Aktuelle Zeit: 26.02.2021 09:28

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 5 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Let's encrypt: Problem mit abweichendem A-Record.
BeitragVerfasst: 30.11.2020 13:54 
Offline
Benutzeravatar

Registriert: 25.04.2006 17:29
Wohnort: Nähe Hamburg
Moin zusammen,

ich habe aktuell ein Problem mit einer Domain, bei der per geändertem A-Record eine Weiterleitung auf eine andere IP eingerichtet ist. Die Domain ist mit einem kostenlosen "Let's encrypt" Zertifikat gesichert und das ganze wird bei Wint-Global gehostet.

Das Let's encrypt Zertifikat wird (normalerweise) vom Hoster automatisch nach Ablauf neu erstellt. In meinem Fall besteht aber das Problem, dass die IP des A-Records und die IP des Servers, auf dem die Domain gehostet wird, durch die Umleitung nicht identisch sind.

Das nimmt Let's encrypt zum Anlass die Erneuerung des Zertifikats abzulehnen,

Zitat:
Fehler: SSL/TLS-Zertifikat von Let's Encrypt konnte nicht für [Domainname] abgerufen werden.

Gehen Sie zu [Domainname]/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxx
und überprüfen Sie, ob das Autorisierungstoken verfügbar ist.
Falls ja, versuchen Sie erneut, das Zertifikat abzurufen. Wenn das Token nicht verfügbar ist, liegt möglicherweise ein Problem mit der DNS-Konfiguration vor.
Ihre Domain in Plesk wird unter den folgenden IP-Adressen gehostet: xxx.xxx.xxx.xxx. Für die DNS-Aufforderung wurde jedoch eine andere IP-Adresse verwendet: xxx.xxx.xxx.xxx.
Die IP-Adressen, die in der DNS-Zone der Domain angegeben sind, müssen mit den IP-Adressen übereinstimmen, auf denen die Domain gehostet ist.
Falls dies bereits der Fall ist und Sie kein Problem in der DNS-Konfiguration erkennen, finden Sie in diesem KB-Artikel Schritte zur Fehlerbehebung.
(Token, Domain und IPs per xxx unkenntlich gemacht)

Da das Autorisierungstoken vorhanden ist, kommen eigentlich nur die unterschiedlichen IP Adressen als Ursache in betracht.

Ich habe jetzt die A-Record Umleitung raus genommen, aber offenbar braucht es noch eine Weile bis der Server die neuen Werte übernimmt.

Kennt das Problem zufällig jemand und hat bestenfalls sogar eine Lösung oder weiterführende Infos dazu?

Leider bin ich nicht der 100%ige Netzwerk-Freak. Ich kann das ganze lediglich in der Plesk Weboberfläche konfigurieren und die Umleitung habe ich hauch nur nach einer externen Anleitung eingerichtet.

_________________
"Never run a changing system!"
PB 5.73 x64, OS: Windows 7 Pro x64, Desktopscaling: 125%, CPU: I7 6500, RAM: 16 GB, GPU: Intel Graphics HD 520
Ich bin Baujahr 1968, also aktuell 52.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Let's encrypt: Problem mit abweichendem A-Record.
BeitragVerfasst: 30.11.2020 15:34 
Offline
Ein Admin
Benutzeravatar

Registriert: 29.08.2004 20:20
Wohnort: Saarbrücken
Wenn du mit certbot dein Zertifikat erneuerst, dann legt der eine temporäre Datei im DocumentRoot + ".well-known/acme-challenge/xxx" ab und erwartet, dass die Datei über die Domain, für die das Zertifikat erneuert wird, abrufbar ist. Zeigt diese also auf einen anderen Server, auf dem die Datei nicht angelegt werden konnte, schlägt das fehl. Das ist ganz normal und ein Sicherheitsaspekt, damit du nicht einfach Zertifikate für beliebige Domains erstellen kannst, egal auf welchen Server die zeigen. certbot muss verifizieren können, dass der Server, für den das Zertifikat gedacht ist, auch in deiner Macht ist.

Und wenn du einen DNS-Record änderst, dann kann der noch eine Weile brauchen, bis der über das dezentrale System hinter DNS auf der ganzen Welt umgestellt wurde, da DNS-Einträge gecached werden und zwar für die angegebene Zeit hinter der Domain. Hier ein Beispiel für purebasic.fr
Code:
nicolas@tp-w530:~$ dig purebasic.fr

; <<>> DiG 9.16.1-Ubuntu <<>> purebasic.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58502
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;purebasic.fr.         IN   A

;; ANSWER SECTION:
purebasic.fr.      86400   IN   A   163.172.93.88

;; Query time: 24 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Mo Nov 30 14:32:25 CET 2020
;; MSG SIZE  rcvd: 57
Wichtig ist diese Zeile:
Code:
purebasic.fr.      86400   IN   A   163.172.93.88

Da steht, dass der A-Eintrag für purebasic.fr bis zu 86400 Sekunden gecached werden darf, das heißt es kann nach einer Änderung ganze 24 Stunden brauchen bis die Änderung tatsächlich überall auf der Welt Wirkung gezeigt hat.

_________________
Ubuntu Gnome 20.04 LTS x64, PureBasic 5.72 x64 (außerdem 4.41, 4.50, 4.61, 5.00, 5.10, 5.11, 5.21, 5.22, 5.30, 5.31, 5.40, 5.50, 5.60, 5.71b2)
"Die deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen – Aber sie ist nicht Open Source, d. h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Let's encrypt: Problem mit abweichendem A-Record.
BeitragVerfasst: 30.11.2020 15:48 
Offline
Benutzeravatar

Registriert: 25.04.2006 17:29
Wohnort: Nähe Hamburg
Danke für die weiteren Infos zu dem Thema, Nic. :allright:

Das mit der Laufzeit (TTL) und dem cachen habe ich mittlerweile umgestellt. Da war in der Tat 1 Tag eingestellt.
Unter: https://mxtoolbox.com/SuperTool.aspx schaue ich mir die Domain von außen an und kann dann dort sehen, ob die IP schon umgestellt wurde.

Was du erklärt hast, kann ich nachvollziehen. Dann muss ich mir eine andere Weiterleitungsmethode suchen oder ich mache die Erneuerung des Zertifikats halt alle 90 Tage manuell.

_________________
"Never run a changing system!"
PB 5.73 x64, OS: Windows 7 Pro x64, Desktopscaling: 125%, CPU: I7 6500, RAM: 16 GB, GPU: Intel Graphics HD 520
Ich bin Baujahr 1968, also aktuell 52.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Let's encrypt: Problem mit abweichendem A-Record.
BeitragVerfasst: 30.11.2020 15:59 
Offline
Ein Admin
Benutzeravatar

Registriert: 29.08.2004 20:20
Wohnort: Saarbrücken
Wenn du mir etwas mehr über die Details der beiden Server erklären könntest, fällt mir vielleicht noch mehr ein.
Du könntest zum Beispiel mit dem einen Server aktiven Proxy zum zweiten spielen. Nicht schön und macht doppelten Traffic beim Proxy, aber würde das Problem lösen.

Es reicht ja auch nicht das Zertifikat nur zu erstellen. Du musst ja auch private- und public-key sicher zu dem Server übertragen, der das eigentliche HTTPS-Handling macht, wenn du darauf den certbot nicht ausführen darfst. Aber ich habe keine Ahnung wie viele Möglichkeiten du so hast. Plesk mag ich eh nicht. Das installiere ich nicht mal, denn das spielt an so vielen Konfigurationsdateien herum, da kannst du nachträgliche Änderungen als root-User vergessen, weil du dann Plesk damit kaputt machst oder durcheinander bringst, falls die die Dateien überhaupt findest, an die du willst. So ein scheiß System....

_________________
Ubuntu Gnome 20.04 LTS x64, PureBasic 5.72 x64 (außerdem 4.41, 4.50, 4.61, 5.00, 5.10, 5.11, 5.21, 5.22, 5.30, 5.31, 5.40, 5.50, 5.60, 5.71b2)
"Die deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen – Aber sie ist nicht Open Source, d. h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Let's encrypt: Problem mit abweichendem A-Record.
BeitragVerfasst: 01.12.2020 14:24 
Offline
Benutzeravatar

Registriert: 25.04.2006 17:29
Wohnort: Nähe Hamburg
Per PN geklärt, Danke Nic.

_________________
"Never run a changing system!"
PB 5.73 x64, OS: Windows 7 Pro x64, Desktopscaling: 125%, CPU: I7 6500, RAM: 16 GB, GPU: Intel Graphics HD 520
Ich bin Baujahr 1968, also aktuell 52.


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 5 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu:  

 


Powered by phpBB © 2008 phpBB Group | Deutsche Übersetzung durch phpBB.de
subSilver+ theme by Canver Software, sponsor Sanal Modifiye