Lets Encrypt austellen nicht möglich

  • Hallo,


    ich habe mir das Webhosting 1000 inkl. einer Domain gekauft. Darauf wollte ich ein Wordpress laufen lassen und mit Lets Encrypt Zertifikat HTTPS tauglich machen.
    Eigentlich wollte ich so einen Server aufsetzten der Wartungsarm ist, leider habe ich es bisher noch nicht geschafft ein Zertifikat zu beantragen, ich bekomme immer diesen Fehler.

    Code
    SSL/TLS-Zertifikat konnte für bridgehole.de nicht ausgestellt werden.
    Details:Let's Encrypt-SSL/TLS-Zertifikat konnte nicht ausgestellt werden für bridgehole.de. Die Autorisierung dieser Domain ist fehlgeschlagen.
    DetailsInvalid response from https://acme-v02.api.letsencrypt.org/acme/authz-v3/145543659537.
    Details:
    Type: urn:ietf:params:acme:error:connection
    Status: 400
    Detail: 202.61.232.154: Fetching https://bridgehole.de/.well-known/acme-challenge/Apwak7_u2OO5OkzPyhpB0GTXdyUuhjhPe3glzyGDd78: Connection refused

    Ich habe jetzt alles mögliche Probiert, aber nix scheint zu funktionieren.
    Den Support habe ich diesbezüglich auch eine Email geschrieben, aber bisher leider noch keine Antwort bekommen.

    Mach ich was falsch?
    Ist das ein allgemeines Problem?
    Wie wäre das richtige vorgehen?
    Muss eine App (Wordpress, Drupal ...) davor installiert sein oder ist das Zertifikat unabhängig hiervon?


    Ich komme hier einfach nicht weiter und hoffe das ich dieses Problem zusammen mit der Community gelöst bekomme.


    Gruß smk

  • Zeile 7 oben lässt vermuten, dass hier eine unbedingte Umleitung httphttps aktiv ist, was für die gewählte initiale ACME-Challenge so nicht sein darf* (wel­ches ak­zep­tier­te TLS-Zertifikat sollte denn verwendet werden, um die Challenge-Antwort auszuliefern?). Hier ist zumindest eine Aus­nahme­regel (für das Ober­ver­zeich­nis) vorzusehen.


    * EDIT: Grundsätzlich ginge das seitens LetsEncrypt schon via „TLS-ALPN-01“, was meines Wissens aber in Verbindung mit dem Netcup-Webhosting nicht unterstützt wird

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    2 Mal editiert, zuletzt von m_ueberall ()

  • Hay,


    wenn ich die Domain aufrufe, dann kommt "Domain noch nicht zugewiesen / in Zuweisung". Das kann mM zwei Ursachen haben:


    1. Die Domain ist tatsächlich noch keinem Webhosting zugewiesen, dann https://www.netcup-wiki.de/wik…zus.C3.A4tzlichen_Domains folgen - anschließend gilt dann 2.
    2. Die Domain wurde "gerade eben" zugewiesen und dann kann es bis zu 48h dauern, bis sich das weltweit in den DNS-Server herumgesprochen hat. So lange verweist die Domain auf das Parking und da lässt sich selbstverständlich die .well-known nicht finden

    Also zuweisen und ein wenig Geduld haben...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Gefällt mir 1
  • So wie es aussieht, ist diese Domain einem Webhosting schon zugewiesen. Siehe folgenden Auszug:

    Eventuell wurde die Domain noch nicht auf dem Webserver mxe89c.netcup.net automatisiert auf das entsprechende Verzeichnis konfiguriert, sodass es hier noch auf eine entsprechende Fehlerseite zeigt, da eventuell das entsprechende Skript hängt. Von daher würde ich einfach mal ein Ticket aufgeben.

  • Hallo,


    danke für die Antworten.


    1. Domain ist länger als 48h beantragt worden.

    2. Ich wollte prüfen was m_ueberall mit HTTP->HTTPS geschrieben hatte.


    Da ich nichts gefunden hatte, wollte ich ein Urzustand haben. Wollte die App nochmal entfernen. Was aber irgendwie nicht geht.


    meine_anwendungen.png

    Klick auf Entfernen:
    button.png


    Dann erscheint im Browser als JSON ein Success. Aber löschen tut er nix
    success-json-webmeldung.png



    Was ich halt nicht verstehe, warum habe ich (ich denke das man das in Plesk sieht - bin neu und kann die ganzen Portale noch nicht 100% trennen)


    domains.png


    Meine Domain und mein (vorläufiger Hostname)

    Auf beiden kann ich eine APP installieren .... aber dachte in WEBHOSTING 1000 ist nur eine APP Installation erlaubt?


    Blick da noch nicht wirklich durch.


    Gibt es eine Möglichkeit den Server nochmal eine Art Reset durchzuführen und eine Schritt für Schritt Anleidung durchzugehen?
    Denke, ich habe irgendwo, irgendwas falsch gemacht und nun daher kommt dann der Fehler.


    Gruß smk

  • Da die Fehlermeldung "Server Error 403 Forbidden" kommt, versucht der Server schon auf das entsprechende Verzeichnis zuzugreifen.


    Leg mal eine Datei index.html mit dem Inhalt Halo unter dem Verzeichnis, auf die die Domain eingerichtet ist ab und rufe deine Seite erneut auf. Wenn du dann die Seite mit dem Wort Hallo sehen kannst, ist deine Domain richtig eingerichtet und du mußt kein Reset durchführen.

  • Ich habe eben wegen mit Let's Encrypt fehler mit dem Support telefonisch gesprochen. Wir werden das nun schritt für schritt mal durcharbeiten.


    1. Problem mit Zertifikat lösen

    2. Wordpress einrichten.


    Zusammen mit einem Support-Mitarbeiter habe ich die WP Installation gelöscht.

    Aber das mit einer index.html Datei ist schon mal eine gute Idee, so kann ich vor der Installation prüfen, ob alles wie gewünscht funktioniert.


    Danke!

  • Dann erscheint im Browser als JSON ein Success. Aber löschen tut er nix

    das passiert AFAIK, wenn du die anwendung (hier wordpress) in ein von mehr als einer domain gemeinsam genutztes verzeichnis installiert hast.

    hier also in bridgehole.de/httpdocs und xx89a.netcup.net/httpdocs.


    meine empfehlung wäre die domains jeweils in getrennte verzeichnisse zu installieren, damit kann die xxx.netcup.net-domain auch zum testen etc. verwendet werden.

    »Hauptsache BogoMIPS!«

    Fleischfresser

  • das passiert AFAIK, wenn du die anwendung (hier wordpress) in ein von mehr als einer domain gemeinsam genutztes verzeichnis installiert hast.

    hier also in bridgehole.de/httpdocs und xx89a.netcup.net/httpdocs.


    meine empfehlung wäre die domains jeweils in getrennte verzeichnisse zu installieren, damit kann die xxx.netcup.net-domain auch zum testen etc. verwendet werden.

    Danke, sehr guter Tipp!

    Da die Fehlermeldung "Server Error 403 Forbidden" kommt, versucht der Server schon auf das entsprechende Verzeichnis zuzugreifen.


    Leg mal eine Datei index.html mit dem Inhalt Halo unter dem Verzeichnis, auf die die Domain eingerichtet ist ab und rufe deine Seite erneut auf. Wenn du dann die Seite mit dem Wort Hallo sehen kannst, ist deine Domain richtig eingerichtet und du mußt kein Reset durchführen.

    Das Funktioniert. Wenn ich eine index.html erstelle, wird diese auch angezeigt.

  • Hay,


    jetzt kommt auch bei mir die statische HTML und nicht mehr das generische "Domain noch nicht zugewiesen".


    Da hat sich im Zeitablauf endlich etwas ordentliches durchgesetzt.


    Hinweis: Zeitpunkt der Beantragung der Domain spielt dabei keine Rolle, es spielt der Zeitpunkt eine Rolle, bei der zum letzten mal DNS beeinflusst wurde - das KANN bei Beantragung einer Inklusivdomain der Zeitpunkt der Beantragung sein, aber als externe Domain ist das der Zeitpunkt, zu dem sie einem Webhosting zugewiesen wurde.

    Außerdem ist das jetzt das plesk-Zertifikat aktiv und nicht mehr "kein Zertifikat", also hat Plesk jetzt die Kontrolle übernommen. Dann sollte jetzt auch ein Beantragen des Lets Encrypts funktionieren (unabhängig von den anderen mittlerweilen aufgelaufenen Fragen).


    Da eine statische index.html da ist, kann das auch sofort überprüft werden. Aber bitte daran denken, es mit einem Browser mit frisch gestartetem Incognito/privaten Fenster zu überprüfen, weil ich öfters gemerkt habe, dass Zertifikate (oder nicht bestehende Zertifikate) teilweise ätzend lang gechached werden und selbst mit einem Shift-Reload nicht rauszubekommen sind.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • ...weil ich öfters gemerkt habe, dass Zertifikate (oder nicht bestehende Zertifikate) teilweise ätzend lang gechached werden und selbst mit einem Shift-Reload nicht rauszubekommen sind.

    Wenn man Chrome nutzt, kann man diesen cache löschen, wenn man in die Adresszeile "chrome://net-internals/#hsts" eingibt und dann kann man das ganz unten auf der Seite bei "Delete domain security policies" für eine domain löschen. Bei Firefox wird es wohl so was ähnliches geben.

  • Das Funktioniert. Wenn ich eine index.html erstelle, wird diese auch angezeigt.

    Im nächsten Schritt kannst du jetzt mal die Umleitung von http auf https rausnehmen und dann noch mal schauen, ob die Seite per http auch noch erreichbar ist.


    Ist die Seite dann noch erreichbar, solltest du zuvor mal eine Sicherung per Hand in Plesk starten und dann erst die Datei index.html aus dem Verzeichnis für diese Domain wieder löschen.


    Danach installierst du dir dann die Anwendung deiner Wahl in das Verzeichnis der Domain und testest Diese dann.


    Sollte sie dann wie gewünscht laufen, kannst du die Umleitung wieder von http auf https einschalten.


    Im Normalfall bietet Plesk unter den beiden Häkchen noch einen Rollbalken an, über den du dann das Zertifikat für deine Domain auswählen kannst. Denn Plesk versucht auch im Hintergrund, sofern das Zertifikat für diese Domain ungültig ist, ohne eigenes Zutun zu erneuern.

  • Im nächsten Schritt kannst du jetzt mal die Umleitung von http auf https rausnehmen und dann noch mal schauen, ob die Seite per http auch noch erreichbar ist.

    Dumme Frage: Ich finde die Einstellung nicht mehr. Ich habe beim durchklicken (Installation) irgendwo mal gesehen und auch das HSTS - aber deaktiviert gelassen. Aber jetzt finde ich diese nicht mehr. Wo haben die das Versteckt?
    Danke

  • Wo haben die das Versteckt?

    Die haben es unter "Websites & Domains/Dein Domainname/Hosting und DNS/Hosting-Einstellungen" versteckt.


    Auf der dann geöffneten Seite gibt es dann einen Bereich mit der Überschrift Sicherheit, der dann wie auf folgender Abbildung zu sehen ist, aussieht:

    plesk_abb1.png


    Über die beiden Häkchen kannst du dann die Weiterleitung von http auf https deaktivieren.


    Hinter dem Schriftzug Zertifikat befindet sich rechts der Rollbalken, bei dem auf der Abbildung derzeit das Zertifikat von Lets Encrypt ausgewählt und aktiviert ist.

  • AFAIR handelt es sich um das alte leiden, daß man die https-zwangsumleitung aktivieren kann, ohne vorher ein gültiges zertifikat eingerichtet zu haben.

    Interessant, was heißt das genau?

    Ich kann umleiten auf HTTPS ohne Zertifikat - also nicht gültiges Zertifikat - hat das Einschränkung bei der Bestellung von Let's Encrypt?


    Konkret: Darf ich die zwang Umstellung aktiviert haben um ein Zertifikat zu beantragen oder läuft das sonst gegen die Wand?