SSL Zertifikate mit Certbot/LetsEncrypt

[tx_g]

Hallo,
ich habe mir vor einiger Zeit eine Domain gekauft die per A und AAAA Records auf meinen Homeserver mit Debian 9 gelegt ist. Im Router (SpeedportW724V) habe ich die Ports 80 U 443 freigegeben.
Zur Installation der Zertifikat wollte ich eigentlich Certbot benutzen, da mir das ganze relativ einfach erschien. Allerdings habe ich ein Problem das Zertifikat zu bekommen da immer folgender Fehler auftritt:

root@CLOUD-1:/home/server# certbot certonly --rsa-key-size 4096 --webroot -w /var/www/html/ -d cloud-inc.eu -d www.cloud-inc.eu                                       
Saving debug log to /var/log/letsencrypt/letsencrypt.log                           
Obtaining a new certificate                                                        
Performing the following challenges:                                               
http-01 challenge for cloud-inc.eu                                                 
http-01 challenge for www.cloud-inc.eu                                             
Using the webroot path /var/www/html for all unmatched domains.                    
Waiting for verification...                                                        
Cleaning up challenges                                                             
Failed authorization procedure. cloud-inc.eu (http-01): urn:acme:error:connection :
: The server could not connect to the client to verify the domain :: Fetching http:
//cloud-inc.eu/.well-known/acme-challenge/merkwürdigercode
-w: Timeout                                                                        
                                                                                   
IMPORTANT NOTES:                                                                   
 - The following errors were reported by the server:                               
                                                                                   
   Domain: cloud-inc.eu                                                            
   Type:   connection                                                              
   Detail: Fetching                                                                
   http://cloud-inc.eu/.well-known/acme-challenge/merkwürdigercode;                                                                        
   Timeout                                                                         
                                                                                   
   To fix these errors, please make sure that your domain name was                 
   entered correctly and the DNS A record(s) for that domain                       
   contain(s) the right IP address. Additionally, please check that                
   your computer has a publicly routable IP address and that no                    
   firewalls are preventing the server from communicating with the                 
   client. If you're using the webroot plugin, you should also verify              
   that you are serving files from the webroot path you provided.

Evtl könnt ihr mir dabei weiterhelfen.

 

[Kyze]

Die relevante Zeile ist das hier:

The server could not connect to the client to verify the domain :: Fetching http://cloud-inc.eu/.well-known/acme-challenge/merkwürdigercode
-w: Timeout

Es wird versucht auf deine Website zu kommen, was aber wegen einem Timeout fehlschlägt.

Kommst du denn selber von extern auf deine Seite drauf ?
Da muss noch irgendwo was schief laufen/geblockt sein, danach kannst du das Zertifikat ordern nochmal versuchen.

 

[tx_g]

Also von extern komme ich Problemlos drauf. Von Intern über die IP landet man dank toller Speedport Technik auf der Loginseite des Routers.

 

[Crumar]

Webserver deaktiviert?

Edit:

Btw, die meisten Router würden dich vermutlich auf die Loginseite schieben.
Ich gehe einfach mal davon aus, dass du eine Portweiterleitung von 80 auf deinen Server gemacht hast. Die gilt aber nur für eingehende Verbindungen auf dem Interface deines ISP, nicht auf dem internen. Das könntest du sicherlich auch noch machen, aber dann hast du eben keinen Zugriff mehr auf deinen Router

Du könntest allerdings versuchen deine Domain im Router statisch auf deinen internen Server zeigen zu lassen, so dass du gar keinen externen DNS mehr abfragst.

Alternativ kannst du das in jeder hosts Datei lokal machen.

 

[tx_g]

Ist auch an. Sonnst würde er ja nicht diese Kunstvoll gestaltete Seite darstellen. http://cloud-inc.eu

 

[Crumar]

Also ich muss immer den Apache2 ausschalten, um meine Zertifikate zu erneuern. Der Certbot versucht ja Port 80 zu binden und dort auf die Verbindung zu warten.

Würde ich daher mal probieren. Keine Ahnung wie das mit anderen Webservern / OS ist.

 

[KillerCow]

Zwei Möglichkeiten:
Einige Tools versuchen vorher selbst an die Adresse heranzukommen und scheitern (NAT Reflection/Hairpinning). Trag die Domain zumindest testweise mal in die hosts Datei ein, mit der lokalen IP vom Websever.

Kommst du auch an den Pfad "/.well-known/acme-challenge" ran? Leg da einfach eine Testdatei rein und versuch die abzurufen.

 

[tx_g]

OK, habe das mal ausprobiert mit service apache2 stop funktioniert leider auch nicht. Bei dem bekommen der Zertifikat nutze ich den Command mit certonly und --webroot , da --apache den Fehler ausgibt, das das Plugin fehlt.

Wo finde ich diese Hosts Datei?

 

[DeusoftheWired]

WAN-Loopback-Problem durch das „Sicherheitsfeature“ des Speedports. :I https://telekomhilft.telekom.de/t5/forums/v3_1/forumtopicpage/board-id/552/thread-id/69497/page/1

 

[Knalltuete]

Wenn ich die Domain aufrufe, dann bekomme ich "Fehler: Verbindung fehlgeschlagen".

 

[Crumar]

Naja, aber daran liegt das ja mit seinen Zertifikaten nicht.
Hast du auch eine Portweiterleitung für 443?

 

[tx_g]

Wenn ich die Domain aufrufe, dann bekomme ich "Fehler: Verbindung fehlgeschlagen".

War wegen dem Test gerade eben noch aus :

Port Weiterleitung ist drinnen

 

[Knalltuete]

Naja, aber daran liegt das ja mit seinen Zertifikaten nicht.
Hast du auch eine Portweiterleitung für 443?

Ich denke auch, dass Port 443 nicht freigegeben ist.

 

[tx_g]

Auf UDP U TCP habe ich die rein gelegt. Evtl muss man noch die Firewall von Debian 9 anpassen?

 

[KillerCow]

hosts Datei liegt unter /etc

 

[Knalltuete]

Entferne doch testweise mal mit iptables -F alle Firewallregeln auf deinem Debian System.

 

[tx_g]

Okay jetzt bin ich durch
mit dem vorhandenen certbot aus den paketfilter klappt es nicht, aber mit certbot-auto geht es. :0