innovaphone Forum

You are here

Help with Search (new window)
Picture of Sascha 4743
Registered 5 years 43 days
Sascha 4743 Thursday, 23 May 2024, 10:23 AM
LetsEncrypt - keine Zertifikate für RP und PBX
Hallo zusammen,

leider tue ich mich mit der neuen Letsencrypt-Funktion etwas schwer.

Die App-Plattform bezieht hier zwar ihr Zertifikat, aber leider funktioniert der Bezug beim ReverseProxy (SBC+RP auf IP0011) und damit natürlich auch der nachgeordneten PBX nicht.

Ich hatte zuerst den Verdacht, dass lokal mit der Konfiguration der Ports des HTTP Servers / des RP intern/extern etwas nicht passt, denke aber nun doch, dass es eigentlich so richtig ist:

Der HTTP(S) Server auf der IP0001 läuft intern auf den Ports 8080/8443, der Reverse Proxy auf den Ports 80/443. Und die Ports 80 und 443 werden vom Router auch 1:1 an die 80 und 443 auf dem RP weitergegeben.

Wenn man sich nun das Trace auf der IP0011 ansieht (https://pastebin.com/itGn8nNM), sieht man,
dass die Beziehung zwischen App-Plattform und RP eigentlich passt (Zertifikat getrusted),
der Connector aber mittendrin einen "HTTP/1.1 404 not found" Fehler auswirft.

Das liest sich eigentlich so, als ob der RP nicht über Port 80 von LE erreichbar wäre,
aber das ist er ja schon, sonst hätte es beim Zertifikat der App-Plattform ja auch nicht funktioniert?!

Ich habe danach spasshalber im RP auch mal für beide subdomains das Verzeichnis ./well-known manuell für 80/443 freigegeben und auf die IP der App-Platform geleitet, aber das hat auch nichts gebracht. Wobei ich die Doku so verstehe, dass das eigentlich nicht nötig sei, da die Plattform / der Connector alles abfange, weil er ja selbst wisse was angefordert wird.

Aus dem Log des Connectors werde ich auch nicht so richtig schlau (https://pastebin.com/ABfpFk5h),
hier erkenne ich aber keinen groben Fehler.

Mich wundert nur dass dort immer nur die HW-ID der App-Platform auftaucht, aber nie die der IP0011 gelistet wird Theroetisch sollte hier ja auch stehen, dass ein Zertifikat der HW-ID der IP0011
für die SANs pbx.XXXX.XX und APP.XXXX.XX angefordert wird. Oder etwa nicht?

Vielleicht habe ich aber auch das Konzept im LE Schaubild falsch verstanden:

Ich hatte es so interpretiert, dass die App-Plattform selbst nur ein Zertifikat mit einer SAN (app) bekommt, der RP ein Zertifikat mit mindestens 2 SANS (app + pbx) und die PBX auch nur Ihres (pbx).
Der Connector selbst läuft aber auf der App-Plattform und daher fordert diese am Ende auch die Zertifikate für die anderen Stellen an und verteilt sie (daher well-known Freigabe auf Port 80 immer für die APP?)

Verwirrte Grüße

Sascha






Picture of MarioG
Registered 5 years 1 day
MarioG Thursday, 23 May 2024, 10:50 AM
Re: LetsEncrypt - keine Zertifikate für RP und PBX
Ich kann leider keinen hilfreichen Hinweis in deinem Fall geben.
Ich kann nur sagen, dass die App grundsätzlich in dieser Konstellation funktioniert.
Mein Kollege hatte das letzte Woche erst eingerichtet (IPVA als RP/SBC in einer private Cloud).
Wir hatten im Nachgang noch Probleme, die der Kollege nicht gleich bemerkte - da war einmal ein abschließender Slash (/) beim pbx Hostname und zum anderen hatte der Kunde vorher ein LE Wildcard Zertifikat, wo wir noch den Namen des Zertifikats in der PBX config beim RP ändern mussten.


Gruß Mario

Edit: Du hast auch beide Hostnamen (PBX+APP im RP unter Services/LetsEncrypt) eingetragen?
Picture of Sascha 4743
Registered 5 years 43 days
Sascha 4743 Thursday, 23 May 2024, 12:24 PM
Re: LetsEncrypt - keine Zertifikate für RP und PBX
Hallo Mario,

danke für die Rückmeldung.

Ja die beiden bzw. drei (turn gibt ja auch noch) Subdomains sind eingetragen.

Es muss schon irgendetwas mit der Challenge zu tun haben.

Ich habe den LE-Service an der App-Plattform schon seit ein paar Tagen ausgeschalten, da dort ja jedesmal unsinnigerweise ebenfalls ein Zertifikat angefordert wird.

Und sobald man mehr als 5 Zertifikate in einer Woche anfordert, gibt es sowieso eine Fehlermeldung / man wird wegen abuse für eine Cool-Down Zeit gesperrt.

Ich habe jetzt vorhin mal (um zu refreshen) den Service im RP ein und wieder ausgeschalten - und dann im Connector folgende Rückmeldung bekommen:

https://pastebin.com/epHyJcFa

Das finde ich seltsam. Zum einen fordere ich für die App-Plattform ja kein neues an - daher wundere ich mich warum die 1. Meldung kommt.
Und die zweite läßt ja irgendwie doch darauf schließen, dass es ein Problem mit der Challenge an sich gibt.

Ich habe danach dann den LE Service in der App-Plattform eingeschalten und dort dann wiederum prompt auch ein neues Zertifikat von heute bekommen.
Wäre ich wirlich noch im Cool-Down, hätte das ja nicht funktionieren dürfen.

Es nagt echt an mir smile

Ich schalte jetzt mal LE komplett für eine Woche aus (also den Connector und die Services in der APP-Plattform und im RP) und lege es mir auf Wiedervorlage. Vielleicht bringt es ja was.

Sascha



Picture of Sascha 4743
Registered 5 years 43 days
Sascha 4743 Monday, 3 June 2024, 01:47 PM
Re: LetsEncrypt - keine Zertifikate für RP und PBX
Problem gelöst.

Falls jemand künftig vor derselben Herausforderung stehen sollte. Es lag scheinbar an der Konfigurationsdatei des LetsEncrypt-Services auf dem RP und der PBX.

Alle Daten rausgelöscht (sicherheitshalber auch die Verschlüsselung verändert) abgespeichert, neugeladen und noch einmal alles neu eingegeben und neu gespeichert. Dann ging es.

Die Adresse des Connectors passte schon vorher und auch das Passwort allein neu einzugeben hatte zuvor nichts gebracht. Es musste scheinbar wirklich alles einmal "genullt" werden.
← You can define your color theme preference here