Let's encrypt: Problem mit abweichendem A-Record.

Hier kann alles mögliche diskutiert werden. Themen zu Purebasic sind hier erwünscht.
Flames und Spam kommen ungefragt in den Mülleimer.
Benutzeravatar
Kurzer
Beiträge: 1569
Registriert: 25.04.2006 17:29
Wohnort: Nähe Hamburg

Let's encrypt: Problem mit abweichendem A-Record.

Beitrag von Kurzer »

Moin zusammen,

ich habe aktuell ein Problem mit einer Domain, bei der per geändertem A-Record eine Weiterleitung auf eine andere IP eingerichtet ist. Die Domain ist mit einem kostenlosen "Let's encrypt" Zertifikat gesichert und das ganze wird bei Wint-Global gehostet.

Das Let's encrypt Zertifikat wird (normalerweise) vom Hoster automatisch nach Ablauf neu erstellt. In meinem Fall besteht aber das Problem, dass die IP des A-Records und die IP des Servers, auf dem die Domain gehostet wird, durch die Umleitung nicht identisch sind.

Das nimmt Let's encrypt zum Anlass die Erneuerung des Zertifikats abzulehnen,
Fehler: SSL/TLS-Zertifikat von Let's Encrypt konnte nicht für [Domainname] abgerufen werden.

Gehen Sie zu [Domainname]/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxx
und überprüfen Sie, ob das Autorisierungstoken verfügbar ist.
Falls ja, versuchen Sie erneut, das Zertifikat abzurufen. Wenn das Token nicht verfügbar ist, liegt möglicherweise ein Problem mit der DNS-Konfiguration vor.
Ihre Domain in Plesk wird unter den folgenden IP-Adressen gehostet: xxx.xxx.xxx.xxx. Für die DNS-Aufforderung wurde jedoch eine andere IP-Adresse verwendet: xxx.xxx.xxx.xxx.
Die IP-Adressen, die in der DNS-Zone der Domain angegeben sind, müssen mit den IP-Adressen übereinstimmen, auf denen die Domain gehostet ist.
Falls dies bereits der Fall ist und Sie kein Problem in der DNS-Konfiguration erkennen, finden Sie in diesem KB-Artikel Schritte zur Fehlerbehebung.
(Token, Domain und IPs per xxx unkenntlich gemacht)

Da das Autorisierungstoken vorhanden ist, kommen eigentlich nur die unterschiedlichen IP Adressen als Ursache in betracht.

Ich habe jetzt die A-Record Umleitung raus genommen, aber offenbar braucht es noch eine Weile bis der Server die neuen Werte übernimmt.

Kennt das Problem zufällig jemand und hat bestenfalls sogar eine Lösung oder weiterführende Infos dazu?

Leider bin ich nicht der 100%ige Netzwerk-Freak. Ich kann das ganze lediglich in der Plesk Weboberfläche konfigurieren und die Umleitung habe ich hauch nur nach einer externen Anleitung eingerichtet.
"Never run a changing system!"
PB 5.73 x64, OS: Windows 7 Pro x64, Desktopscaling: 125%, CPU: I7 6500, RAM: 16 GB, GPU: Intel Graphics HD 520
Ich bin Baujahr 1968, also aktuell 53.
Benutzeravatar
NicTheQuick
Ein Admin
Beiträge: 8375
Registriert: 29.08.2004 20:20
Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 20.10
NVIDIA Quadro P2200
Wohnort: Saarbrücken
Kontaktdaten:

Re: Let's encrypt: Problem mit abweichendem A-Record.

Beitrag von NicTheQuick »

Wenn du mit certbot dein Zertifikat erneuerst, dann legt der eine temporäre Datei im DocumentRoot + ".well-known/acme-challenge/xxx" ab und erwartet, dass die Datei über die Domain, für die das Zertifikat erneuert wird, abrufbar ist. Zeigt diese also auf einen anderen Server, auf dem die Datei nicht angelegt werden konnte, schlägt das fehl. Das ist ganz normal und ein Sicherheitsaspekt, damit du nicht einfach Zertifikate für beliebige Domains erstellen kannst, egal auf welchen Server die zeigen. certbot muss verifizieren können, dass der Server, für den das Zertifikat gedacht ist, auch in deiner Macht ist.

Und wenn du einen DNS-Record änderst, dann kann der noch eine Weile brauchen, bis der über das dezentrale System hinter DNS auf der ganzen Welt umgestellt wurde, da DNS-Einträge gecached werden und zwar für die angegebene Zeit hinter der Domain. Hier ein Beispiel für purebasic.fr

Code: Alles auswählen

nicolas@tp-w530:~$ dig purebasic.fr

; <<>> DiG 9.16.1-Ubuntu <<>> purebasic.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58502
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;purebasic.fr.			IN	A

;; ANSWER SECTION:
purebasic.fr.		86400	IN	A	163.172.93.88

;; Query time: 24 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Mo Nov 30 14:32:25 CET 2020
;; MSG SIZE  rcvd: 57
Wichtig ist diese Zeile:

Code: Alles auswählen

purebasic.fr.		86400	IN	A	163.172.93.88
Da steht, dass der A-Eintrag für purebasic.fr bis zu 86400 Sekunden gecached werden darf, das heißt es kann nach einer Änderung ganze 24 Stunden brauchen bis die Änderung tatsächlich überall auf der Welt Wirkung gezeigt hat.
Bild
Benutzeravatar
Kurzer
Beiträge: 1569
Registriert: 25.04.2006 17:29
Wohnort: Nähe Hamburg

Re: Let's encrypt: Problem mit abweichendem A-Record.

Beitrag von Kurzer »

Danke für die weiteren Infos zu dem Thema, Nic. :allright:

Das mit der Laufzeit (TTL) und dem cachen habe ich mittlerweile umgestellt. Da war in der Tat 1 Tag eingestellt.
Unter: https://mxtoolbox.com/SuperTool.aspx schaue ich mir die Domain von außen an und kann dann dort sehen, ob die IP schon umgestellt wurde.

Was du erklärt hast, kann ich nachvollziehen. Dann muss ich mir eine andere Weiterleitungsmethode suchen oder ich mache die Erneuerung des Zertifikats halt alle 90 Tage manuell.
"Never run a changing system!"
PB 5.73 x64, OS: Windows 7 Pro x64, Desktopscaling: 125%, CPU: I7 6500, RAM: 16 GB, GPU: Intel Graphics HD 520
Ich bin Baujahr 1968, also aktuell 53.
Benutzeravatar
NicTheQuick
Ein Admin
Beiträge: 8375
Registriert: 29.08.2004 20:20
Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 20.10
NVIDIA Quadro P2200
Wohnort: Saarbrücken
Kontaktdaten:

Re: Let's encrypt: Problem mit abweichendem A-Record.

Beitrag von NicTheQuick »

Wenn du mir etwas mehr über die Details der beiden Server erklären könntest, fällt mir vielleicht noch mehr ein.
Du könntest zum Beispiel mit dem einen Server aktiven Proxy zum zweiten spielen. Nicht schön und macht doppelten Traffic beim Proxy, aber würde das Problem lösen.

Es reicht ja auch nicht das Zertifikat nur zu erstellen. Du musst ja auch private- und public-key sicher zu dem Server übertragen, der das eigentliche HTTPS-Handling macht, wenn du darauf den certbot nicht ausführen darfst. Aber ich habe keine Ahnung wie viele Möglichkeiten du so hast. Plesk mag ich eh nicht. Das installiere ich nicht mal, denn das spielt an so vielen Konfigurationsdateien herum, da kannst du nachträgliche Änderungen als root-User vergessen, weil du dann Plesk damit kaputt machst oder durcheinander bringst, falls die die Dateien überhaupt findest, an die du willst. So ein scheiß System....
Bild
Benutzeravatar
Kurzer
Beiträge: 1569
Registriert: 25.04.2006 17:29
Wohnort: Nähe Hamburg

Re: Let's encrypt: Problem mit abweichendem A-Record.

Beitrag von Kurzer »

Per PN geklärt, Danke Nic.
"Never run a changing system!"
PB 5.73 x64, OS: Windows 7 Pro x64, Desktopscaling: 125%, CPU: I7 6500, RAM: 16 GB, GPU: Intel Graphics HD 520
Ich bin Baujahr 1968, also aktuell 53.
Antworten