# Integrate Let's Encrypt error beim start



## vikozo (19. Sep. 2017)

Hallo
ich habe HHVM and Let's Encripyt gemäss dem ISPConfig PDF file 3.1 installiert ohne Fehler
beim
./certboot-auto
bekomme ich einen Fehler das ein subdomain nicht erreichbar ist. Sonst scheint es keinen Fehler zu geben.
im Log file aber habe ich folgende Fehler


> /opt/certbot# tail /var/log/letsencrypt/letsencrypt.log
> new_certr, new_chain, new_key, _ = le_client.obtain_certificate(domains)
> File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/client.py", line 318, in obtain_certificate
> self.config.allow_subset_of_names)
> ...


----------



## robotto7831a (19. Sep. 2017)

Steht doch da.



> The server could not connect to the client to verify the domain :: DNS problem: NXDOMAIN looking up A for webmail.kozo.ch


----------



## vikozo (19. Sep. 2017)

dieser Teil war mir auch klar - aber wegen diesem fehler sollten doch nicht die anderen Fehler auftreten. Da es sich ja auch "nur" um eine Subdomain handelt.


----------



## HSorgYves (19. Sep. 2017)

Der Rest ist der Trace des Fehlers vermute ich mal... also A Rekord erstellen und erneut versuchen...


----------



## robotto7831a (19. Sep. 2017)

Du schreibst in der Konsole stand, dass eine Subdomain nicht erreichbar ist und im Logfile steht das gleiche. Wo ist das Problem?

Warum rufst Du den certbot eigentlich selber auf? DAs macht ISPConfig schon für dich.


----------



## vikozo (19. Sep. 2017)

@robotto7831a  in der Anleitung steht es so! (HHVM and Let's Encripyt gemäss dem ISPConfig PDF file 3.1 installiert ohne Fehler)
@HSorgYves  hab jetzt diese subdomain hinzugefügt und im Logfile noch diese Fehlermeldung


> :/opt/certbot# tail /var/log/letsencrypt/letsencrypt.log
> _install_cert(config, le_client, domains, new_lineage)
> File "/opt/eff.org/certbot/venv/local/lib/python2.7/site-packages/certbot/main.py", line 476, in _install_cert
> path_provider.cert_path, path_provider.chain_path, path_provider.fullchain_path)
> ...


----------



## Till (19. Sep. 2017)

Zitat von vikozo:


> @robotto7831a in der Anleitung steht es so! (HHVM and Let's Encripyt gemäss dem ISPConfig PDF file 3.1 installiert ohne Fehler)


In der Anleitung steht aber auch dass Du abbrechen sollst wenn er fragt pb er ein cert erstellen soll. Denn Mit certbot-auto soll ja certbot nur installiert werden.


----------



## vikozo (19. Sep. 2017)

Hallo @Till 
dieses Fenster ist nicht aufgetaucht - ich hatte eine Liste von Domains erhalten und Subdomains und da ging ich dann weiter und habe nicht abgebrochen.
im ISPconfig habe ich unter Sites und Domains dann 
SSL und Let's Encrypt SSL aktiviert

unter SSL selber ist der obere Teil ausgefüllt.
aber ab SSL Key bis zum Schluss ist es leer
und bei SSL Action: ist zur zeit ein None


----------



## HSorgYves (19. Sep. 2017)

Ausserdem gibt es in der Zwischenzeit ein certbot Paket für Debian ab Version 8 das meiner Meinung nach für die Meisten der Selbstinstallation vorzuziehen ist. Auch HHVM ist in Debian Testing als aktuelles Paket vorhanden und kann mit ISPConfig (auch auf Debian 9) genutzt werden.


----------



## HSorgYves (19. Sep. 2017)

Ausserdem wird das Let's Encrapt Zertifikat nicht in dem SSL Tab angezeigt, warum auch...


----------



## Till (19. Sep. 2017)

Zitat von HSorgYves:


> Ausserdem gibt es in der Zwischenzeit ein certbot Paket für Debian ab Version 8 das meiner Meinung nach für die Meisten der Selbstinstallation vorzuziehen ist.


Wrde ich sicherlich mit dem nächsten Update des Manuals ergänzen.



Zitat von HSorgYves:


> Auch HHVM ist in Debian Testing als aktuelles Paket vorhanden und kann mit ISPConfig (auch auf Debian 9) genutzt werden.


Ich halte nicht allzuviel davon, Pakete von Testing in stable rein zu ziehen. Aber wer will, kann das natürlich machen. da sich ja nach aktuellen News HHVM von der PHP Kompatibilität versbschieden will, überlege ich sowieso ob wir HHVM nicht wieder entfernen werden.



Zitat von HSorgYves:


> Ausserdem wird das Let's Encrapt Zertifikat nicht in dem SSL Tab angezeigt, warum auch...


Das wurde dort noch nie angezeigt da es nicht in die Datenbank importiert wird.



Zitat von vikozo:


> Hallo @Till
> dieses Fenster ist nicht aufgetaucht - ich hatte eine Liste von Domains erhalten und Subdomains und da ging ich dann weiter und habe nicht abgebrochen.


Ist ja nicht weiter schlimm, wird auch so gehen  LE und certbot ändern sich ständig und sie geben nichts darauf langfristig kompatibel zu sein, man muss also dauernd was für sie ändern. Aktuell haben sie z.B. vor einigen Tagen angefangen den Installationsort zu ändern ohne Rückwärtskompatibilität zu wahren, alle software die LE am gewohnten Ort sucht schlägt jetzt fehl. Du müsstest Daher ggf. mal mit ispconfig_update.sh auf die git-stable version updaten, denn ISPConfig findet certbot sonst auch nicht mehr.


----------



## vikozo (19. Sep. 2017)

@Till danke für dein Feedback, wie kann ich es "flicken"


----------



## HSorgYves (19. Sep. 2017)

Zitat von Till:


> Ich halte nicht allzuviel davon, Pakete von Testing in stable rein zu ziehen. Aber wer will, kann das natürlich machen. da sich ja nach aktuellen News HHVM von der PHP Kompatibilität versbschieden will, überlege ich sowieso ob wir HHVM nicht wieder entfernen werden.


Ich mag es auch nicht verschiedene Distributionen zu mischen, manchmal ist das aber besser als eine externe Repository zu wählen. Da HHVM keine anderen Pakete installiert die in Konflikt mit stable stehen, ist es eine für mich akzeptable Lösung. @Till, hast Du eine Referenz, dass HHVM sich von der php Kompatibilität verabschieden will?


Zitat von Till:


> Das wurde dort noch nie angezeigt da es nicht in die Datenbank importiert wird.


War keine Kritik, nur eine Feststellung als Antwort an @vikozo 's Post #8.


----------



## nowayback (19. Sep. 2017)

Zitat von HSorgYves:


> Ich mag es auch nicht verschiedene Distributionen zu mischen, manchmal ist das aber besser als eine externe Repository zu wählen. Da HHVM keine anderen Pakete installiert die in Konflikt mit stable stehen, ist es eine für mich akzeptable Lösung. @Till, hast Du eine Referenz, dass HHVM sich von der php Kompatibilität verabschieden will?


ging doch heute durch die "fachpresse" aka heise/golem und co.


----------



## HSorgYves (19. Sep. 2017)

Danke @nowayback , hatte heute noch keine Zeit diese zu lesen. Klang als sei dies schon länger bekannt...


----------



## Till (20. Sep. 2017)

Zitat von vikozo:


> @Till danke für dein Feedback, wie kann ich es "flicken"


Aktualisier Dein ISPConfig mal auf git-stable mit ispconfig_update.sh. Dann logge Dich in ISPConfig ein, deaktivier LE für die betroffene website, speicher, und dann aktivier LE wieder.


----------



## vikozo (20. Sep. 2017)

@Till
vielen Dank, ich habe deine Info befolgt und git-stable ein update gemacht, ohne Probleme.
vorab eine Frage
ich hab an die 1000 files unter /var/log/letsencrypt/
die etwa so aussehen - letsencrypt.log.801
wenn ich nun mit *multitail letsencrypt.log*
bekomme ich einen Fehler (und die Zeit ist um 2h verschoben also schreibt 14 statt 16


> tail: „letsencrypt.log“ ist aufgetaucht;  folge Ende der neuen Datei
> 2017-09-20 14:27:01,941EBUG:certbot.main:Root logging level set at 20
> 2017-09-20 14:27:01,942:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
> 2017-09-20 14:27:01,942EBUG:certbot.main:certbot version: 0.10.2
> ...


----------



## Till (20. Sep. 2017)

Dann lies doch mal was drin steht,z.B.:

2017-09-20 14:27:02,585:INFO:certbot.renewal:Cert not yet due for renewal
2017-09-20 14:27:02,585:INFO:certbot.main:Keeping the existing certificate

Also zusammengaffst, LE wurde gestartet, hat das Cert getestet, hat das cert erneut verifiziert, hat alles für gut befunden, es war kein renewal nötig, und hat sich beendet.


----------



## vikozo (20. Sep. 2017)

mir ist auch aufgefallen, wenn man im ISPConfig unter Tool das Resync Tool verwendet, werden auch alle Letsencrypt Zertifikate angefragt/erneuert.


----------



## vikozo (20. Sep. 2017)

http://kocher.photos/
http://kocher.reisen/
amüsant bei einer Page geht das Redirect auf https bei der anderen nicht.

Pränziser, das man ein Zertifikat sieht das Redirect per se geht...


----------



## Till (20. Sep. 2017)

Zitat von vikozo:


> mir ist auch aufgefallen, wenn man im ISPConfig unter Tool das Resync Tool verwendet, werden auch alle Letsencrypt Zertifikate angefragt/erneuert.


Richtig, dass ist ja auch einer der Gründe warum diese Funktion existiert.



Zitat von vikozo:


> hmm
> dann sollte unter
> http://kocher.photos/
> http://kocher.reisen/
> ersichtlich sein das ein Zertifikat da ist, oder verstehe ich etwas falsch?


Dass Zertifikat A funktioniert und aktuell ist heißt ja nicht dass Zertifikat B existiert oder erstellt werden kann.

Wenn Du wissen willst warum bei einer bestimmten Seite das LE cert nicht erstellt werden kann, dann nutze den Debug Modus und schau ins letsencrypt.log was zu genau dieser Domain drin steht nachdem Du LE in dieser website deaktiviert, gespeichert, aktiviert aund 2 Minuten gewartet hast.


----------



## HSorgYves (20. Sep. 2017)

Du müsstest schon http*S*:// eingeben, damit das Zertifikat ersichtlich ist...


----------



## Till (20. Sep. 2017)

Zitat von HSorgYves:


> Du müsstest schon http*S*:// eingeben, damit das Zertifikat ersichtlich ist...


Da hast Du wirklich recht! Das hatte ich komplett übersehen bzw. fälschlicherweise angenommen, dass er es mal getestet hat


----------



## vikozo (21. Sep. 2017)

Peinlich
ich hab noch rausgefunden das wenn man Let's Encrypt SSL aktiviert unter Redirect ein http --> https eingeschaltet werden kann.


----------

