NEWS
Probleme mit ACME Adapter
-
@g-pitzer ist denn Port 80 von außen auf das ioBroker-System weiter geleitet? Für die Challenge lasst der ja einen Webserver laufen der von Lets Encrypt erreicht werden muss.
Undxxx.yyydns.tv
muss natürlich auf deine Box zeigen.Ein
403
ist ja ein "Zugriff Verboten". Ich erkenne gerade nicht wie rum (ob es dein Zugriff auf Lets Encrypt war oder deren Zugriff auf dein System) -
@bananajoe
der Port 80 wird weitergeleitet, ist auch schon in meiner Firewall ersichtlich
deswegen vermute ich ja ein Rechteproblem auf meinem ioBroker.
Der ACME Adapter hört ja nur kurz während der Aktualisierung auf den Port 80, danach wird ja wieder der Dienst beendet. Aber in dieser Zeit bekomme ich mit Powershell die Meldung das der Port 80 erreichbar ist.Ergänzung:
Ich hatte vorher Apache und Certbot für lets encrypt installiert und diese wieder deinstalliert. Habe ich vieleicht damit etwas zerschossen? -
@g-pitzer sagte in Probleme mit ACME Adapter:
Ergänzung:
Ich hatte vorher Apache und Certbot für lets encrypt installiert und diese wieder deinstalliert. Habe ich vieleicht damit etwas zerschossen?Apache sollte egal sein, der läuft ja offentsichtlich nicht mehr auf Port 80
certbot
, da musste ich erst einmal auf einem älteren System nachsehen (nutze inzwischenacme.sh
),
Der legt seine Verzeichnisse unterhalb von/etc/letsencrypt
an, gibt es den Ordner noch?
Hattecerbot
funktioniert? Der kennt ja auch einen "Standalone Modus", den nutzte ich auch immer (wegen Reverse Proxy)Wo der Adapter seine Zertifikate ablegt weis ich aber nicht
-
@g-pitzer sagte in Probleme mit ACME Adapter:
Please open an issue at https://git.rootprojects.org/root/acme.js
Wo ich mir das ganze gerade so ansehe ... das Projekt dort scheint ja nun auch schon seit 3 Jahren nicht mehr gepflegt zu sein ... auch wenn es wohl zu github umgezogen ist: https://github.com/therootcompany/acme.js
Und es gibt schon ein Issue zu deinem Problem:
https://github.com/therootcompany/acme.js/issues/10Das bist aber nicht du, oder?
-
@bananajoe
Certbot funktioniert anscheinend seit dem Update auf bookworm nicht mehr, deswegen versuche ich ja den ACME Adapter
Die Zertifikate sind unter /etc/letsencrypt/live/ gelegen, diesen Ordner gibt es nicht mehr. -
@bananajoe
Nein das bin nicht ich, der Leon scheint aber das gleiche Problem zu haben, aber leider auch noch keine Antwort bekommen zu haben -
Und schon wieder ich ...
Du willst den Adapter wegen dem Simple-API Adapter nutzen.
Ich unterstelle mal, du willst die Simple-API per https von außen erreichbar machen?
Falls ja: das habe ich auch schon gemacht, per Apache2 - Reverse Proxy, Lets Encrypt Zertifikat und Basic-Authentification.
Allerdings auf einem separaten System/VM weil ich das für alles mögliche brauche.
Kann aber auch auf den ioBroker mitlaufen. -
@bananajoe du vermutest richtig
Eigenständig könnt ich das auch laufen lassen, bei mir schnurrt auch ein Proxmox dahin
Soweit kenn ich mich aber leider nicht aus. Hättest du eine Anleitung oder Link für das Einrichten dann könnte ich mich damit spielen? -
@g-pitzer ich habe befürchtet das die Frage kommt und schon überlegt wie tauglich mein Konstrukt ist.
Ich nutze ISPConfig unter Ubuntu, abgespeckt auf den Webserverteil. Weil ich faul bin, ISPConfig legt über über das Webinterface die Subdomain an, holt sich das Lets Encrypt-Zertifikat, macht einen Eintrag für die http zu https Umleitung. Und lässt die Subdomain unter einen eigenen, eingeschränkten Benutzer laufen.Ich packe dann nur noch die Proxy-Anweisungen in die Konfig und bin fertig.
Nachteil ist das ISPConfig bei Proxy-Seiten das erneuern selbst nicht auf die Reihe bekommt (was sich mir einem separaten Cronjob füracme.sh
lösen lässt (hält den Apache2 für eine Erneuerung an und nutzt den eigenen Webserver).Also die Proxy-Anweisungen kann ich dir liefern (und Basic Auth), auch wie man Geo-IP-Blocking einbaut.,
Eine Schritt-für-Schritt-Anleitung für einen Webserver mit Lets-Encrypt hätte ich aber nicht. -
@bananajoe
ok, ab jetzt steige ich aus
schon alleine deine Beschreibung zeigt mir dass ich dem Projekt nicht gewachsen bin. Ich werde dann doch lieber abwarten ob der Fall im Github gelöst wird. So wichtig ist Das dann doch nicht.
Aber vielen Dank für deine Versuche mir zu helfen -
@g-pitzer Ich schließe mich hier mal an:
Bei mir erzeugt der ACME-Adapter zwar Zertifikate für „Admin" und die kann ich auch auswählen.
ABER
Unter der acme-Instanz „Status“ erscheint eben jene Fehlermeldung. Und die Nutzung von letsencrypt – so wie „früher TM“ will iobroker nicht mehr haben.
Ich werde auf ACME verwiesen, wenn ich den letsencrypt-Tab öffne.Nun habe ich zwar, trotz der Fehlermeldung, aktuelle Zertifikate, aber wie bitte kann ich die für ein Grafana zweitverwenden, welches eben auch hier läuft? Dazu bräuchte ich das in Form von Key und Zertifikat … Wo bitte speichert ACME den Krempel? Wie können andere das da nutzen?
Und für mich – ich schlafe nicht mit Linux – undurchsichtig, warum der alte Weg nicht mehr geht und der neue mehr oder weniger ungepflegt wirkt.
Und selbst andere Adapter ermöglichen nicht, das ACME-Zertifikat auszuwählen. Das geht bisher bei mir nur im ADMIN. Andere Adapter zeigen nur an, was ich als Zertifikat sonst hochgeladen habe oder was iobroker eben selbst angelegt hat. -
Inhalt hier unpassen. Deshalb gelöscht