certbot - ACMEv1 - wie updaten? auf 10.3

bsd4ever

Well-Known Member
Hallo,

ich habe das Problem, dass ich letsencrypt certs nichtmehr erneuern kann. Da es sich um ein altes freebsd 10.3 handelt ,kann ich auch keine neue certbot software draufbekommen. Habt ihr vllt eine Idee, wi edas dennoch gehen kann?

py27-certbot-0.22.2,1 Let's Encrypt client

Code:
Attempting to renew cert (www.info.7aktuell.de) from /usr/local/etc/letsencrypt/renewal/www.XXX.conf produced an unexpected error: urn:acme:error:serverInternal :: The server experienced an internal error :: ACMEv1 Brownout in Progress. ACMEv1 will fully turn off on June 1, 2021. Check https://letsencrypt.status.io/ for more details.. Skipping.
All renewal attempts failed. The following certs could not be renewed: ...

So wie ich das verstehe, gibt es jetzt noch einen Zeitraum, in dem man mit dem v1 noch renewen kann... aber es geht nicht.
Wie schaff ichs?

Code:
Description
We will disable the ACMEv1 API in Production in line with our ACMEv1 deprecation plans. This brownout will last aproximately 5 days. More information available here community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430/16
Components
acme-v01.api.letsencrypt.org (Production)
Locations
High Assurance Datacenter 1, High Assurance Datacenter 2
Schedule
May 6, 2021 18:00 - May 11, 2021 18:00 UTC

Viele Grüße!
 
Warum updatest du nicht auf 11.4 oder 12/13? Python 2.7 ist auch EOL, 10.3 seit 5 Jahren..
 
Ich empfehle den Umstieg auf acme.sh, das hat keine Python-Abhängigkeiten.

Am 1. Juni wird die ACME-v1-API komplett deaktiviert:


Rob
 
getssl gäbe es auch noch. Ich weiß sicher, dass es bis mindestens FreeBSD 9.3 zurück funktioniert. In den Ports wäre es unter https://www.freshports.org/sysutils/getssl/ aber das hilft dir auf einem so altem System wahrscheinlich nicht. Allerdings ist es letztendlich nur ein Bash-Script (leider nicht POSIX-Shell), was sich einfach so irgendwo ins Dateisystem legen lässt.
 
cooler tip mit acme.sh ! läuft! jetz müssen nur noch die domains erkannt werden

".... is not an issued domain, skip."

bei acme --list ist auch keins gelistet. kann ich die mit certbot erstellten weiterverwenden, "importieren" - oder mit acme.sh alle neu austellen?
 
Zuletzt bearbeitet:
Neu machen geht auch nicht

Code:
[Fr  7 Mai 2021 16:04:11 CEST] POST
[Fr  7 Mai 2021 16:04:11 CEST] _post_url='https://acme-v02.api.letsencrypt.org/acme/finalize/122693617/9543002406'
[Fr  7 Mai 2021 16:04:11 CEST] _CURL='curl --silent --dump-header /root/.acme.sh/http.header  -L  -g '
[Fr  7 Mai 2021 16:04:12 CEST] _ret='0'
[Fr  7 Mai 2021 16:04:12 CEST] code='403'
[Fr  7 Mai 2021 16:04:12 CEST] Sign failed, finalize code is not 200.
[Fr  7 Mai 2021 16:04:12 CEST] {
  "type": "urn:ietf:params:acme:error:orderNotReady",
  "detail": "Order's status (\"invalid\") is not acceptable for finalization",
  "status": 403
}
[Fr  7 Mai 2021 16:04:12 CEST] _on_issue_err
[Fr  7 Mai 2021 16:04:12 CEST] Please add '--debug' or '--log' to check more details.
[Fr  7 Mai 2021 16:04:12 CEST] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
[Fr  7 Mai 2021 16:04:12 CEST] socat doesn't exist.
[Fr  7 Mai 2021 16:04:12 CEST] Diagnosis versions:
 
auch keins gelistet. kann ich die mit certbot erstellten weiterverwenden, "importieren"
Im Prinzip schon. Du hast ja einen Lets-encrypt-Account. Den musst Du halt nur weiter benutzen. Die schwierigkeit besteht darin, die entsprechenden Angaben aus /usr/local/etc/letsencrypt/ rauszufischen.

Neu machen geht auch nicht
code='403' ist wohl der HTTP-Statuscode 403 (also Forbidden).
acme:error:orderNotReady klingt so ein bisschen danach, als ob beim Erstellungsprozess ansich was schiefgegangen ist.

Neu machen müsste aber im Prinzip gehen. Ich weiß nicht, inwieweit das problematisch ist das die Domains noch an den alten Account gebunden sind. Der certbot den Du vorher verwendet hast, kennt aber ein unregister. Damit kann man einen Account sozusagen explizit abmelden. Das wäre jetzt mal so ein Versuch den man starten könnte. Den alten Account mit certbot abmelden bevor man mit acme.sh neu macht.
Ich bin mir jetzt aber nicht sicher, ob das das Problem löst. Ich hab aber ad-hoc gerade keine andere Idee.
 
Ich weiß nicht, inwieweit das problematisch ist das die Domains noch an den alten Account gebunden sind.
Gar nicht, der Account ist völlig egal. Man kann auch stumpf jedes Mal neu registrieren. Solange die Challenge erfolgreich ist, wir das Cert ausgestellt. Der Status ist "Invalid": The certificate will not be issued. Consider thisorder process abandoned. Das kann diverse Gründe haben. Die Klassiker sind der Versuch ein Zertifikat ohne gültige Challenge ausstellen zu wollen, eine fehlgeschlagene Challenge oder die zu zertifizierende Domain hängt im Rate Limit. Es gibt aber noch viel mehr Möglichkeiten, dafür müsste man den kompletten Verlauf vom ersten Request an sehen.
 
hat jetzt geklappt - mit --apache ! für --standalone braucht man socat, das habe/bekomme ich ja auch nicht drauf.
beim standard aufruf wird wohl der DNS nach den TXT einträgen gecheckt, da habe ich ja aber nichts hinzugefügt.
 
Zurück
Oben