certbot renew Fehler

  • Hallo,

    ich wollte gerade die Lets Encrypt - Zertifikate für meine Internetseite (http://www.topsaaten.de) aktualisieren (sudo certbot renew). Jetzt bekomme ich folgende Fehlermeldung:

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

    Processing /etc/letsencrypt/renewal/www.topsaaten.de.conf

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

    Cert is due for renewal, auto-renewing...

    Plugins selected: Authenticator standalone, Installer None

    Attempting to renew cert (http://www.topsaaten.de) from /etc/letsencrypt/renewal/www.topsaaten.de.conf produced an unexpected error: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fcfb9cbd040>: Failed to establish a new connection: [Errno -3] Temporary failure in name resolution')). Skipping.

    All renewal attempts failed. The following certs could not be renewed:

    /etc/letsencrypt/live/www.topsaaten.de/fullchain.pem (failure)


    Woran liegt das? Und vor allem, was kann ich dagegen tun?

    Danke!

  • Ich hab DNS über das netcup - Customercontrolpanel eingestellt.

    Für die Domain, ja.


    Server brauchen aber auch DNS Server, um solche Domains auflösen zu können - in dem Fall um herauszufinden, wo die Let's Encrypt Server stehen.

    Guck mal in deine Netplan Konfiguration.

  • Ok, ist logisch! Und die dazugehörige config-Datei ist 50-cloud-init.yaml? Die enthält folgende Einträge:


    network:

    version: 2

    renderer: networkd

    ethernets:

    eth0:

    addresses:

    - 192.145.45.114/22

    - 2a03:4000:42:430:648d:75ff:fe6d:478c/64

    gateway4: 192.145.44.1

    gateway6: fe80::1

    match:

    macaddress: 66:8d:75:6d:47:8c


    Die Einträge in der 01-netcfg.yaml sind auskommentiert:


    # This file describes the network interfaces available on your system

    # For more information, see netplan(5).

    #network:

    # version: 2

    # renderer: networkd

    # renderer: networkd

    # ethernets:

    # ens3:

    # dhcp4: yes

  • Laut netcup Wiki (https://www.netcup-wiki.de/wiki/Nameserver) sind die Nameserver-Adressen:

    nameserver 46.38.225.230

    nameserver 46.38.252.230

    nameserver 2a03:4000:0:1::e1e6

    nameserver 2a03:4000:8000::fce6


    Verstehe ich das jetzt richtig, dass ich diese in eine Datei (z.B. /etc/netplan/certbotcfg.yaml) eintrage, also:

    Code
    network:
      version: 2
      renderer: networkd
      nameservers:
              addresses: [46.38.225.230,46.38.252.230,2a03:4000:0:1::e1e6,2a03:4000:8000::fce6]

    und dann mit netplan apply bestätige?

  • Hallo nochmal, auch für alle, die mal das gleiche Problem haben,


    ich hab jetzt eine Datei /etc/netplan/certbotcfg.yaml erstellt:

    Code
    network:
      version: 2
      renderer: networkd
      ethernets:
        eth0:
          nameservers:
              addresses: [46.38.225.230,46.38.252.230,2a03:4000:0:1::e1e6,2a03:4000:8000::fce6]

    und... Jippiiie nach sudo certbot --apache  konnten die Zertifikate installiert werden und meine Seite läuft wieder!


    HERZLICHEN DANK für Eure freundliche und schnelle Hilfe!:)

  • Ok, ich habs geändert. Nochmals vielen Dank! :)

    Die IPv6 Adresse hatte ich (wie auch die IPv4) vom Server Control Panel. Wie kommt es, dass dort die kürzere angegeben ist, anders als in der Netplan-Konfiguration?

    Dazu sollte man wissen, warum wir IPv6 haben: Weil in IPv4 die Adressen knapp werden=O!


    IPv4 hat 32-Bit pro Adresse, was etwas über 4 Milliarden Adressen ergibt. IPv6 hat 128-Bit, was ca. 3,4 * 10^38 ist (also ne 39-Stellige Zahl).

    Nun haben wir soo viele IP-Adressen, das die quasi nix kosten (weil das Angebot ja riesig ist). Also bekommst du nicht nur eine IP-Adresse, sondern gleich ein Subnetz, was quasi sagt: "Die ersten X-Bits der IP sind festgelegt, alle weiteren Bits kannst du frei bestimmen".


    Das wird dann bsp. so geschrieben: 2a03:4000:42:430::/64. Das bedeutet, dass die ersten 64-Bits fest bestimmt sind (also die ersten 4-Blöcke 2a03:4000:42:430 von den 8 IPv6-Blöcken) und du dir die restlichen Bits aussuchen kannst. In der IP vor der /64 sind dann nur alle vorgegebenen Bits gesetzt, der Rest (den du bestimmen kannst) ist auf 0 gesetzt. Die zwei Doppelpunkte sind die Kurzform in IPv6 für "füll mal mit 0en auf". 2a03:4000:42:430:: ist in Wahrheit also 2a03:4000:0042:0430:0000:0000:0000:0000. Du hast jetzt also für deinen Server von Netcup ca. 1,8 * 10^19 IPv6-Adressen bekommen;), die du nur halt vergeben musst.

    Für IPv4 gibt es auch diese Schreibweise, aber wegen der Adressknappheit bekommst du auch nur eine IP-Adresse und für weitere IPv4-Adressen musst du extra zahlen. Im Heimnetz ist bsp. üblich das Subnetz 192.168.0.0/24 zu nutzen. D.h. die ersten drei Blöcke (192.168.0, 24 Bits) sind immer gleich und die letzten 8 Bits (bzw. den letzten Block) darfst du selbst bestimmen. Somit hast du im üblichen Heimnetzwerk 256 mögliche (in Wahrheit ein paar weniger) IP-Adressen, die der Router üblicherweise per DHCP vergibt. Und wenn dein Provider schon IPv6 anbietet, dann bekommst du zu Hause je nach Provider auch ein /64 oder ein /60 IPv6-Subnetzwerk.


    Mfg 7c00


    Edit: In der Subnetzschreibweise kann man auch einzelne IPs angeben, wo es dann halt alle Bits vorgegeben sind. Wär dann in IPv4 /32 und in IPv6 /128. Das wird aber üblicherweise weggelassen, da es auch nicht wirklich ein "Subnetz" ist (da es nicht mehr als eine IP beschreibt).

  • Hallo 7c00,

    vielen danke für die interessante und ausführliche Erklärung! Ich glaub, jetzt verstehe ich das wirklich ein bisschen besser. Es gibt noch einiges zu lernen, macht aber großen Spaß!

    Danke auch nochmal H6G für deine Hilfe!