Προσπαθεια εγκαταστασεις πιστοποιητικου απο Let's Encrypt

[thessalonik]

Καλημερα παιδια,

Προσπαθω να εγκαταστησω ενα πιστοποιητικο απο Let's Encrypt μεσω Virtulamin.

Oταν τανει στο σημειο να κανει το challedge για το domain mail.superhost.gr ΔΕΝ μπορει να πετυχει και δεν ξερω γιατι, παρολο που το ΤΧΤ record ειναι στην θεση του.

Το μηνυμα λαθος που παιρνω ειναι.

 

… request failed : Web-based validation failed : Failed to request certificate : mail.superhost.gr challenge did not pass: Invalid response from http://mail.superhost.gr/.well-known/acme-challenge/AlOLufDWP6592aa_NuFrZtVFUJu1eKtXZ9_oD-22PdU [2a02:7b40:b0df:81dc::1]: “\n \n \n \n Error: 404 Not Found</title”

DNS-based validation failed : Failed to request certificate : Undefined subroutine &main::restart_zone called at /usr/libexec/webmin/webmin/letsencrypt-dns.pl line 47.mail.uperhost.gr challenge did not pass: DNS problem: NXDOMAIN looking up TXT for _acme-challenge.mail.superhost.gr

Μπορειτε να μου πειτε τι ακριβως πρεπει να κανω για να το εγκαταστησει?

Λειπει καποιο DNS εντρυ μηπως? Entry για το mail.superhost.gr υπαρχει παντως.

[CyberCr33p]

Δεν βρίσκει το αρχείο που πρέπει μέσα στον φάκελο .well-known/acme-challenge

Στην ουσία πάει να κάνει validation με αρχείο και όχι με τα DNS.

[thessalonik]

Μπορείς σε παρακαλώ να μου πεις βήμα βήμα σε ποιον φάκελο πρέπει να δημιουργήσω το αρχείο και τι πρέπει να περιέχει? 

 Η είναι προτιμότερο να κάνουμε DNS validation!? Έχει βάλει το ΤΧΤ RECORF μέσα και δεν καταλαβαίνω γιατί δεν το βρίσκει. 

[CyberCr33p]

Δεν γνωρίζω από webmin οπότε δεν μπορώ να σε βοηθήσω περισσότερο σε αυτό. Αλλά και γενικά και κάποιος να ξέρει από webmin δεν μπορεί να σου πει βήμα βήμα τι να κάνεις. Είναι σαν να ρωτάς πώς θα πας με το αυτοκίνητο από ένα μέρος σε ένα άλλο. Μπορώ να σου πω την διεύθυνση που πρέπει να πας, αλλά δεν μπορώ να σου πω πότε θα πρέπει να ανάψεις το φλας για να αλλάξεις λωρίδα κυκλοφορίας ή πότε να πατήσεις φρένο διότι οι συνθήκες αλλάζουν κάθε φορά.

Για παράδειγμα στη προκειμένη περίπτωση μπορεί να υπάρχουν 4-5 ή ίσως και περισσότεροι λόγοι που μπορεί να μην βρήκε το αρχείο http://mail.superhost.gr/.well-known/acme-challenge/AlOLufDWP6592aa_NuFrZtVFUJu1eKtXZ9_oD-22PdU όταν ο server του Let's Encrypt το κάλεσε. Για παράδειγμα μπορεί να μην υπάρχει ο φάκελος .well-known , να μην έχει σωστά permissions, να πρόκειται για alias που δουλεύει από άλλο path και όχι μέσα από το φάκελο που είναι τα υπόλοιπα αρχεία της σελίδας, να μην έχεις καν περασμένο virtual host mail.superhost.gr στον Apache, και πάει λέγοντας.

Το TXT record που έβαλες πάντως δεν το περνάς χειροκίνητα γιατί είναι διαφορετικό κάθε φορά. Πρέπει να το περάσει αυτόματα ο ACME client.

Επίσης ο ACME client ορίζει εάν το validation θα γίνει μέσω αρχείου ή μέσω DNS, στην προκειμένη περίπτωση είναι "ρυθμισμένος" να κάνει validation μέσω αρχείου.

Επεξ/σία 5 Νοεμβρίου 2019 από CyberCr33p

[thessalonik]

Εγω τωρα πρεπει να προσπαθησω να γινει το validation μεσω HTTP ή μεσω DNS?

υπαρχει και ενα θεμαι ομως με το IPv6 το οποιο βγαζει error αντι να δειχνει το ιδιο περιεχομενο που δειχνει το IPv4.

 

Μπορεις αρχικα να με βοηθησεις σε αυτο το θεμα? εχω προσβαση στο VPS via SSH καθως και VirtualMin.

Μπορω να τρεξω οτι εντολη μου πεις και να κανω post back το περιχομενο.

curl -Iki6 [2a02:7b40:b0df:81dc::1]
HTTP/1.1 500 Internal Server Error
Date: Tue, 05 Nov 2019 09:31:53 GMT
Server: Apache/2.4.6
Content-Length: 1524
Connection: close
Content-Type: text/html; charset=UTF-8

curl -Iki4 176.223.129.220
HTTP/1.1 200 OK
Date: Tue, 05 Nov 2019 09:32:12 GMT
Server: Apache/2.4.6
Content-Length: 6896
Content-Type: text/html; charset=UTF-8

curl -Iki6 mail.superhost.gr
HTTP/1.1 500 Internal Server Error
Date: Tue, 05 Nov 2019 09:33:42 GMT
Server: Apache/2.4.6
Content-Length: 1517
Connection: close
Content-Type: text/html; charset=UTF-8

curl -Iki4 mail.superhost.gr
HTTP/1.1 200 OK
Date: Tue, 05 Nov 2019 09:33:46 GMT
Server: Apache/2.4.6
Content-Length: 6939
Content-Type: text/html; charset=UTF-8

 

Επεξ/σία 5 Νοεμβρίου 2019 από thessalonik

[CyberCr33p]

Ο ACME client που χρησιμοποιείς πάει να κάνει validation με αρχείο. Aυτή είναι και η προκαθορισμένη συμπεριφορά τουλάχιστον για όσους ACME clients έχω δουλέψει.

Για το πρόβλημα που εμφανίζει 500 error (άσχετο βέβαια με το Let's Encrypt) θυμάμαι από παλαιότερο σου μήνυμα ότι έχεις κάποιο script στη σελίδα σου που εμφανίζει στατιστικά όπως τις IP όσων μπήκαν. Πιθανότατα να χτυπάει κάτι από εκεί εάν δεν δουλεύει σωστά ο κώδικας που πάει να "διαβάσει" τις IPv6 διευθύνσεις επισκεπτών, αλλά το script σου να δουλεύει σωστά όταν "διαβάζει" IPv4 διευθύνσεις. Για παράδειγμα ενδεχομένως να μην μπορεί να αποθηκεύσει σωστά τα δεδομένα των IP σε βάση μιας και το μέγεθος του πεδίου να είναι αρκετό για IPv4 αλλά όχι για IPv6. Γνώμη μου είναι να απενεργοποιήσεις εντελώς το IPv6, άσχετα με το εάν λύσεις το πρόβλημα με το 500 error.

Σε όσους servers διαχειρίζομαι δεν έχω ενεργό το IPv6 (ούτε στους υπολογιστές μου), και ο λόγοι είναι ότι 1) παντού υπάρχει υποστήριξη για IPv4, κάτι το οποίο κατά τη γνώμη μου δεν θα αλλάξει σίγουρα μέσα στα επόμενα 15-20 χρόνια για πολλούς και διάφορους λόγους και 2) αυξάνεται η πολυπλοκότητα, η πιθανότητα κάτι να αμελήσεις και να μην το κάνεις σωστά, καθώς και ο χρόνος για να κάνεις συντήρηση σε firewall και τα υπόλοιπα προγράμματα 3) δεν μπορείς να μπλοκάρεις εύκολα με το firewall σου spambots και κακόβουλους χρήστες όταν μπορούν πολύ εύκολα να έχουν πρόσβαση σε εκατομμύρια διαφορετικές IP.

Επεξ/σία 5 Νοεμβρίου 2019 από CyberCr33p

[thessalonik]

Σβηνω λοιπον ολρες τα IPv6 records απο το DNS Zone superhost.gr και αρα διαμορφωνεται ως εξης:

 

[root@superhost ~]# cat /var/named/superhost.gr.hosts 
$ttl 38400
@       IN      SOA     ns1.superhost.gr. root.ns1.superhost.gr. (
                        1572891758
                        10800
                        3600
                        604800
                        38400 )
superhost.gr.   IN      A       176.223.129.220
www.superhost.gr.       IN      A       176.223.129.220
ftp.superhost.gr.       IN      A       176.223.129.220
m.superhost.gr. IN      A       176.223.129.220
ns1.superhost.gr.       IN      A       176.223.129.220
ns2.superhost.gr.       IN      A       176.223.129.220
localhost.superhost.gr. IN      A       127.0.0.1
webmail.superhost.gr.   IN      A       176.223.129.220
admin.superhost.gr.     IN      A       176.223.129.220
mail.superhost.gr.      IN      A       176.223.129.220
superhost.gr.   IN      MX      5 mail.superhost.gr.
superhost.gr.   IN      TXT     "v=spf1 a mx a:superhost.gr ip4:176.223.129.220 ip4:176.223.129.220 ip6:2A02:7B40:B0DF:81DC::1 ?all"
autoconfig.superhost.gr.        IN      A       176.223.129.220
autodiscover.superhost.gr.      IN      A       176.223.129.220
superhost.gr.   IN      NS      ns1.superhost.gr.
superhost.gr.   IN      NS      ns2.superhost.gr.
_acme-challenge.mail.superhost.gr.      5       IN      TXT     anLq7jffBRApJvgUHUwr0-pSMSDSnUdEllLzbCGtdq0
[root@superhost ~]# 

 

Ο  ACME client, μπορεσε και σημιουρησε την εγγραφη 

_acme-challenge.mail.superhost.gr.      5       IN      TXT     anLq7jffBRApJvgUHUwr0-pSMSDSnUdEllLzbCGtdq0

οποτε οταν κανει request to certificate apo tous lets encrypt servers γιατι δεν βρισκει την εγγραφη?

Το προβλημα παρουσιαζεται οταν προσπαθει να επικοινωνησει με τον mail.superhost.gr αν και οπως φαινεται στην εικονα υπαρχει εγγραφη και για αυτον?

5 λεπτά πριν, thessalonik είπε

mail.superhost.gr. IN A 176.223.129.220

superhost.gr. IN MX 5 mail.superhost.gr.

 

9 ώρες πριν, thessalonik είπε

DNS-based validation failed : Failed to request certificate : Undefined subroutine &main::restart_zone called at /usr/libexec/webmin/webmin/letsencrypt-dns.pl line 47.mail.uperhost.gr challenge did not pass: DNS problem: NXDOMAIN looking up TXT for _acme-challenge.mail.superhost.gr

αυτο το : DNS problem: NωXDOMAIN looking up TXT for _acme-challenge.mail.superhost.gr 

δεν μπορω να καταλαβω αυτο το NON-Existent Domain.

[CyberCr33p]

To serial 1572891758 αν και δεν είναι λάθος εφόσον κάθε φορά που κάνεις αλλαγή του αυξάνεις το νούμερο για λόγους ευκολίας συνήθως το γράφουμε σε μορφή ημερομηνίας 2019110501 , όπου το τελευταίο 01 είναι αυτό που αυξάνουμε, εγώ προσωπικά αντί να το αυξάνω κατά ένα νούμερο βάζω στην θέση του την ώρα, για παράδειγμα εάν κάνω τώρα την αλλαγή στις 22:26 θα βάλω 2019110522. Επίσης το TTL καλό είναι να είναι χαμηλό νούμερο ώστε εάν χρειαστεί ποτέ να αλλάξεις IP να μπορεί να γίνει άμεσα, για παράδειγμα μπορείς να το αλλάξεις το "$ttl 38400" σε "$ttl 300".

Τώρα σχετικά με αυτά που ρωτάς, το πιο πιθανό να οφείλεται σε bug του virtualmin:

https://virtualmin.com/node/67555

Απ' ότι λένε θα το διορθώσουν στην επόμενη έκδοση.

Εάν δεν μπορείς να περιμένεις πέρνα τις αλλαγές που αναφέρουν εδώ:

https://github.com/webmin/webmin/commit/771be1a754fafa02abb5d5670f3ba4a6e94f30c4

Επεξ/σία 5 Νοεμβρίου 2019 από CyberCr33p

[thessalonik]

Mαλιστα ωστε προκειται για BUG του Control Panel δηλαδη...

Is there another way for me to read my [email protected] mail via GMail ?!
Some workaround perhaps?

[CyberCr33p]

Nα φανταστώ ότι δημοσιεύεις και σε άλλα forum στο εξωτερικό και βαριέσαι να κάνεις μια μετάφραση αυτού που γράφεις;

[thessalonik]

Ρωτουσα και στο ιδιο το Let's Encrypt και απο κεκτημενη ταχυτητα ξεχασα να μεταφρασω.

Αληθεια υπαρχει καποιος αλλος τροπος να διαβασω το domain mail μεσω POP3 access απο το GMail?

Δεν πιστεω αλλα ειπα να το ρωτησω.

[CyberCr33p]

Γιατί να μην μπορείς; Εκτός εάν το gmail δεν αφήνει να τραβήξεις τα μηνύματα με POP3 εάν δεν είναι κρυπτογραφημένη η σύνδεση.

[Predatorkill]

1 ώρα πριν, CyberCr33p είπε

Nα φανταστώ ότι δημοσιεύεις και σε άλλα forum στο εξωτερικό και βαριέσαι να κάνεις μια μετάφραση αυτού που γράφεις;

Εισαι ηρωας

[thessalonik]

5 λεπτά πριν, CyberCr33p είπε

Γιατί να μην μπορείς; Εκτός εάν το gmail δεν αφήνει να τραβήξεις τα μηνύματα με POP3 εάν δεν είναι κρυπτογραφημένη η σύνδεση.

Βασικα πεταγε το μηνυμα οτι Plain text authorization is not allowed in non-ssl connection, οποτε πηγα στο Docecot και πατησα Allow.

Αληθεια αν αντι για Let's Encrypt πιστοποιητικο ορισω ενα self-signed cert και το περασω στο domain μου θα μπορεσει το GMail να τρααβηξει το mail μεσω pop3 sll?

H μηπως για να το επιτρεψει θελει μια valid ssl cert authorisy?

[thessalonik]

να και μια φωτο για να δεις πως επιχειρω να κανω ρε;θεστ ψερτ μεσω virtualmin