Let's encrypt benutzen auf eigenem Webserver hinter einer Fritzbox

[Redskyer]

Hallo,

also ich betreibe eine virtuelle Maschine mit CentOS 7 und Apache 2.4. Ich habe dort Wordpress eingerichtet. Außerdem habe ich bei 1und1 eine Domain gemietet, welche auf den DynDNS-Service der Fritzbox weiterleitet (xxx.myfritz.net). Von dort aus gehts per Portweiterleitung auf die virtuelle Maschine.
Das alles funktioniert soweit, aber wenn ich versuche mir ein SSL-Zertifikat mit Lets' Encrypt zu erstellen (nach dieser Anleitung), erhalte ich folgende Fehlermeldungen nach der Eingabe von "./letsencrypt-auto --domains www.meinedomain.de":

"Failed authorization procedure. www.meinedomain.de (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Correct zName not found for TLS SNI challenge. Found 'xxx.myfritz.net, fritz.box, www.fritz.box, myfritz.box, www.myfritz.box, fritz.nas, www.fritz.nas'

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: www.meinedomain.de
Type: unauthorized
Detail: Correct zName not found for TLS SNI challenge. Found
'xxx.myfritz.net, fritz.box, www.fritz.box,
myfritz.box, www.myfritz.box, fritz.nas, www.fritz.nas'

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address."

Ich weiß im Moment leider nicht weiter und würde mich über den ein oder anderen Tip freuen.

 

[wirelessy]

Auf der 1und1-Domain hast du einen CNAME für den Redirect zum DynDNS eingerichtet?

//e: Mein Tipp: Nicht das Autoconfigure nutzen.

 

[Redskyer]

Auf der 1und1-Domain hast du einen CNAME für den Redirect zum DynDNS eingerichtet?

//e: Mein Tipp: Nicht das Autoconfigure nutzen.

Ja, genau.

Wenn nicht Autoconfigure, wie dann? Hast du da vielleicht einen Link oder sowas, wo beschrieben wird, wie man es noch machen kann?

 

[mw197]

Hier ist eine Anleitung, zwar für einen anderen Anbieter, aber der erste Teil davon ist schon passend für alle: https://notizblog.tripax.de/2015/12/zertifikat-von-letsencrypt-erneuern/

Einfach mit --Manual eins einreichen.

 

[ranzassel]

Für dich entscheidend: verwende "webroot" als Authenticator. Standardmäßig versucht das LE-Script dich via Domainnamen, DNS und Hostnamen zu authentifizieren. Das passt bei dir aber offensichtlich nicht so recht zusammen. Nach außen bist du unter xyz.de erreichbar, von innen gesehen findet das Script aber die fritzbox-Domains.

Wenn du webroot verwendest legt LE einen Authentifizierungscode ins Webroot deines Webservers und versucht diesen von außen abzurufen. Das dürfte in deiner Konstellation der einfachere Weg sein.

 

[Redskyer]

Danke für eure Hilfe, ich werde morgen versuchen das umzusetzen und werde auch Feedback geben. Heute schaffe ich das leider nicht mehr.

 

[Redskyer]

Ich weiß jetzt was das Problem war. Letsencrypt versucht immer Port 80 anzusprechen, aber ich hatte meine Domains über einen anderen Port angesprochen und auf den Port 443 weitergeleitet. Nachdem ich auf der Fritzbox eingestellt habe, dass der Port 80 direkt durchgereicht werden soll, hat alles funktioniert.

Trotzdem nochmal vielen Dank für eure Hilfe!