Beiträge von Splitty

UPDATE

Ich bin nun einen Schritt weiter, bekomme aber nun von Lets Encrypt bzw. certbot folgende Fehlermeldung:

Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /private/etc/apache2/httpd-le-ssl.conf
Cannot find an SSLCertificateFile directive in /files/private/etc/apache2/httpd-le-ssl.conf/IfModule/VirtualHost. VirtualHost was not modified
Unable to find an SSLCertificateFile directive

IMPORTANT NOTES:
 - Unable to install the certificate

Funfact: Unter dem angegebenen Pfad finde ich keine httpd-le-ssl.conf Datei.

Außerdem wundert mich das /files/ Präfix im zweiten Pfad, was für mich gar keinen Sinn ergibt.

Die Challenge-Daten wurden tatsächlich nun im Standard-Ordner /Users/username/Sites/ angelegt und erfolgreich geprüft. Wenn ich aber auf die Website zuzugreifen versuche, bekomme ich weiterhin den 403 Fehler.

Zitat von H6G

Wenn deine aufgerufene Datei /var/www/index.html sei, müssen alle Verzeichnisse durch den Webserver User (i.d.R. sind es die Other Rechte) mit x markiert sein.

Da fehlt der führende / <Directory "/usr/local/var/www">

Ansonsten verschafft dir das Logfile einen genaueren Einblick.

Die Verzeichnisrechte sind im Moment 775. Eigentlich müsste das richtig sein, aber es könnte trotzdem falsch sein, da aktuell in der httpd.conf als User und Gruppe für den Apache "_www" definiert ist, was dem Standardwert entspricht. Soll wohl aus Sicherheitsgründen so sein, dass der Prozess einen eigenen Usernamen bekommt.

Müsste ich dann nicht das www-Verzeichnis auf "_www" als Besitzer umstellen, damit der Prozess drauf zugreifen kann? *grübel*

Laut httpd.conf Begleittext ist das fehlende anführende / korrekt - Pfade mit fehlendem anführenden / werden immer durch den ServerRoot ergänzt, welcher /usr ist.

Zitat von H6G

Darauf antwortet wahrscheinlich der Router.

Benutzt ihr NAT und RFC1918 Adressen? Wenn ja ist Listen 24.134.221.81:80 falsch.

Ich gehe mal davon aus, denn du redest von lokalen Adressen.

Dann müsste es Listen 80 heißen oder deine lokale Adresse.

Wahnsinn! Jetzt bin ich offenbar einen Schritt weiter, denn der Aufruf von http://www.domain.de bringt mir nun:

Forbidden

You don't have permission to access / on this server.

...ich glaube, jetzt muss ich nur noch die Zugriffsrechte oder den www-Pfad korrigieren...

Okay, erst mal vielen Dank für die vielen Vorschläge und Fragen.

Ich versuche, das nun aufzudröseln und der Sache auf den Grund zu gehen:

Lukay

Der aktuelle Fehler ist ein simples "kann keine Verbindung zum Server aufbauen"

PING auf meine Domain funktioniert allerdings.

vmk

Nein, denn aktuell kann die ganze Website nicht aufgerufen werden.

H6G

Ja, ist ein lokaler Mac, und Ports 80 und 443 sind für dessen lokale IP auf TCP freigegeben.

Das mit dem Mobilfunknetz hat sich aktuell eh erledigt, siehe oben, die Website ist nicht erreichbar.

Steini

DNS schließe ich aus, da PING auf die Domain funktioniert.

Firewalls sind offen/eingerichtet

Es läuft wohl alles darauf hinaus, dass der Apache nicht oder nicht korrekt läuft bzw. falsch konfiguriert ist. Das kann gut sein, da ich das mehr oder minder zum ersten Mal alles von Hand mache.

Daher zitiere ich euch nun die "kritischen Stellen" aus meiner httpd.conf und möchte euch bitten, logische Fehler zu melden.

Die Syntax ist wohl okay, aber der Server will nicht richtig. Daher...

ServerRoot "/usr"

Listen 24.134.221.81:80
<IfDefine SERVER_APP_HAS_DEFAULT_PORTS>
    Listen 8080
</IfDefine>
<IfDefine !SERVER_APP_HAS_DEFAULT_PORTS>
    Listen 80
</IfDefine>
<VirtualHost domain.de:80>
    ServerAdmin admin@domain.de
    DocumentRoot /usr/local/var/www
    ServerName domain.de
    ServerAlias www.domain.de
</VirtualHost>
ServerName www.domain.de:80
<Directory />
    AllowOverride none
    Require all denied
</Directory>
DocumentRoot "local/var/www"
<Directory "local/var/www">
    Options FollowSymLinks Multiviews
    MultiviewsMatch Any
    AllowOverride None
    Require all granted
</Directory>

Seht ihr da was?

Zitat von nitram

Wisst Ihr zufällig genau, was Ihr macht um diese Sperre aus zu lösen?

Weil dann könnte man ja mal mit Wireshark alle Requests zum Server mitschneiden und schauen was da so passiert

Stimmt, das könnte man. Da kenne ich mich halt zu wenig damit aus.

Die Sperre wird gezündet, sobald man mit der Wordpress-App auf "Vorschau" geht und man versucht, in der App die Netcup-Seite aufzurufen.

tab Nein, nicht wörtlich, aber es war wenig hilfreich. Es hieß nur, man wisse nicht wieso das passiert und jeder zeigte auf den anderen, also ja, Patt-Situation.

Zitat von mfnalex

Wie lange hast du nach dem Anlegen der Einträge gewartet?

Die DNS-Einträge sind schon ziemlich alt, da ich mich bereits seit Tagen mit dem Problem beim Certbot rumschlage.

Hallo allerseits,

ich bin eigentlich schon relativ weit mit meinen ganzen Einstellungen und dem Konfigurieren der httpd.conf, aber IRGENDWO scheint es noch zu hängen.

Aber ich bin mir sicher, ich stehe kurz vor dem Durchbruch

Die httpd Syntax ist OK und meldet keine Fehler.

Die aktuelle Fehlermeldung sieht noch so aus:

user$ sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: domain.de
2: www.domain.de
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1 2
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for domain.de
http-01 challenge for www.domain.de
Waiting for verification...
Challenge failed for domain domain.de
Challenge failed for domain www.domain.de
http-01 challenge for domain.de
http-01 challenge for www.domain.de
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: domain.de
   Type:   connection
   Detail: Fetching
   http://domain.de/.well-known/acme-challenge/WWpJOzKE85KRs_fsI-nhXdUBZVj9q2_noKavfK-9kco:
   Connection refused

   Domain: www.domain.de
   Type:   connection
   Detail: Fetching
   http://www.domain.de/.well-known/acme-challenge/qbytqrqDjUyDdYqp08-GMH_4gnudk4K2QPU5OcX7n7g:
   Connection refused

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   your computer has a publicly routable IP address and that no
   firewalls are preventing the server from communicating with the
   client. If you're using the webroot plugin, you should also verify
   that you are serving files from the webroot path you provided.

Soweit ich weiß, sind die DNS-Einträge aber bereits korrekt auf meine eigene, feste IP umgeschrieben.

* A --> IP

* AAAA --> IPv6

@ A --> IP

@ AAAA --> IPv6

Diese vier Einträge habe ich auf meine IP geändert.

Firewalls habe ich, soweit vorhanden, zumindest temporär deaktiviert.

Ein Webroot-Plugin benutze ich, soweit ich mir bewusst bin, nicht, habe zumindest nichts mit diesem Namen installiert.

Höchstens noch irgendwas mit Zugriffsrechten auf dem DocumentRoot? Da hat man aber allgemein Zugriffsrechte...

Ideen sind willkommen...

Dieses Problem hatte ich letztes Jahr schon, und es endete effektiv damit, dass Netcup sagten, die Wordpress App würde irgendwas komisches machen, das eine Sperre auslöst, und der Wordpress Support war sich keines Problems bewusst.

Also hatte ich es bisher einfach unterlassen, die Wordpress App zu benutzen...

Update: Ich habe Abyss ins Abyss geschossen und habe mich dazu durchgerungen, Apache mit dem Terminal händisch zu konfigurieren.

Ich habe zwar den ganzen Tag dafür gebraucht, aber nun läuft der Webserver - mit Zertifikat.

Zitat von geekmonkey

Ich nutze für alle SSL Zertifikate acme.sh, für die Domains hier bei Netcup habe ich nen 300sec delay im request, hatte damit noch nie Probleme. Kurze Frage, warum nutzt du Abyss? Was spricht gegen Apache oder nginx? Letzteres verwende ich fast ausschlißlich, sowohl als webserver, als auch als reverse proxy
Im Vergleich zu Apache auch eher ein leichtgewicht und relativ sparsam

Zum eigentlichen Thema: Leider hängt mein Server IMMER NOCH beim oben genannten "queued" Status. Irgendwas ist faul...

Und jetzt ziehe ich meine feuerfeste Kleidung an: Ich habe nur Macs und bin nicht so irre bewandert mit dem Terminal... daher bräuchte ich schon einen Server mit so was wie ner GUI...

Danke für den Hinweis - also wirklich die Syntax... grrrr...

Aber kann es sein, dass diese Durchführung so richtig lange dauert?

Der ACME-Bot im Abyss zeigt seit einigen Stunden an:

ACME order processing queued

ACME account processing queued

Also wurde die Challenge gefressen, aber es scheint dennoch zu "hängen"...

Liebe Leute,

irgendwo mache ich einen Fehler. Aber ich bin zu doof dazu und sehe es nicht.

Ich nutze den Abyss-Webserver mit integriertem Certbot und nun hänge ich an der DNS01-challenge.

Die Aufgabe ist:

Add the following DNS record to website.de and press Test DNS-01 Challenge

_acme-challenge.website.de. 300 IN TXT "ThisIsSomeRandomCode"

Wenn ich nun im CCP unter Domains/DNS Zone folgendes eintrage:

Host                            Type    MX    Destination
_acme-challenge.website.de      TXT    (n/a)  ThisIsSomeRandomCode

...und es speichere, bekomme ich stetig eine Fehlermeldung, der Text sei nicht gefunden worden.

Mache ich irgendwas in der Syntax falsch? BIN ICH BLIND?!?!?!

Besten Dank für die Vorschläge

Hallo Leute,

leider fand ich kein passendes Thema und auch keinen passenderen Bereich für meine Frage, also geht sie hier rein:

Ich möchte einen CalDAV-kompatiblen Kalender auf meinem Webspace betreiben.

Im Plesk werden dazu im Bereich "Kalender" als installierbare Anwendungen u.a. Workspace 365 und Webcalendar 1.2.7 angeboten.

Kann ich eine solche Anwendung benutzen, um z.B. per iPhone den Kalender unterwegs zu abonnieren?

Wenn nein, welche Voraussetzungen sollten erfüllt sein, um so ein System aufzubauen? Vielen Dank vorab

Zitat von 03simon10

Kannst du nicht die Domain auf's Stammverzeichnis zeigen lassen und dort in einer index.php oder so alles via iframe umleiten? Es müsste da doch sicher möglich sein, dass Verzeichnis von Let's Encrypt auszuschließen. (Kenne mich damit nicht aus, nur eine Vermutung.)

Dann könntest du wie oben genannt ein Script nehmen, was alle X Tage ein Zertifikat abholt und in einem gewissen Ordner speichert. Das könntest du ja dann wiederum von deinem Homeserver mit scp und Key Auth holen und dort ins richtige Verzeichnis verschieben. Im WCP hast du die Option für Cronjobs und auf dem Homeserver doch erst recht.

Zum ersten Absatz: Auf die Idee war ich auch schon gekommen, was theoretisch auch funktionieren würde, doch eine Software, die ich laufen habe, mag nicht innerhalb eines Frames laufen und streikt dann. Also ist ne Weiterleitung nicht die richtige Lösung.

Zum zweiten Absatz: Ich glaube ich bin etwas überfordert

Ich werde eine Subdomain per CNAME auf meine no-ip URL zeigen lassen - das funktioniert bereits, und dann muss ich nur noch ein funktionierendes Zertifikat auf dem Mac installieren. Dafür setze ich mich als nächstes mit dem Zertifikatsanbieter auseinander.

Danke schon mal für die guten Vorschläge. Ich halte euch auf dem Laufenden, was die nächste Entwicklung betrifft

Zitat von killerbees19

Du brauchst das Zertifikat aber auf Deinem Homeserver. Du wirst es also auch dort beantragen und einrichten müssen. Sonst wird das nicht funktionieren.

(Eine manuelle Methode erwähnte ich wegen der Laufzeit von 3 Monaten absichtlich nicht.)

Ja, dass dies nicht funktioniert habe ich inzwischen auch herausgefunden Dann schaue ich mal, wie ich eventuell ein günstiges bezahltes Zertifikat auf dem Server einbauen kann.

Zitat von killerbees19

Um was für einen "Homeserver" handelt es sich eigentlich, für den Du das Zertifikat benötigst?

Ist ein Mac Mini mit macOS Server.

mainziman Danke für den Tipp, ich probier das noch mal in die Richtung. Netcup bietet ja an, Subdomains zu erstellen und auch LE-Zertifikate dafür zu erstellen.

Ich danke zwar für die Hilfeversuche, doch diese acme-Sache ist mir zu kompliziert. Versuche in der Richtung schlugen fehl.

Mal weiter suchen...

Zitat von Gunah

LE kannst du doch selber generieren, mit certbot oder acme.sh

Sorry, ich hab nur ein Webhosting-Paket ohne SSH (kein Certbot) und mit Github kenne ich mich erst gar nicht aus. Vielleicht eine etwas weniger... technische Lösung?

Hallo allerseits!

Ich versuche aktuell, meinen Homeserver, der per noip.com bereits eine URL hat, auf dem Port 8080 erreichbar zu machen - und das möglichst auch mit SSL.

Derzeit habe ich eine TLD bei Netcup, die als Frame-Weiterleitung auf die no-ip URL zeigt mit Port 8080. Das scheint so weit auch zu funktionieren.

Das LE-Zertifikat lässt sich scheinbar aber nur erstellen, wenn man auf Webhosting umschaltet statt auf Weiterleitung. Richtig?

Wie kann ich das nun alles in die Tat umsetzen?