This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Let´s Encrypt - Domäne hinzufügen

Ich habe vor ein paar Wochen erstmals Let´s Encrypt in Betrieb genommen: https://support.sophos.com/support/s/article/KB-000038399?language=en_US
Nun würde ich das auch für andere Domains nutzen wollen. Wie ist hier die Vorgehensweise, da ich das Zertifikat ja nicht mehr ändern kann?
- Das vorhandene Zertifikat löschen und mit den neuen Domains erneut anlegen
- Ein weiteres Let´s Encrypt Zertifikat erzeugen? Das habe ich versucht - erfolglos: An error occurred while communicating with the Let's Encrypt server Liegt das vielleicht daran, dass ich das auf dieselbe IP-Adresse binden möchte, wie das bereits aktive Zertifikat



This thread was automatically locked due to age.
  • Ich arbeite mit mehreren Zertifikaten für verschiedene WAF-Ziele hinter der gleichen IP. Das funktioniert so.

    Es darf nur keine DNAT-regel geben, welche Port 80 eingehend betrifft.

    ... und auch die HTTP-zu HTTPS Umleitung in der WAF hat schon mal Probleme gemacht ... aber eigentlich nur in älteren Versionen.

    Im WAF-live-log sind die eingehenden Zugriffe der Kontrollserver zu sehen. Diese kommen von überall in der Welt und sind mit Country-Blocking nicht kompatibel.

    DNS zeigt bereits auf die ext. IP?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Danke für die Infos und ja, DNS zeigt bereits auf die externe IP, da die beiden URL´s, um die es geht, bereits über die WAF angebunden sind. 
    Könnte hier vielleicht das Problem liegen, dass bereits noch ein anderes, gültiges Zertifikat für die beiden URL´s existiert? Das LetýEncrypt Zertifikat soll dieses aktuelle Zertifikat nach Ablauf ersetzen.
    Ich hatte das fehlerhafte LetýEncrypt Zertifikat gestern noch einmal gelöscht und heute Morgen erneut beantragt. Ich erhalte aber denselben Fehler.
    Die Aussage zum Country Blocking habe ich nicht verstanden...

    Anbei einmal der entsprechende Teil des life-log:

    2021:10:19-07:39:08 WAF-2 httpd[10050]: Restarting gracefully
    2021:10:19-07:39:08 WAF-2 httpd[10056]: [Tue Oct 19 07:39:08.548758 2021] [core:warn] [pid 10058:tid 4147377856] AH00111: Config variable ${URLHardening_HTTP_Hostname} is not defined
    2021:10:19-07:39:08 WAF-2 httpd[10056]: [Tue Oct 19 07:39:08.549043 2021] [core:warn] [pid 10058:tid 4147377856] AH00111: Config variable ${URLHardening_HTTP_Hostname} is not defined
    2021:10:19-07:39:08 WAF-2 httpd[10056]: [Tue Oct 19 07:39:08.549234 2021] [core:warn] [pid 10058:tid 4147377856] AH00111: Config variable ${URLHardening_HTTP_Hostname} is not defined
    2021:10:19-07:39:08 WAF-2 httpd[10056]: AH00112: Warning: DocumentRoot [/var/www/REF_RevFroProfil1] does not exist
    2021:10:19-07:39:08 WAF-2 httpd[10056]: AH00112: Warning: DocumentRoot [/var/www/REF_RevFroProfil2] does not exist
    2021:10:19-07:39:08 WAF-2 httpd[10056]: AH00112: Warning: DocumentRoot [/var/www/REF_RevFroProfil3] does not exist
    ....
    2021:10:19-07:39:08 WAF-2 httpd[10056]: AH00112: Warning: DocumentRoot [/var/www/REF_RevFroProfil19] does not exist
    2021:10:19-07:39:08 WAF-2 httpd[10056]: AH00112: Warning: DocumentRoot [/var/www/REF_RevFroProfil20] does not exist
    2021:10:19-07:39:08 WAF-1 httpd[7475]: Syntax OK
    2021:10:19-07:39:08 WAF-2 httpd: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="76178" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="1038" url="/status" server="localhost:4080" port="80" query="" referer="-" cookie="-" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="YW5Z-NRKY9Nna3QsgOdGJgAAAAo"
    2021:10:19-07:39:08 WAF-2 httpd[10134]: [Tue Oct 19 07:39:08.988140 2021] [core:warn] [pid 10136:tid 4147406528] AH00111: Config variable ${URLHardening_HTTP_Hostname} is not defined
    2021:10:19-07:39:08 WAF-2 httpd[10134]: [Tue Oct 19 07:39:08.988394 2021] [core:warn] [pid 10136:tid 4147406528] AH00111: Config variable ${URLHardening_HTTP_Hostname} is not defined
    2021:10:19-07:39:08 WAF-2 httpd[10134]: [Tue Oct 19 07:39:08.988582 2021] [core:warn] [pid 10136:tid 4147406528] AH00111: Config variable ${URLHardening_HTTP_Hostname} is not defined
    2021:10:19-07:39:08 WAF-1 httpd: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="9473" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="510" url="/status" server="localhost:4080" port="80" query="" referer="-" cookie="-" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="YW5Z-MDT1R1owoRZ1LkhhAAAAAA"
    2021:10:19-07:39:09 WAF-2 httpd[6924]: [mpm_worker:notice] [pid 6924:tid 4147480256] AH00297: SIGUSR1 received. Doing graceful restart
    2021:10:19-07:39:09 WAF-2 httpd[6924]: [remoteip:notice] [pid 6924:tid 4147480256] AH03494: RemoteIPProxyProtocol: disabled on 127.0.0.1:4080
    2021:10:19-07:39:09 WAF-2 httpd[6924]: [mpm_worker:notice] [pid 6924:tid 4147480256] AH00292: Apache/2.4.41 (Unix) OpenSSL/1.0.2j-fips configured -- resuming normal operations
    2021:10:19-07:39:09 WAF-2 httpd[6924]: [core:notice] [pid 6924:tid 4147480256] AH00094: Command line: '/usr/apache/bin/httpd'
    2021:10:19-07:39:09 WAF-2 httpd[6924]: [mpm_worker:warn] [pid 6924:tid 4147480256] AH00291: long lost child came home! (pid 1704)
    2021:10:19-07:39:09 WAF-1 httpd[7006]: [remoteip:notice] [pid 7006:tid 4147312320] AH03494: RemoteIPProxyProtocol: disabled on 127.0.0.1:4080
    2021:10:19-07:39:09 WAF-1 httpd[7006]: [mpm_worker:notice] [pid 7006:tid 4147312320] AH00292: Apache/2.4.41 (Unix) OpenSSL/1.0.2j-fips configured -- resuming normal operations
    2021:10:19-07:39:09 WAF-1 httpd[7006]: [core:notice] [pid 7006:tid 4147312320] AH00094: Command line: '/usr/apache/bin/httpd'
    2021:10:19-07:39:09 WAF-1 httpd[7006]: [mpm_worker:warn] [pid 7006:tid 4147312320] AH00291: long lost child came home! (pid 7187)
    2021:10:19-07:39:10 WAF-2 httpd: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="76348" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="970" url="/status" server="localhost:4080" port="80" query="" referer="-" cookie="-" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="YW5Z-tWCHD@7UajczRKh3gAAADI"
    2021:10:19-07:39:10 WAF-2 httpd[10400]: Restarted
    2021:10:19-07:39:10 WAF-1 httpd: id="0299" srcip="127.0.0.1" localip="127.0.0.1" size="9419" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" exceptions="-" time="584" url="/status" server="localhost:4080" port="80" query="" referer="-" cookie="-" set-cookie="-" websocket_scheme="-" websocket_protocol="-" websocket_key="-" websocket_version="-" uid="YW5Z-oNLwiQr9JaBdwsDYwAAADI"
    2021:10:19-07:39:10 WAF-1 httpd[7773]: Restarted

  • Da kommt nix von LetsEncrypt an.

    Sonst sollte so etwas im WAF-Log stehen: url="/.well-known/acme-challenge/...."

    LE prüft von zufällig gewählten Servern, die über die ganze Welt verteilt stehen, die erreichbarkeit obiger URL.

    Bei mir verhinderte das Country-Blocking regelmäßig diese Prüfungen.

    Also Country-Blocking mal temporär deaktivieren ... und wenn es das war, eine Ausnahme bauen.

    Vergleiche:

    community.sophos.com/.../unable-to-get-let-s-encrypt-cert-error-challenge-is-invalid-returned-invalid


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Habe Country-Blocking mal deaktiviert - leider ohne Erfolg.
    Im life-log steht nicht mehr oder weniger als heute Morgen.

    Noch eine Idee? 

  • Asche über mein Haupt - das Problem war hausgemacht. Eine der beiden URL´s wurde ohne mein Wissen auf eine andere IP gelegt und ich hatte nur den ersten A-Record geprüft, weil beide zusammen in einem Profil als virtueller Webserver konfiguriert sind. Das für den einen Record aber gar nichts mehr ankommr, ist mir nicht aufgefallen...
    Aber ok, wird mir nur einmal passieren.

    Eine weitere Frage bleibt aber: Wildcard Zertifikate werden ja (noch) nicht unterstützt. Wie sieht es aber mit der root Domain, also abc.de selbst aus? Während ich jetzt 4711.abc.de konfigurieren konnte, funktioniert das für abc.de selbst nicht. 

  • WAF geht nicht, oder LE?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Es läuft - danke für die Unterstützung.
    Habe wieder etwas mitnehmen können :-)