2a03:4000:8000::fce6


    Verstehe ich das jetzt richtig, dass ich diese in eine Datei (z.B. /etc/netplan/certbotcfg.yaml) eintrage, also:

    Code
    1. network:
    2. version: 2
    3. renderer: networkd
    4. nameservers:
    5. addresses: [46.38.225.230,46.38.252.230,2a03:4000:0:1::e1e6,2a03:4000:8000::fce6]

    und dann mit netplan apply bestätige?

  • Hallo nochmal, auch für alle, die mal das gleiche Problem haben,


    ich hab jetzt eine Datei /etc/netplan/certbotcfg.yaml erstellt:

    Code
    1. network:
    2. version: 2
    3. renderer: networkd
    4. ethernets:
    5. eth0:
    6. nameservers:
    7. addresses: [46.38.225.230,46.38.252.230,2a03:4000:0:1::e1e6,2a03:4000:8000::fce6]

    und... Jippiiie nach sudo certbot --apache  konnten die Zertifikate installiert werden und meine Seite läuft wieder!


    HERZLICHEN DANK für Eure freundliche und schnelle Hilfe!:)

  • Ok, ich habs geändert. Nochmals vielen Dank! :)

    Die IPv6 Adresse hatte ich (wie auch die IPv4) vom Server Control Panel. Wie kommt es, dass dort die kürzere angegeben ist, anders als in der Netplan-Konfiguration?

    Dazu sollte man wissen, warum wir IPv6 haben: Weil in IPv4 die Adressen knapp werden=O!


    IPv4 hat 32-Bit pro Adresse, was etwas über 4 Milliarden Adressen ergibt. IPv6 hat 128-Bit, was ca. 3,4 * 10^38 ist (also ne 39-Stellige Zahl).

    Nun haben wir soo viele IP-Adressen, das die quasi nix kosten (weil das Angebot ja riesig ist). Also bekommst du nicht nur eine IP-Adresse, sondern gleich ein Subnetz, was quasi sagt: "Die ersten X-Bits der IP sind festgelegt, alle weiteren Bits kannst du frei bestimmen".


    Das wird dann bsp. so geschrieben: 2a03:4000:42:430::/64. Das bedeutet, dass die ersten 64-Bits fest bestimmt sind (also die ersten 4-Blöcke 2a03:4000:42:430 von den 8 IPv6-Blöcken) und du dir die restlichen Bits aussuchen kannst. In der IP vor der /64 sind dann nur alle vorgegebenen Bits gesetzt, der Rest (den du bestimmen kannst) ist auf 0 gesetzt. Die zwei Doppelpunkte sind die Kurzform in IPv6 für "füll mal mit 0en auf". 2a03:4000:42:430:: ist in Wahrheit also 2a03:4000:0042:0430:0000:0000:0000:0000. Du hast jetzt also für deinen Server von Netcup ca. 1,8 * 10^19 IPv6-Adressen bekommen;), die du nur halt vergeben musst.

    Für IPv4 gibt es auch diese Schreibweise, aber wegen der Adressknappheit bekommst du auch nur eine IP-Adresse und für weitere IPv4-Adressen musst du extra zahlen. Im Heimnetz ist bsp. üblich das Subnetz 192.168.0.0/24 zu nutzen. D.h. die ersten drei Blöcke (192.168.0, 24 Bits) sind immer gleich und die letzten 8 Bits (bzw. den letzten Block) darfst du selbst bestimmen. Somit hast du im üblichen Heimnetzwerk 256 mögliche (in Wahrheit ein paar weniger) IP-Adressen, die der Router üblicherweise per DHCP vergibt. Und wenn dein Provider schon IPv6 anbietet, dann bekommst du zu Hause je nach Provider auch ein /64 oder ein /60 IPv6-Subnetzwerk.


    Mfg 7c00


    Edit: In der Subnetzschreibweise kann man auch einzelne IPs angeben, wo es dann halt alle Bits vorgegeben sind. Wär dann in IPv4 /32 und in IPv6 /128. Das wird aber üblicherweise weggelassen, da es auch nicht wirklich ein "Subnetz" ist (da es nicht mehr als eine IP beschreibt).