# SSL Zertifikat erneuert sich nicht



## DerNorden (10. Juli 2021)

Hi,

mein Server hat die Zertifikate nicht erneuert.

Ich scheine auch eine alte Certbot Version auf meinem System zu haben. Um genau zu sein die Version 0.10.2.

Wie kann und sollte ich dieses aktualisieren um dann auch ein neues Zertifikat erstellen zu lassen?

Viele Grüße


----------



## mrairbrush (13. Juli 2021)

Das Phänomen habe ich ich seit gestern auch. Zuerst kam das Zertifikat abgelaufen wäre. Also in ISP erneuert. Klappte zwar wurde aber wegen angeblich falschen Datum nicht anerkannt. Dann ISP Update auf neuste Version gemacht und nun bleibt beim Generieren des Zertifkat SSL Request leer.


----------



## Till (13. Juli 2021)

@mrairbrush Certbot hat überhaupt nichts mit dem CSR Feld zu tun. Um es genau zu sagen, wenn Du Certbot bzw. Let's encrypt nutzt, müssen die Felder CSR, Cert und Key auf dem SSL Reiter leer sein, denn diese stehen im Konflikt mit certbot, solltest Du dort ein cert generieren, kannst Du Let's encrypt in dem web nicht mehr nutzen, das war aber schon immer so.

Zu der ursprünglichen Frage dieses Threads, wie man Certbot aktualisiert steht auf der Certbot Homepage, siehe: https://certbot.eff.org/ Das ist je nach Distribution anders, steht dort aber alles im detail beschrieben. installation von Certbot erfordert jetzt leider die Nutzung von Snap, alte certbot Versionen funktionieren seit Abschaltung des v1 interface von Let's encrypt nicht mehr.


----------



## mrairbrush (13. Juli 2021)

Bisher lief es jedoch so. So wie Du schriebst gibt es einen Fehler bei ISP. War glaube ich am 5. July.


----------



## Till (13. Juli 2021)

Zitat von mrairbrush:


> Bisher lief es jedoch so.


Lies mal bitte meine Antwort oben bis zum Ende, es nervt echt wenn man die Antwort immer mehrfach wiederholen muss weil einige Leute nur den ersten Satz lesen anstatt mal einen Post bis zum Ende zu lesen. Habe oben geschrieben warum es nicht mehr geht und warum dies nichts mit ISPConfig zu tun hat, also nochmal:

"alte certbot Versionen funktionieren seit Abschaltung des v1 interface von Let's encrypt nicht mehr. "

und ich habe auch geschrieben, was Du dagegen tun kannst:

"wie man Certbot aktualisiert steht auf der Certbot Homepage, siehe: https://certbot.eff.org/ Das ist je nach Distribution anders, steht dort aber alles im detail beschrieben. "



Zitat von mrairbrush:


> So wie Du schriebst gibt es einen Fehler bei ISP.


Richtig, es gibt einen Fehler in ISPConfig und der hat rein garnichts mit Let's encrypt SSL zu tun. Der Fehler in ISPConfig ist das man derzeit wenn man ein externes neues (nicht verlängerung!) SSL Zertifikat bei einer SSL Authority wie Comodo kaufen möchte, auf deren CSR Generatoren zurückgreifen muss. Du siehst also, hat nichts im geringsten mit Let's Encrypt oder renewal Problemen zu tun.


----------



## mrairbrush (13. Juli 2021)

Danke. Scheitert leider schon an der Installation von snapd
Warum einfach wenn es auch schwer geht. 

 Some index files failed to download. They have been ignored, or old ones used instead.


----------



## Till (13. Juli 2021)

Welches OS nutzt Du denn genau?


----------



## mrairbrush (13. Juli 2021)

Immer noch Debian. Denke daran liegt es. Ist nicht mehr aktuell. Mein Fehler.


----------



## Till (13. Juli 2021)

Da war meine Frage nicht genau genug, ich meinet welches OS und welche Version. Du brauchst vermutlich Debian 9 oder 10 um Snap zu installieren.


----------



## logifech (13. Juli 2021)

Ich würde tatsächlichbesser auf ACME.SH updaten, auch wenn es einiges an Arbeit wahrscheinlich wird (Certbot und ACME.sh sind nicht kompatibel). Denke wenn man alle vorhanden Daten von Certbot löscht und dann ACME.sh installiert und einmal ISPConfig im update modus drüber laufen lässt und die Services neukonfiguriert sollte es gehen oder @Till ?


----------



## Till (13. Juli 2021)

Zitat von logifech:


> Denke wenn man alle vorhanden Daten von Certbot löscht und dann ACME.sh installiert und einmal ISPConfig im update modus drüber laufen lässt und die Services neukonfiguriert sollte es gehen oder @Till ?


Leider nein, das reicht nicht, da acme.sh und certbot komplett unterschiedlich funktionieren. acme.sh kopiert certs in das ssl verzeichnis während certbot mit symlinks arbeitet. hattest Du jetzt vorher certbot und installierst acme.sh, dann versucht acme.sh die certs über die noch existierenden symlinks in die certbot verzeichnisse zu kopieren, was zu allen möglichen fehlern am Ende führt. Ich würde derzeit nicht umstellen, man müsste alle ssl dirs der webseiten manuell bereinigen etc. und auch die Umstellung beim ispconfig cert selbst macht massive Probleme, hatte da die letzten Tage mehrere im englischen Forum die sich nicht an die nicht umstellen Empfehlung gehalten haben oder aus Versehen umgestellt hatten und dann ihr komplettes setup abgeschossen haben. Also besser nicht umstellen. Wir arbeiten daran dass ISPConfig zumindest je nach aktuellem client versucht SSL cert Reste des anderen clients zu entfernen, das wird vermutlich in 3.2.6 drin sein, aber leicht wird die Umstellung auch dann nicht.

Das certbot so schlecht mit Altinstallationen umgeht ist mehr als ärgerlich und für mich auch völlig unverständlich. Wie kann es sein dass der offizielle client des größten free SSL cert providers sich nur noch per snap installieren lässt und keine Updates mehr für eine 'normale' Installation anbietet? Certbot ist nur ein python shell script und nicht mehr. Aber certbot hat leider eine lange Historie an Problemen, es ist meiner meinung nach die Software Komponente in ISPConfig für die wir die meisten Workarounds um diverse Bugs und Seltsamkeiten einbauen mussten bis hin zu Suchfunktionen für passende certs, da auch da kein Verlass auf certbot ist. daher auch die Umstellung auf acme.sh bei neuinstallationen. Acme.sh ist einfach zu installieren, da es im Grunde keine Installation benötigt, keine dependencies hat, muss nur bash installierts ein, und seit langen stabil gepflegt wird.


----------



## logifech (13. Juli 2021)

Danke für die Aufklärung @Till , ich verstehe es auch nicht das man um Certbot in einer halbwegs akzeptablen Version nutzen zu können absofort Snap installieren muss. Ich bin so oder so kein Freund von Ubuntu und Canonical. Ich habe mein neues ISPConfig Cluster von Anfang an mit acme.sh installiert und noch nie Probleme gehabt, im Gegenteil.


----------



## mrairbrush (14. Juli 2021)

Version müßte Debian 8.2 sein. jessie. Also updaten.  Kann wieder einiges schief gehen.


----------



## Till (14. Juli 2021)

Naja, Debian 8 ist doch eh EOL, müsstest Du doch sowieso mal updaten, unabhängig von den Certbot Problemen


----------



## mrairbrush (24. Juli 2021)

Schon klar.  Irgend etwas geht bei Updates meist schief. Muss aber wohl an der Zertifizierungsstelle liegen, sind immerhin das letzte Glied in der Kette.


----------



## mrairbrush (25. Aug. 2021)

Blöderweise finde ich den Link gerade nicht zur Updateanleitung von Debian 8.xx >>>
 Browser geschlossen und Seite nicht gespeichert.


----------



## mrairbrush (1. Nov. 2021)

Gefunden aber natürlich schief gegangen.
Jetzt ist Datenbank nicht erreichbar und nach Upgrade ist immer noch Debian 8 installiert.


----------



## mrairbrush (1. Nov. 2021)

Nun läuft wohl stretch.
Mir wird Debian 9.13 angezeigt
Allerdings bekomme ich ein:
Error establishing a database connection
Apache startet nach neustart auch nicht.
/etc/init.d/apache2 restart
[....] Restarting apache2 (via systemctl): apache2.serviceJob for apache2.service failed. See 'systemctl status apache2.service' and 'journalctl -xn' for details.
 failed!


----------



## Till (1. Nov. 2021)

Was bekommst Du denn als Fehler, wenn Du mysql neu startest?


----------



## mrairbrush (1. Nov. 2021)

/etc/init.d/mysqld restart
-bash: /etc/init.d/mysqld: No such file or directory

klar weil es nicht existiert. nur mysql
Startet man das tut sich nix mehr.

Updates oder Upgrades sind immer ein Risiko und selten läuft es glatt.


----------



## Till (1. Nov. 2021)

Installier es mal wieder mit apt, wichtig ist aber dass Du das selbe installierst, also wenn es mysql war, dann mysql, wenn es mariadb war, dann mariadb. Es gab mal ein Debian dist upgrade bei dem mysql aus entfernt wurde, es wurden aber nicht die Datenbanken entfernt und man musste es nur neu installieren. weiß leider nicht mehr zwischen welchen Debian Versionen es genau war.


----------



## florian030 (2. Nov. 2021)

zwischen 8 und 9 gabe es mal den nebeneffekt, dass apt upgrade und apt dist-upgrade nicht wirklich alles hochgezogen haben. das sieht man aber, wenn danach noch mal dist-upgrade aufruft und ggf. die fehlenden pakete manuell installiert.


----------



## mrairbrush (2. Nov. 2021)

Leider nein. Wenn ich apt-dist-upgrade noch mal aufrufe bekomme ich nur


Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Wenn ich das richtig sehe müßte es mysql gewesen sein. Ist ja auch schon eine Weile her.
Apache startet auch nicht.


----------



## mrairbrush (2. Nov. 2021)

mysql neu installieren bricht ab weil angeblich 5.6 installiert ist.

Einloggen geht auch nicht.

Enter password:
ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2 "No such file or directory")

'/var/run/mysqld/ ist leer


----------



## mrairbrush (2. Nov. 2021)

Sollte ich vielleicht gleich von Debian 9 auf 10 upgraden und dann versuchen den Fehler zu finden sonst fängt das Theater beim nächsten Update wieder an.
Oder einfach Datenbank, Webverzeichnisse sichern, alles platt machen und später wieder integrieren.


----------



## Till (2. Nov. 2021)

Im Grunde kannst Du auch gkleich weiter auf debian 10 Updaten. Datenbank und web verzeichnisse solltest Du aber in jedem fall vorher sichern, falls Du es noch nicht gemacht hast.

was den apache und mysql fehler angeht, es kann einfach sein dass da noch alte config optionen in den dateien stehen welche die neuen versionen nicht mehr kennen und man die dann entfernen muss. Dass sollte sich dann aber durch restarten der Dienste + danach ins log sehen eingrenzen lassen.


----------



## mrairbrush (2. Nov. 2021)

Gut dann mach ich das mal. Hoffe Du hast recht.


----------



## mrairbrush (2. Nov. 2021)

Nun ist er nicht mehr erreichbar. Mußte leider feststellen das er nicht mehr updatefähig ist weil der V-Serveranbieter das ab Sept. eingestellt hat.
Muss ich wohl einen neuen nehmen. Zeitgleich und hoffen das ich noch an die Daten komme die in einem Backupverzeichnis liegen. F......


----------

