Error cannot load certificate “/etc/letsencrypt/live/domainname/fullchain.pem”

  • Liebe netcup-Community,

    ich habe eine domain (nennen wir sie 'example.de') mit netcup webhosting 2000 gekauft und dann per Letsencrypt SSL eingerichtet (SSL mit www Abdeckung und 301-Weiterleitung von HTTP zu HTTPS aber ohne wildcard-Zertifikat).

    Ich habe auch meine netcup domain per DNS edit auf die statische IP meiner Google Cloud Engine verwiesen. Das klappt schonmal.


    Jetzt moechte ich eine docker-compose Umgebung mit nginx server mit Let's Encrypt betreiben. Beim aufsetzen findet der certbot (vom nginx container) kein certificate:

    Code
    cannot load certificate "/etc/letsencrypt/live/example.de/fullchain.pem":

    und eine weitere Fehlermeldung:


    Code
    Requesting a certificate for example.de
    
    Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems:
      Domain: example.de
      Type:   unauthorized
      Detail: 2a03:4000:61:707e::19:6824: Invalid response from http://example.de/.well-known/acme-challenge/Iy1smus6alIGa9V4WTMeNdkuf4vC-T8DjzWQdJwad1k: 404
    
    Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

    Bei einem anderen Domain Provider hatte ich dieses Problem nicht. Liegt vllt. das Letsencrypt certificate woanders bei netcup?


    Hat jemand schon ähnliches erlebt und kennt einen Fix?



    Vielen Dank!

  • Sieht auf den ersten Blick so aus als hättest du nur den A-Record (IPv4-Adresse), nicht aber den AAAA-Record (IPv6-Adresse) auf die Google Endpunkte geändert. Versuch mal IPv6 (AAAA-Record) im DNS-Editor bei Netcup für die Domain zu entfernen oder auf den Wert von GCP anzupassen.

  • Liegt vllt. das Letsencrypt certificate woanders bei netcup?

    Wenn du die A/AAAA Records umbiegst Richtung Google Server ist doch Netcup Webhosting gar nicht mehr für Zertifikate zuständig. Das läuft, wenn keine DNS Challenge genutzt wird, lokal auf dem Server und somit ist Netcup dann raus.


    Oder ich steh auf dem Schlauch und habe dein Setup nicht richtig verstanden. :)

  • Danke fuer die Tipps!

    Damit hat es geklappt:

    1) Remove IPv6 (AAAA-Record) in the DNS-Editor at Netcup

    2) Allow http & https in der GCP firewall

    3) Allow tcp:8080 in der GCP firewall


    Danke tldev & @DerRené :)

  • Und wieder einer, der IPv6 lieber deaktiviert, anstatt sich mal damit zu befassen und es vernünftig einzurichten. :(


    Du setzt damit dauerhaft auf Technik von Gestern, das sollte dir klar sein.