Error 404 bei statischen Inhalten und plesk-Zertifikat am Server trotz letsencrypt

    Hallo zusammen,


    ich bin eigentlich langjähriger Profi auf dem Gebiet Web-Server und Hosting (mit eigenen Servern und auch bei anderen Hostern), aber bei NetCup stoße ich erst einmal auf ein paar unerklärliche Probleme, die möglicherweise der besonderen Server Architektur geschuldet sind.


    Ich habe ein kleines Paket, darauf zwei Domains und auf einer davon eine Subdomain. Die drei Webs sind im Web-Root in drei unterschiedlichen Ordnern, die beim Anlegen der (sub) Domain auch automatisch erstellt und befüllt wurden.


    Als eine der ersten Aktionen habe ich LetsEncrypt Zertifikate angefordert. Für beide Domains ein Wildcard Zertifkat. Jeweils im DNS den Schlüssel eingetragen, warten bis er abrufbar war und dann fertiggestellt. In der Verwaltung steht das Zertifikat auch mit Gültigkeitsdatum in der Liste, ist zugeordnet und scheinbar aktiv.


    Aaaaber

    • Beim Aufruf der Webseite wird mir ein Zertifikatsfehler angezeigt. Es ist ein PLESK Zertifikat des Provider Servers mit Datum vom März auf meiner Domain aktiv. Deaktiviere ich das Zertifikat in der Verwaltung bekomme ich korrekt eine "Fehlerseite". Die Website ist also von dieser Einstellung abhängig. Aktiviere ich das Wildcard Zertifikat der Domain, bekomme ich wieder das "PLESK".
    • Das gilt sowohl für die Haupt- als auch für die Subdomain. Ich bekomme PLESK oder gar kein Zertifikat. Ich habe versuchshalber auch ein eigenes subdomain Zertifikat angefordert und dann auch ausgewählt - ändert nichts.
    • Ich habe auf der Subdomain eine "Typesetter" Installation hochgeladen und konfiguriert. Die "läuft", aber ich erhalte für alle statischen(!) Inhalte jeweils eine 404 Meldung. Im Protokoll wird der Abruf jedes statischen Inhalts mit Status 200 protokolliert, der Browser bekommt aber ein "404 von nginx". Klicke ich im Log auf die URL des Requests bekomme ich bei CSS Dateien den Editor geöffnet, bei *.jpg ein "nicht unterstützt". Aber die Dateien selbst sind am richtigen Platz, haben die richtigen Namen und Rechte.
    • In der Subdomain wird mir der Zugriff von http immer automatisch auf https umgeleitet, obwohl so eine Umleitung nicht Standard ist und ich auch keine eingestellt habe. Um sicherzustellen, dass ich die Beschreibung nicht falsch verstanden habe, habe ich die Funktion auch versuchshalber aktiviert - vielleicht wird es dann ja NICHT umgeleitet. Wird es aber. Der Schalter hat keine Funktion. Das wäre mir grundsätzlich Recht, wenn auch das richtige Zertifikat verwendet wird.
    • Es gibt keine .htaccess die mir irgendetwas verstellen würde.

    Hier scheint es ein Problem zwischen nginx und apache zu geben, obwohl ich auch schon eingestellt habe, dass

    • nginx als proxy verwendet werden soll (default, = nur durchreichen)
    • KEINE "intelligente" Verarbeitung statischer Inhalte (nur fur's Debugging deaktivieren)
    • KEINE manuell vorgegebenen statischen Inhalte durch nginx direkt bereitstellen (default)

    Nach meinem Verständnis, darf da von nginx überhaupt keine Meldung kommen, schon gar keine 404.


    Ich habe auch genau das Gegenteil versucht, also

    • nginx NICHT als Proxy verwenden (apache wird angeblich so nicht benutzt)
    • statische Inhalte direkt ausliefern. Hier dürfte eine .htaccess auch gar keine Rolle spielen.
    • keine der drei Checkboxen

    Nicht falsch verstehen - ich mag den nginx. Aber irgendwo ist da der Wurm drin und reagiert nicht auf meine Konfig Anforderungen. Das Ganze habe ich gestern Abend begonnen. Es sollte also reichlich Zeit gewesen sein, dass sich diverse Caches einpendeln. Browser Settings löschen, anderen Browser verwenden - habe ich schon durch. Es wird vom Server nicht angeliefert.


    Wenn das ein Subdomain Problem ist, würde ich den Inhalt auch auf in den Ordner der Hauptdomain stellen und das Root Pointing für beide auf den gleichen Ordner machen. Das CMS kann ich multi-domain fähig machen. Aber das ist mir auch nicht gelungen. Da hat es immer gemeckert, dass es den Ordner schon gibt.


    In der CMS Installation gibt es im Root natürlich eine .htaccess, aber die ist unverdächtig.


    Code: .htaccess
    AddType application/x-javascript .js
AddType text/css .css
AddType text/xml .xml

AcceptPathInfo On

    Hat jemand eine schlaue Idee was ich übersehe?

    Zitat von smallfreak

    Für beide Domains ein Wildcard Zertifkat...

    Ohne den Rest jetzt durchgelesen zu haben:

    Wildcard-Zertifikate funktionieren hier bei netcup nicht immer richtig.

    Ob das mit die Ursache für dein konkretes Problem ist, weiß ich nicht, aber du kannst zumindest zunächst mal versuchen, die Zertifikate neu zu erstellen, ohne Wildcard.

    Zitat von smallfreak

    Beim Aufruf der Webseite wird mir ein Zertifikatsfehler angezeigt.

    Tritt das Problem nur mit IPv4 oder auch über IPv6 auf? Testen kann man das z.B. mit curl und -4 bzw. -6 oder mit einem Onlinetest wie z.B. von Qualys.


    Es gab im Forum nämlich schon ein paar mal Schilderungen einer fehlerhaften Webserverkonfiguration, wo IPv4 und IPv6 unterschiedlich reagiert haben.


    Zitat von smallfreak

    In der Subdomain wird mir der Zugriff von http immer automatisch auf https umgeleitet, obwohl so eine Umleitung nicht Standard ist und ich auch keine eingestellt habe.

    Eventuell ist ein HSTS-Header vorhanden? Das solltest Du mit den Entwicklertools des Browsers sehen, ob die Umleitung wirklich serverseitig erfolgt.


    Zitat von smallfreak

    Es gibt keine .htaccess die mir irgendetwas verstellen würde.

    Auch nicht in irgendeinem übergeordneten Ordner? .htaccess-Dateien werden bekanntlich innerhalb des kompletten Pfads gesucht und abgearbeitet, auch oberhalb des Dokumentenstamms!

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    Danke für Eure Hinweise.


    Das Problem war auch mit normalen Zertifikaten vorhanden. Es wurde ja auch jedes Mal angezeigt, dass das betreffende Zertifikat angewandt wird. Grüne Häkchen wohin man sieht und das Ablaufdatum passte auch zum gewählten Zertifikat. Nur der ausführende Server wollte auch nach Tagen weiterhin nur das PLESK Zertifikat anbieten.


    Die "Website" bestand zum Problemzeitpunkt aus der index.html und dem favicon.ico, das beim Anlegen der Domain automatisch in den Ordner kopiert wird. Ich kann also sicher ausschließen, dass eine .htaccess Datei das Problem verursacht. Trotzdem wurde die index.html Seite an den Browser geliefert, die favicon.ico dagegen nicht. Im Logfile des Apache-Servers war der Abruf mit Status 200 protokolliert, der nginx(!?) hat jedoch ein 404 ausgeliefert.


    Ich habe die Anfrage an den Support geschickt und nach etwas Diskussion mit dem "first level support" (Zitat aus den FAQ, 'überlassen sie die DNS Konfiguration einem Erwachsenen', wir machen keinen Applikations Support) konnte ich scheinbar doch jemanden überzeugen, die Server Konfiguration zu überprüfen, ob die Einstellungen auch wirklich auf die Live-Umgebung übertragen werden. Ein guter Satz Screenshots für Leute, die sich mit Wörtern schwer tun hat vielleicht auch geholfen.


    Siehe da, alle genannten Probleme waren am nächsten Tag mit einem Schlag gleichzeitig verschwunden, ohne dass ich irgend etwas ändern musste. Man wollte mir dann zwar auch noch reindrücken, dass mein Browser das richtige Zertifikat "nicht angefordert hat", aber das sagt wohl mehr über die Qualifikation der Support Abteilung oder darüber, dass man immer dem Anwender verklickern muss dass ER etwas falsch gemacht hat. Darin ist die Branche seit Jahrzehnten geübt. X(


    Ich verstehe schon, dass es billiger ist, wenn die Hotline mit Ferialpraktikanten der Publizistik oder Politikwissenschaften besetzt wird anstatt mit IT Fachkräften. Oft reicht es ja auch wirklich, wenn man mal "neu startet" oder "den Stecker fest rein drückt". Aber zumindest sollte man so viel Ahnung von der Materie haben, um feststellen zu können, ob das Problem die eigene Kompetenz übersteigt und man das an die Fachabteilung weitergeben muss. Es ist immer so zermürbend, bis man an endlich jemanden mit Ahnung kommt. Eine 5-Sterne Bewertung gibt's für die Support "Leistung" nicht.


    Zitat von aRaphael

    Wildcard-Zertifikate funktionieren hier bei netcup nicht immer richtig.

    Dann sollten sie das auch nicht anbieten...


    Aber nun funktioniert es wenigstens. Will ich mal hoffen, dass ich den Support nie wieder benötige. X/

    Meine Frage: Benutzt Du jetzt ein Wildcard-Zertifikat oder für jede Domain/Subdomain ein eigenes Zertifikat?


    Wenn Wildcard, würde mich interessieren ob es automatisch verlängert wird.

    KDB - redest du auch von einem Webhosting?


    Dann funktioniert Wildcard nicht.

    Du brauchst für jede (Sub-)Domain ein eigenes Zertifikat.

    Diese verlängern sich dann aber automatisch.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zitat von Bud

    KDB - redest du auch von einem Webhosting?


    Dann funktioniert Wildcard nicht.

    Du brauchst für jede (Sub-)Domain ein eigenes Zertifikat.

    Diese verlängern sich dann aber automatisch.

    Ja, Webhostig. Danke für den Hinweis. Ist aber blöd, dann muss ich das Wildcard halt alle 3 Monate manuell verlängern oder mal all meine anderen Scripte umstellen :( .

    Zitat von Bud

    KDB - redest du auch von einem Webhosting?


    Dann funktioniert Wildcard nicht.

    Du brauchst für jede (Sub-)Domain ein eigenes Zertifikat.

    Diese verlängern sich dann aber automatisch.

    Also ich weiß jetzt nicht ob die EiWoMiSau da ein Sonderfall ist aber bei mir funktionieren Wildcards.


    Man muss nur nach dem erstellen einer Subdomain in die "Hosting Einstellungen" (oder so ähnlich, halt da wo man auch den Dokumentenpfad etc. ändert) und da dann das korrekte Wildcard Zertifikat zuweisen.

    rosenclosed Dann musst Du das Zertifikat aber alle 2-3 Monate händisch verlängern und den TXT-Record im DNS aktualisieren. :|


    Wildcard-Zertifikate können bei Let's Encrypt nur über die DNS-01 Challenge angefordert werden und die kann Plesk nicht automatisch im DNS des CCP hinterlegen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    rosenclosed Wie lange verwendest Du die Wildcard-Zertifikate denn schon? Du musstest damals aber schon den TXT-Record händisch im CCP hinzufügen?


    Wenn es wirklich um normales Webhosting (kein Reseller Webhosting!) geht, kann es in der derzeitigen Form bei netcup nicht automatisch passieren. Außer es hätte sich etwas grundlegendes geändert, das bezweifle ich bei Plesk aber.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 1