# Probleme mit lets encrypt



## ramrod (11. Jan. 2018)

Hallo,
hab aktuell Probleme bei der Erneuerung und beim Anlegen von neuen Zertifikaten.
Es geht um ein Debian 9 mit ISPConfig 3.1.11, certbot 0.10.2-1 und nginx 1.13.3

Sobald ich ein renew manuell anzustoßen mit
`certbot renew --nginx`
erhalte ich:

`Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
Attempting to renew cert from /etc/letsencrypt/renewal/xxx.xx.conf produced an unexpected error: Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.. Skipping.`

/etc/letsencrypt/renewal/xxx.xx.conf

`# renew_before_expiry = 30 days
version = 0.10.2
cert = /etc/letsencrypt/live/xxx.xx./cert.pem
privkey = /etc/letsencrypt/live/xxx.xx./privkey.pem
chain = /etc/letsencrypt/live/xxx.xx./chain.pem
fullchain = /etc/letsencrypt/live/xxx.xx./fullchain.pem
archive_dir = /etc/letsencrypt/archive/xxx.xx.

# Options used in the renewal process
[renewalparams]
account = 4f9cfd2c6f478eb4e6984fd0a7352f7b
authenticator = webroot
rsa_key_size = 4096
installer = None
[[webroot_map]]
www.xxx.xx. = /usr/local/ispconfig/interface/acme
xxx.xx. = /usr/local/ispconfig/interface/acme`

Die FAQ https://www.howtoforge.com/community/threads/lets-encrypt-error-faq.74179/ hat hier leider nichts gebracht. 

Folgendes spuckt ISP bei der nochmaligen Aktivierung über die GUI aus:

`Cert is due for renewal, auto-renewing...
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for xxx.xx
http-01 challenge for www.xxx.xx
Using the webroot path /usr/local/ispconfig/interface/acme for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Unable to clean up challenge directory /usr/local/ispconfig/interface/acme/.well-known/acme-challenge
Failed authorization procedure. www.xxx.xx (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://www.xxx.xx/.well-known/acme-challenge/OrCGZRJQBTYXMxUnQxi7ls6dvzRo5-T9l_Kwt2TjDDk: Connection refused, xxx.xx (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://xxx.xx/.well-known/acme-challenge/wGqyWyig_Bvistx74ISbexaiFpje60vfROb8jFQ5cgA: Connection refused
finished.`

Hat jemand einen Rat?


----------



## Till (12. Jan. 2018)

Lege mal im Verzeichnis /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/ eine testdatei ab, egal was. z.B.:

touch /usr/local/ispconfig/interface/acme/.well-known/acme-challenge/meintest.txt

Jetzt püfe ob Du sie erreichen kanns mit:

http://xxx.xx/.well-known/acme-challenge/meintest.txt

geht das nicht, dann kann LE das SSL cert nicht authentifizieren. Gründe können sein dass die Domain nicht existiert oderdass Du irgendwelche custm rewrite Regeln utzt welche den Pfad verbiegen so dass der Aufruf nicht mehr geht.


----------



## ramrod (12. Jan. 2018)

Hallo Till,
das hatte ich gestern spät Nachts bereits versucht. Eine test Datei kann ich da ohne Probleme aufrufen.


----------



## alhazred (12. Jan. 2018)

Vielleicht ist das die Ursache/Lösung? TLS-SNI-01 (klick)


----------



## robotto7831a (12. Jan. 2018)

Eher unwahrscheinlich. Ich habe gestern noch erfolgreich mit ISPConfig ein Zertifikat ausgestellt.


----------



## Till (12. Jan. 2018)

ISPConfig nutzt nur webroot auth, daher sollte die TLS-SNI-01 Abschaltung ISPConfig Systeme nicht betreffen.



Zitat von ramrod:


> Hallo Till,
> das hatte ich gestern spät Nachts bereits versucht. Eine test Datei kann ich da ohne Probleme aufrufen.


Vielleicht ein IPv4 / IPv6 Problem? Also dass z.B. nur IPv4 geht und LE vielleicht verushcht sich per IPv6 zu verbinden? Oder DNS problem (split brain), teste mal die records mit intodns.com.


----------

