Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    ACME Verify error

    Deutsch
    acme verify failed
    3
    9
    717
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Decidable3195
      last edited by

      Hallo zusammen,

      Ich bin neu in diesem Bereich und wurde quasi ins Kalte Wasser gestoßen, versuche nun mein Problem hier so gut wie nur möglich zu schildern. Die Google-Suche ergab derzeit keine Erfolgreiche Problemlösung.

      Wir betreiben ein Netgate 3100 mit der Version 22.05
      Dahinter sind 2 Netze, eines für Office und ein DMZ welches für unsere Cloud, Homepage etc zuständig ist.

      Realisiert wird das ganze auf einem kleinen Server auf dem Virtualbox installiert ist, auf dieser befindet sich eben die Cloud lösung, Homepage, 3CX Telefonanlage.

      Was noch Wichtig ist: Multi domain='DNS:www.xxx.com,DNS:service.xxx.com'
      Sprich, www.xxx.com ist für die Homepage gedacht; service.xxx.com ist für die Cloud.

      Abgesichert wird dies durch letsencrypt.
      Da jedoch letsencrypt nur ein Zertifikat für 3 Monate ausgibt, muss ich es jetzt nun erneuen. Ist bei pfsense recht einfach.

      Leider bekomme ich folgende Fehlermeldung und hoffe ihr könnt mir hier helfen:

      Webserver
      Renewing certificate
      account: Productive
      server: letsencrypt-production-2

      /usr/local/pkg/acme/acme.sh --issue --domain 'www.xxx.com' --standalone --listen-v4 --httpport '80' --domain 'www.xxx.com' --standalone --listen-v4 --httpport '80' --home '/tmp/acme/Webserver/' --accountconf '/tmp/acme/Webserver/accountconf.conf' --force --reloadCmd '/tmp/acme/Webserver/reloadcmd.sh' --log-level 3 --log '/tmp/acme/Webserver/acme_issuecert.log'
      Array
      (
      [path] => /etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin/
      [PATH] => /etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin/
      [port] => 80
      [ipv6] =>
      )
      [Mon Feb 13 12:07:24 CET 2023] Using CA: https://acme-v02.api.letsencrypt.org/directory
      [Mon Feb 13 12:07:24 CET 2023] Standalone mode.
      [Mon Feb 13 12:07:24 CET 2023] Standalone mode.
      [Mon Feb 13 12:07:25 CET 2023] Multi domain='DNS:www.xxx.com,DNS:service.xxx.com'
      [Mon Feb 13 12:07:25 CET 2023] Getting domain auth token for each domain
      [Mon Feb 13 12:07:31 CET 2023] Getting webroot for domain='www.xxx.com'
      [Mon Feb 13 12:07:31 CET 2023] Getting webroot for domain='service.xxx.com'
      [Mon Feb 13 12:07:31 CET 2023] Verifying: www.xxx.com
      [Mon Feb 13 12:07:31 CET 2023] Standalone mode server
      [Mon Feb 13 12:07:34 CET 2023] Pending, The CA is processing your order, please just wait. (1/30)
      [Mon Feb 13 12:07:37 CET 2023] www.xxx.com:Verify error:62.240.128.72: Invalid response from http://www.xxx.com/.well-known/acme-challenge/wCSyAsP9hDHGn7CPmLyEXZd7uuAUlnBgpBrcKZux39M: 404
      [Mon Feb 13 12:07:37 CET 2023] Please check log file for more details: /tmp/acme/Webserver/acme_issuecert.log

      JeGrJ micneuM 2 Replies Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @Decidable3195
        last edited by

        @decidable3195 Ich verstehe da ehrlich gesagt nicht ganz was du da genau tust? Warum das Zertifikat auf der pfSense? Nutzt ihr da HAproxy oder irgendwas darauf? Davon steht da nichts, daher verstehe ich es nicht ganz, warum ihr das Zertifikat auf der Sense habt.

        Ansonsten sieht das nach einem Problem beim Refresh aus, weil die Webseite nicht die Token Antwort gibt. Aber solange ich nicht weiß, was ihr da genau tut, kann ich keine wirkliche Antwort geben, was genau umzustellen wäre.

        Cheers

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        D 1 Reply Last reply Reply Quote 0
        • micneuM
          micneu @Decidable3195
          last edited by micneu

          @decidable3195 said in ACME Verify error:

          Realisiert wird das ganze auf einem kleinen Server auf dem Virtualbox installiert ist, auf dieser befindet sich eben die Cloud lösung, Homepage, 3CX Telefonanlage.

          FRAGE:

          • ist das für eine firma oder privat
          • sollte es für eine firma sein, warum nutzt ihr dann Virtualbox (das hört sich für mich nicht wirklich nach professionell an)?

          Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
          Hardware: Netgate 6100
          ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

          D 1 Reply Last reply Reply Quote 0
          • D
            Decidable3195 @micneu
            last edited by

            @micneu said in ACME Verify error:

            FRAGE:

            ist das für eine firma oder privat
            sollte es für eine firma sein, warum nutzt ihr dann Virtualbox (das hört sich für mich nicht wirklich nach professionell an)?

            Oh sorry, es war natürlich Proxmox VE (nicht Virtualbox)
            Ist Firma

            1 Reply Last reply Reply Quote 0
            • D
              Decidable3195 @JeGr
              last edited by

              @jegr said in ACME Verify error:

              @decidable3195 Ich verstehe da ehrlich gesagt nicht ganz was du da genau tust? Warum das Zertifikat auf der pfSense? Nutzt ihr da HAproxy oder irgendwas darauf? Davon steht da nichts, daher verstehe ich es nicht ganz, warum ihr das Zertifikat auf der Sense habt.
              Ansonsten sieht das nach einem Problem beim Refresh aus, weil die Webseite nicht die Token Antwort gibt. Aber solange ich nicht weiß, was ihr da genau tut, kann ich keine wirkliche Antwort geben, was genau umzustellen wäre.
              Cheers

              Wir haben auf dem Server das Proxmox VE (nicht Virtualbox) installiert, darauf laufen dann Homepage, Cloud etc
              HAproxy nutzen wir nicht.

              Homepage und Cloud nutzen den 80 und 443 Port. Denke das es deshalb "besser" ist wenn pfsense das mit dem Zertifikat übernimmt

              JeGrJ 1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator @Decidable3195
                last edited by

                @decidable3195 Nochmal: Wie funktioniert dann das Setup, wenn beide Dienste 80/443 verwenden, ihr KEINEN HaProxy verwendet und pfSense das Zertifikat machen soll? Wie soll das Zertifikat jetzt wohin ausgespielt werden? pfSense ohne HAproxy hat nichts mit WebTraffic zu tun, heißt es geht nur ein Port Forwarding von WAN -> intern. Das geht aber nur für ein Ziel, nicht für mehrere - es gibt keine Unterscheidung bei Port 443 was jetzt Homepage und was Cloud ist. Wenn das alles zum gleichen Server geht - OK, dann muss der damit klarkommen, aber dann verstehe ich erneut nicht, was pfSense dann mit dem Zertifikat zu tun haben soll.

                Das Zertifikat auf der Sense zu verwalten macht nur Sinn, wenn sie irgendwas damit tun soll. Ohne HAproxy verstehe ich den Sinn nicht?

                Cheers

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                D 1 Reply Last reply Reply Quote 1
                • D
                  Decidable3195 @JeGr
                  last edited by

                  @jegr Ich weiß das das keinen Sinn macht.

                  Soweit ich weiß wird hier DNS Resolver verwendet.
                  Aber ob das das Problem verursacht weiß ich nicht.

                  Wie gesagt ich bin hier ins kalte Wasser gestoßen worden und brauch nun hier eine kleine Unterstützung.

                  Bildschirm­foto 2023-02-20 um 08.45.39.png
                  Bildschirm­foto 2023-02-20 um 08.46.42.png

                  1 Reply Last reply Reply Quote 0
                  • D
                    Decidable3195
                    last edited by

                    So jetzt habe ich einen kompletten blödsinn gemacht :(

                    Hab etwas umgestellt das von https nun http verwendet.
                    Jetzt ist es so wenn ich mich einlogen möchte, ich anstatt https:xxx.xxx.xxx.xxx nun ohne "s" verwenden muss.
                    Nachdem ich User uns PW eingegeben habe refresht die Seite und bin wieder bei der Login Seite. Komme so nicht mehr ins System hinein.

                    Was mache ich nun?

                    JeGrJ 1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @Decidable3195
                      last edited by

                      @decidable3195 Ich würde dir ja wirklich gerne helfen, aber ohne zu verstehen, was ihr da wo tut, kann ich es schlicht nicht. Du sprichst von ACME und dann von DNS, jetzt hast du irgendwo irgendwas umgestellt aber postest nicht was. Woher soll man denn wissen, was du jetzt wie verstellt hast? Dass die Seite nicht mehr geht wundert nicht, da viele entsprechend intern mit Umleitungen auf HTTPS etc. arbeiten, dann funktioniert der Login nicht mehr.
                      Da ihr aber anscheinend keinen Proxy einsetzt kann es auch nicht wirklich was auf der Sense gewesen sein, was das Problem jetzt verursacht?

                      Also wäre es schön wenn wir mal einen Schritt zurück gehen und wir mal komplett aufdröseln um hier überhaupt Sinn reinzubekommen:

                      • Um welche Dienste geht es hier konkret?
                      • Wo laufen diese und mit welcher internen IP?
                      • Wie greift man von wo darauf zu?
                      • Welche internen Netze (wenn mehrere) sind involviert?
                      • Was hat die Sense damit zu tun? Bei welchem Zugriff ist die überhaupt involviert?

                      Am Einfachsten wäre natürlich ein kleiner Plan oder Skizze aber wenn dus mal etwas weitergehend niederschreiben würdest, wäre das auch schon eine große Hilfe. So verstehe ich wie gesagt überhaupt nicht was wo wie läuft und warum die Sense da involviert sein soll.

                      Cheers
                      \jens

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post