Koozali.org: home of the SME Server

erreur renouvellement certificat le's encrypt

Offline chrica76

  • 19
  • +0/-0
erreur renouvellement certificat le's encrypt
« on: February 22, 2022, 07:43:07 PM »
Bonjour  a Vous
j'ai un problème de renouvellement de certificat avec dehydrated
j'ai un message d'erreur (j'ai remplace mon domaine et ip par ***)
Code: [Select]
[root@www1 ~]# dehydrated -c
# INFO: Using main config file /etc/dehydrated/config
Processing mail.***.com
 + Checking domain name(s) of existing cert... unchanged.
 + Checking expire date of existing cert...
 + Valid till Feb 24 12:26:19 2022 GMT (Less than 30 days). Renewing!
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting new certificate order from CA...
 + Received 1 authorizations URLs from the CA
 + Handling authorization for mail.***.com
 + 1 pending challenge(s)
 + Deploying challenge tokens...
 + Responding to challenge for mail.***.com authorization...
 + Cleaning challenge tokens...
 + Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]      "http-01                                                                  "
["status"]      "invalid"
["error","type"]        "urn:ietf:params:acme:error:unauthorized"
["error","detail"]      "Invalid response from https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA [**.**.**.195]:\"\u003c!DOCTYPE HTML PUBLIC \\\"-//IETF//DTD HTML 2.0//EN\\\"\u003e\\n\u003chtml\u003e\u003chead\u003e\\n\u003ctitle\u003e403 Forbidden\u003c/title\u003e\\n\u003c/head\u003e\u003cbody\u003e\\n\u003ch1\u003eForbidden\u003c/h1\u003e\\n\u003cp\""
["error","status"]      403
["error"]       {"type":"urn:ietf:params:acme:error:unauthorized","detail":"Invalid response from https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA [**.**.**.195]: \"\u003c!DOCTYPE HTML PUBLIC\\\"-//IETF//DTD HTML 2.0//EN\\\"\u003e\\n\u003chtml\u003e\u003chead\u003e\\n\u003ctitle\u003e403 Forbidden\u003c/title\u003e\\n\u003c/head\u003e\u003cbody\u003e\\n\u003ch1\u003eForbidden\u003c/h1\u003e\\n\u003cp\"","status":403}
["url"] "https://acme-staging-v02.api.letsencrypt.org/acme/chall-v3/1741213068/FD0tkQ"
["token"]       "FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA"
["validationRecord",0,"url"]    "http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA"
["validationRecord",0,"hostname"]       "mail.***.com"
["validationRecord",0,"port"]   "80"
["validationRecord",0,"addressesResolved",0]    "**.**.**.195"
["validationRecord",0,"addressesResolved"]      ["**.**.**.195"]
["validationRecord",0,"addressUsed"]    "**.**.**.195"
["validationRecord",0]  {"url":"http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"80","addressesResolved":["**.**.**.195"],"addressUsed":"**.**.**.195"}
["validationRecord",1,"url"]    "https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA"
["validationRecord",1,"hostname"]       "mail.***.com"
["validationRecord",1,"port"]   "443"
["validationRecord",1,"addressesResolved",0]    "**.**.**.195"
["validationRecord",1,"addressesResolved"]      ["**.**.**.195"]
["validationRecord",1,"addressUsed"]    "**.**.**.195"
["validationRecord",1]  {"url":"https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"443","addressesResolved":["**.**.**.195"],"addressUsed":"**.**.**9.195"}
["validationRecord"]    [{"url":"http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"80","addressesResolved":["**.**.**.195"],"addressUsed":"**.**.**.195"},{"url":"https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"443","addre                                                                  ssesResolved":["**.**.**.195"],"addressUsed":"**.**.**.195"}]
["validated"]   "2022-02-22T17:36:09Z")
j'ai donc chercher et j'ai exactement le problème decrit dans le topic :  https://forums.koozali.org/index.php/topic,53147.0.html
et la solution dans le wiki de let's encrypt...

si je regarde mon fichier http error_log j'ai ceci :
Code: [Select]
[core:error] [pid 17454] (13)Permission denied: [client 18.196.102.134:50528] AH00035: access to /.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA denied (filesystem path '/home/e-smith/files/ibays/Primary/html/.well-known') because search permissions are missing on a component of the path, referer: http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA
[Tue Feb 22 18:36:10.980985 2022] [core:error] [pid 17457] (13)Permission denied: [client 18.236.228.243:34940] AH00035: access to /.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA denied (filesystem path '/home/e-smith/files/ibays/Primary/html/.well-known') because search permissions are missing on a component of the path, referer: http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA
[Tue Feb 22 18:36:11.243918 2022] [core:error] [pid 17458] (13)Permission denied: [client 66.133.109.36:60598] AH00035: access to /.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA denied (filesystem path '/home/e-smith/files/ibays/Primary/html/.well-known') because search permissions are missing on a component of the path, referer: http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA
[Tue Feb 22 18:36:44.070914 2022]

ca continue a suivre le problème decrit dans le wiki de let's encrypt.

ensuite le suis donc les manip de verification de lecture ecriture comme decrit:
Code: [Select]
[root@www1 Primary]# cd /home/e-smith/files/ibays
[root@www1 ibays]# ls -l
total 0
drwxr-xr-x. 5 root root 46 20 oct.   2014 Primary
a priori mes droits sont corrects?
dans le doute je fais tout de même la manip de remettre les droits corrects
Code: [Select]
chown root:root Primary
[root@www1 ibays]# chmod 0755 Primary
puis ensuite je verifie les droit du dossier html:
Code: [Select]
[root@www1 ibays]# cd /home/e-smith/files/ibays/Primary
[root@www1 Primary]# ls -l
total 0
drwxr-s---. 2 admin shared  6 20 oct.   2014 cgi-bin
drwxr-s---. 2 admin shared  6 20 oct.   2014 files
drwxr-s---. 3 admin shared 42  2 janv.  2018 html

ils ont l'air d'etre correct egalement..
je les remet tout de meme :
Code: [Select]
[root@www1 Primary]# chown admin:shared html
[root@www1 Primary]# chmod 2750 html

je relance le script dehydrated et j'obtient le meme message d'erreur que au debut...

que puis je faire comme autre test/manipulation pour remettre cela dans l'ordre , je suis plutot novice dans le monde linux

c'est d'autant plus étrange que je n'ai pas le souvenir d'avoir modifier/installer quelque chose en particulier récemment

Merci de votre aide


 

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #1 on: February 22, 2022, 09:03:26 PM »
Please read this on how to report issues.

https://forums.koozali.org/index.php/topic,54724.0.html

Don't go wildly changing things if you do not know what you are doing or you may leave your server exposed. All these setting and permissions should be handled automatically by the server and do not normally need touching.

Tell us a bit more about your server. What version, is it an upgrade?

Go to the server-manager, Report a bug, create a report and post the output here.

Was this working previously?

What did you change?
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #2 on: February 22, 2022, 09:45:59 PM »
Hi
oh sorry my server is SME V10
I changed nothing before the problem is coming
It's already works succefully

I do the last update after I detected the problem to be sure my problem is not corrected by a update

for the permission I only changed what the wiki indicate  (wiki let's encrypt)

this is my bug report:
Code: [Select]
Configuration report created mar 22 fév 2022 21:39:21 CET

==================
Base configuration
==================

SME server version:   10.0
SME server mode:      servergateway
SME server previous mode: servergateway
Running Kernel:        3.10.0-1160.53.1.el7.x86_64



===========================
New RPMs not in base system
===========================
       
Modules complémentaires chargés : fastestmirror, post-transaction-actions,
                                : priorities, smeserver
Loading mirror speeds from cached hostfile
 * base: centos.mirrors.proxad.net
 * smeaddons: www.mirrorservice.org
 * smeos: www.mirrorservice.org
 * smeupdates: www.mirrorservice.org
 * updates: centos.mirrors.proxad.net
Paquets supplémentaires
libicu69.x86_64                       69.1-2.el7.remi               installed   
php81-php.x86_64                      8.1.3-1.el7.remi              installed   
php81-php-bcmath.x86_64               8.1.3-1.el7.remi              installed   
php81-php-cli.x86_64                  8.1.3-1.el7.remi              installed   
php81-php-common.x86_64               8.1.3-1.el7.remi              installed   
php81-php-enchant.x86_64              8.1.3-1.el7.remi              installed   
php81-php-fpm.x86_64                  8.1.3-1.el7.remi              installed   
php81-php-gd.x86_64                   8.1.3-1.el7.remi              installed   
php81-php-imap.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-intl.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-ldap.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-mbstring.x86_64             8.1.3-1.el7.remi              installed   
php81-php-mysqlnd.x86_64              8.1.3-1.el7.remi              installed   
php81-php-opcache.x86_64              8.1.3-1.el7.remi              installed   
php81-php-pdo.x86_64                  8.1.3-1.el7.remi              installed   
php81-php-pear.noarch                 1:1.10.13-1.el7.remi          installed   
php81-php-pecl-xmlrpc.x86_64          1.0.0~rc3-1.el7.remi          @remi-safe 
php81-php-pecl-zip.x86_64             1.20.0-1.el7.remi             installed   
php81-php-process.x86_64              8.1.3-1.el7.remi              installed   
php81-php-snmp.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-soap.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-sodium.x86_64               8.1.3-1.el7.remi              installed   
php81-php-tidy.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-xml.x86_64                  8.1.3-1.el7.remi              installed   
php81-runtime.x86_64                  8.1-1.el7.remi                installed   
smeserver-vacation.noarch             1.1-33.el7.sme                @smecontribs
smeserver-wbl.noarch                  0.5.0-5.el7.sme               @smecontribs
 



===========================
Custom and modified templates
===========================
/etc/e-smith/templates-custom/var/service/qpsmtpd/config/relayclients/81relayFromTrustedRemote: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/var/qmail/control/smtproutes/90AOLMail: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/dar/DailyBackup.dcf/41go-into: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/crontab/renouvelerSSL: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts40ACME: MANUALLY_ADDED, ADDITION




===========================
Modified events
===========================
/etc/e-smith/events/email-update/templates2expand/var/qmail/control/badmailfrom: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme
/etc/e-smith/events/email-update/templates2expand/var/service/qpsmtpd/config/badhelo: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme




=======================
Additional repositories
=======================

base: enabled
centosplus: disabled
extras: disabled
fasttrack: disabled
remi-safe: enabled
smeaddons: enabled
smecontribs: disabled
smedev: disabled
smeextras: enabled
smeos: enabled
smetest: disabled
smeupdates: enabled
smeupdates-testing: disabled
updates: enabled
   

DONE

Thanks



Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #3 on: February 22, 2022, 10:16:05 PM »
Remove your crontab & httpd hacks, and use the contrib......

It is there to make your life easier, especially if you are not so experienced.
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #4 on: February 23, 2022, 02:44:04 PM »
Hi

It is strange I not create crontab & httpd hacks  I remove it  .. this is the new "bug report"
Code: [Select]
Configuration report created mer 23 fév 2022 14:27:26 CET

==================
Base configuration
==================

SME server version:   10.0
SME server mode:      servergateway
SME server previous mode: servergateway
Running Kernel:        3.10.0-1160.53.1.el7.x86_64



===========================
New RPMs not in base system
===========================
       
Modules complémentaires chargés : fastestmirror, post-transaction-actions,
                                : priorities, smeserver
Loading mirror speeds from cached hostfile
 * base: centos.mirror.fr.planethoster.net
 * smeaddons: www.mirrorservice.org
 * smeos: www.mirrorservice.org
 * smeupdates: www.mirrorservice.org
 * updates: centos-mirror.usessionbuddy.com
Paquets supplémentaires
libicu69.x86_64                       69.1-2.el7.remi               installed   
php81-php.x86_64                      8.1.3-1.el7.remi              installed   
php81-php-bcmath.x86_64               8.1.3-1.el7.remi              installed   
php81-php-cli.x86_64                  8.1.3-1.el7.remi              installed   
php81-php-common.x86_64               8.1.3-1.el7.remi              installed   
php81-php-enchant.x86_64              8.1.3-1.el7.remi              installed   
php81-php-fpm.x86_64                  8.1.3-1.el7.remi              installed   
php81-php-gd.x86_64                   8.1.3-1.el7.remi              installed   
php81-php-imap.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-intl.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-ldap.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-mbstring.x86_64             8.1.3-1.el7.remi              installed   
php81-php-mysqlnd.x86_64              8.1.3-1.el7.remi              installed   
php81-php-opcache.x86_64              8.1.3-1.el7.remi              installed   
php81-php-pdo.x86_64                  8.1.3-1.el7.remi              installed   
php81-php-pear.noarch                 1:1.10.13-1.el7.remi          installed   
php81-php-pecl-xmlrpc.x86_64          1.0.0~rc3-1.el7.remi          @remi-safe 
php81-php-pecl-zip.x86_64             1.20.0-1.el7.remi             installed   
php81-php-process.x86_64              8.1.3-1.el7.remi              installed   
php81-php-snmp.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-soap.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-sodium.x86_64               8.1.3-1.el7.remi              installed   
php81-php-tidy.x86_64                 8.1.3-1.el7.remi              installed   
php81-php-xml.x86_64                  8.1.3-1.el7.remi              installed   
php81-runtime.x86_64                  8.1-1.el7.remi                installed   
smeserver-vacation.noarch             1.1-33.el7.sme                @smecontribs
smeserver-wbl.noarch                  0.5.0-5.el7.sme               @smecontribs
 



===========================
Custom and modified templates
===========================
/etc/e-smith/templates-custom/var/service/qpsmtpd/config/relayclients/81relayFromTrustedRemote: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/var/qmail/control/smtproutes/90AOLMail: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/dar/DailyBackup.dcf/41go-into: MANUALLY_ADDED, ADDITION




===========================
Modified events
===========================
/etc/e-smith/events/email-update/templates2expand/var/qmail/control/badmailfrom: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme
/etc/e-smith/events/email-update/templates2expand/var/service/qpsmtpd/config/badhelo: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme




=======================
Additional repositories
=======================

base: enabled
centosplus: disabled
extras: disabled
fasttrack: disabled
remi-safe: enabled
smeaddons: enabled
smecontribs: disabled
smedev: disabled
smeextras: enabled
smeos: enabled
smetest: disabled
smeupdates: enabled
smeupdates-testing: disabled
updates: enabled
   

DONE!

I Reboot
I try to reinstall contrib but the system says me:
Code: [Select]
]# yum --enablerepo=smecontribs install dehydrated
Modules complémentaires chargés : fastestmirror, post-transaction-actions, priorities, smeserver
Loading mirror speeds from cached hostfile
 * base: mirrors.ircam.fr
 * smeaddons: www.mirrorservice.org
 * smecontribs: www.mirrorservice.org
 * smeextras: www.mirrorservice.org
 * smeos: www.mirrorservice.org
 * smeupdates: www.mirrorservice.org
 * updates: mirrors.ircam.fr
Le paquet dehydrated-0.7.0-2.el7.noarch est déjà installé dans sa dernière version
Rien à faire

I re-do the configuration and I have the same problem
Thanks


Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #5 on: February 23, 2022, 04:55:52 PM »
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #6 on: February 23, 2022, 05:15:16 PM »
I already do it of course.. I have the problem in the troubleshooting session  (Challenge fails with unauthorized 403 error) but the solution doesn't work for me.. :?

they already works few month ago..
I don't know what can I do more
Thanks

Offline krisden

  • *
  • 43
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #7 on: February 23, 2022, 08:17:15 PM »
(Challenge fails with unauthorized 403 error)

Il y a un problème de droits, c'est indiqué dans tes journaux   :-)
Tu obtiens quoi avec cette commande :
Code: [Select]
ls -als /home/e-smith/files/ibays/Primary/html/
Chez moi, je n'utilise pas l'ibay "Primary" pour le moment et la demande de certificat est établie pour l'ensemble du domaine :
Code: [Select]
total 4
0 drwxr-s---. 3 admin shared  42 20 janv. 11:18 .
0 drwxr-xr-x. 5 root  root    46 17 janv. 11:02 ..
4 -rw-r-----. 1 admin shared 202 21 nov.   2005 index.htm
0 drwxrwsr-x  3 www   shared  28 20 janv. 11:18 .well-known

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #8 on: February 23, 2022, 09:23:02 PM »
Bonjour oui j'ai compris que j'ai un problème de droit mais je ne vois pas comment changer cela j'ai suivi les manips mais cela n'a rien changé je ne comprend pas pourquoi et je n'ai pas fait de changement sur ce serveur (pas d'installation particuliere , pas de changement de config) c'est ca qui est bizarre.
J'obtiens ca:
Code: [Select]
ls -als /home/e-smith/files/ibays/Primary/html/
total 4
0 drwxr-s---. 3 admin  shared  42  2 janv.  2018 .
0 drwxr-xr-x. 5 root   root    46 20 oct.   2014 ..
4 -rw-r-----  1 admin  shared 202 21 nov.   2005 index.htm
0 drwxrwsr-x  3 apache shared  28  2 janv.  2018 .well-known

du coup pour ne pas utilisé l'ibay primary je me demandais comment changer en créant une nouvelle ibay , ce serveur n'heberge pas de site , juste le webmail et les mail donc je peut changer d'ibay sans problème
« Last Edit: February 23, 2022, 09:25:09 PM by chrica76 »

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #9 on: February 23, 2022, 10:02:23 PM »
Please don't start taking wild guesses at solutions.

Do not try and recreate or use another ibay.

You will just make more issues which makes it harder to debug this.

When did you upgrade to v10?

Was letsencrypt working after restore? How did you test it?

Can you view the index file here?

http://mail.***.com/index.htm

http://host.***.com/index.htm

I sometimes make a text file and chmod it 0666 and then see if you can access it like this:

http://mail.***.com/.well-known/acme-challenge/testfile.txt

Please post the output of

Code: [Select]
grep 102 /etc/passwd
There is a command that should set the user and directory permissions on Primary correctly but I always forget which. Someone will probably post it later.
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #10 on: February 23, 2022, 10:56:17 PM »
I do the update last year i install V10 and restore backup from V8 whitout a lot problem
the script desyhadred already work some time  I use it for few month the iphone,android,outlook ,thunderbird can download mail whithout certificate error  at this time the certificat is correct but it is stop in one week I m already have a problem whith let's encrypt encryption format (see my older post) but it is not the same problem


I can't acces to index.htm    (403 forbidden) idem for mail.***.com/index.htm and host.***.com/index.htm

problem authorization for apache?

the webmail (mail.***.com/webmail)  work good it use apache too?

I creat the test.txt I do
Code: [Select]
chmod -R 0666 test.txt
That is correct?
and try to acces https://mail.***.com/.well-known/acme-challenge/test.txt

but same error 403 forbidden


I do the command
Code: [Select]
grep 102 /etc/passwdthe result is
Code: [Select]
[root@www1 ~]# grep 102 /etc/passwd
apache:x:102:102:Apache:/var/www:/sbin/nologin
www:x:102:102:SME Server web server:/home/e-smith:/bin/false
thanks




Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #11 on: February 24, 2022, 12:36:17 AM »
la contrib n’est pas dehydrated mais smeserver-letsencrypt


yum install smeserver-letsencrypt —enablerepo=smecontribs

puis il faut suivre le reste de la page indiqué par John pour finit la configuration. 

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #12 on: February 24, 2022, 08:28:41 AM »
Bonjour
j'obtient le meme resultat en faisant cette commande:
Code: [Select]
yum install smeserver-letsencrypt —enablerepo=smecontribs
Modules complémentaires chargés : fastestmirror, post-transaction-actions, priorities, smeserver
Loading mirror speeds from cached hostfile
 * base: centos.crazyfrogs.org
 * smeaddons: www.mirrorservice.org
 * smeextras: www.mirrorservice.org
 * smeos: www.mirrorservice.org
 * smeupdates: www.mirrorservice.org
 * updates: centos.crazyfrogs.org
Le paquet smeserver-letsencrypt-0.5-18.noarch est déjà installé dans sa dernière version
j'ai suivi les opérations a faire j'arrive bien a faire une demande de certificat mais j'arrive toujours sur l'erreur de droit d'acces décrite dans les troubleshooting.. :sad:  je fais la manip decrite mais cela ne fonctionne pas , et a priori cela est plus global comme problème puisque je n'arrive meme pas a acceder a index.htm a la racine du server en local ou en distant c'est le même résultat
Merci

Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #13 on: February 24, 2022, 01:42:47 PM »
Quote

je n'arrive meme pas a acceder a index.htm a la racine du server en local ou en distant c'est le même résultat


ma voiture ne marche pas, dites moi ce qui ne va pas.

voyez vous le parallèle ?
Aucune information precise, nous ne somme pas assis à votre place pour voir l’erreur, entendre le son de la voiture, voir ce que vous faites avec votre clef de démarreur etc. Et nous n’avons pas de boule de cristal.

Aidez nous à vous aide.

Décrivez ce que vous faites, précisément : adresse tapée, navigateur, emplacement reseau. Expliquez ce wue vous vous attendez à voir. Expliquez ce que vous voyez. Message exact d’erreur affiché. pas Ca marche pas. 

Niveau suivant, affichez le log dans putty et recopier exactement l’erreur au moment que vous tentez d’y accéder.
tail -f /var/log/httpd/error_log


Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #14 on: February 24, 2022, 02:56:56 PM »
Quote
I followed the operations to be done I manage to make a certificate request

Write down EXACTLY what steps you took, in detail.

You must be clear, accurate, and describe precisely the steps you took so that we can try and replicate them.

Quote
I can't access to index.htm    (403 forbidden) idem for mail.***.com/index.htm and host.***.com/index.htm

If you cannot access Primary/html/index.htm via a browser then Letsencrypt is NEVER going to be able to view anything in /.well-known/acme-challenge

So before attempting to make Letsencrypt work you should concentrate on fixing that issue first.

Did you reset modSSL ?

https://wiki.koozali.org/Letsencrypt#Certificate_Errors

I suggest you try that first and make sure you can access Primary, and webmail, using the self signed certificate.
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #15 on: February 24, 2022, 03:34:20 PM »
Bonjour Jean-Philippe
je pensais avoir été clair dans mon premier message désolé si je ne l'ai pas été  :sad:  je comprend je suis moi même confronter à ce genre de problème dans un autre domaine...
je récapitule: j'ai un problème de renouvellement de certificat let's encrypt  sur un SME V10 ce renouvellement a déjà fonctionné auparavant sans problème, d’ailleurs le certificat actuel est encore valable quelque jours
lors de la demande de certificat j'ai un retour d'erreur 403 et une erreur sur des permission d'acces  comme cité dans le premier message j'ai mis les manips qui ne fonctionne pas avec les messages d'erreur et le log que vous demander dans le premier message.
En investiguant j'ai trouve dans le wiki une solution pour dépanner ce problème j'ai appliquer cette solution comme je le décrit dans ce premier message (j'ai copier coller exactement ce que je tape et le retour du serveur que j'ai) mais cette solution ne fonctionne pas dans mon cas je ne comprenais pas pourquoi jusqu’à l'intervention de ReetP qui m'a guider pour finalement comprendre que c'est l'accès au primary qui ne fonctionne pas , mais je n'arrive pas a trouver comment le rétablir sans tous casser je ne comprend même pas comment il a pu sauter vu que je n'ai rien installer depuis plusieurs mois sur ce serveur.
Merci

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #16 on: February 24, 2022, 03:55:26 PM »
It did not happen by itself :-)

I am sure you have done updates, and clearly SOMETHING has changed.

You are going to have to go back and start again. If you do not, your certificate is going to expire any way and then you will be forced to do it.

I have already told you - clear out ALL the old manual stuff, reset modSSL, and reset the Primary SSL status

db accounts setprop Primary SSL disabled (and then same for any other ibays)

post-upgrade/reboot

Check you can access Primary as previously described.

If you can the install the letsencrypt contrib.

If not we will need to look again.
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #17 on: February 24, 2022, 04:02:36 PM »
Of course It did not happen by itself  but I think it is a important information for you , I do update via server manager after I see this problem

Ok I delete my certificat  this evening ! (paris time)  :???:

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #18 on: February 24, 2022, 04:25:14 PM »
Of course It did not happen by itself  but I think it is a important information for you , I do update via server manager after I see this problem

The problem is something HAS changed, we have all done updates the same as you and no one else has experienced the issue so we are trying to figure out what happened.

You have a manual install with custom templates and any one of a dozen things could be wrong that we know nothing about. With a contrib we know exactly what is in it and how it should work.

Quote
Ok I delete my certificat  this evening ! (paris time)  :???:

You can backup the whole dehydrated directory elsewhere, and then keys, and restore later if required.

Make sure you remove EVERYTHING you manually installed.

It might be easier on the weekend - quieter and more time to rectify issues!
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #19 on: February 24, 2022, 06:51:38 PM »
tu récapitules ce qu tu as deja dis mais ne répond à la question.

quelle erreur quand tu navigue vers la page index.htm? que s’affiche t il?

quel code d’erreur dans ton navigateur ou quel message mais aussi dans les logs du serveur. 

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #20 on: February 24, 2022, 07:01:03 PM »
Rebonjour
dans le reply#10

j'ai ecrit
Quote
I can't acces to index.htm    (403 forbidden) idem for mail.***.com/index.htm and host.***.com/index.htm
the text exactly is
Code: [Select]
Forbidden

You don't have permission to access /index.htm on this server.

je n'ai pas prcisé effectivement mais j'ai la meme erreur dans le fichier log que avec les fichier de let's enrypt
Code: [Select]
[Thu Feb 24 18:57:31.728309 2022] [core:error] [pid 32237] (13)Permission denied: [client 192.168.2.203:51440] AH00035: access to /index.htm denied (filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm') because search permissions are missing on a component of the path
je ne l'ai pas precisé c'est exact. désolé :sad:



Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #21 on: February 24, 2022, 10:01:37 PM »
Hi Again
I remove certificat
I Do that:
Code: [Select]
config delprop modSSL crt
config delprop modSSL key
config delprop modSSL CertificateChainFile

signal-event post-upgrade
signal-event reboot

after that I can't access to http://mail.***.com/index.htm and I have a error 403 forbidden the sme put the older let's encrypt certificat (expire 3/12/2021) but I not sure of that (it is late)

after I Do that :
Code: [Select]
rm /home/e-smith/ssl.{crt,key,pem}/*
config delprop modSSL CommonName
config delprop modSSL crt
config delprop modSSL key
signal-event post-upgrade
signal-event reboot

after that the certificat is new autocertificat valide from today and for one year   (see in chrome certificat  information)

I try to connect to http://mail.***.com/index.htm and I have same error 403 forbidden
and the http error log say that:
Code: [Select]
[Thu Feb 24 21:42:45.847194 2022] [ssl:warn] [pid 2149] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Feb 24 21:42:45.865132 2022] [ssl:warn] [pid 2149] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Feb 24 21:42:45.868988 2022] [mpm_prefork:notice] [pid 2149] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips configured -- resuming normal operations
[Thu Feb 24 21:42:45.869032 2022] [core:notice] [pid 2149] AH00094: Command line: '/usr/sbin/httpd -f /etc/httpd/conf/httpd.conf -D FOREGROUND'
[Thu Feb 24 21:43:21.917483 2022] [core:error] [pid 2185] (13)Permission denied: [client 192.168.2.203:51803] AH00035: access to /index.htm denied (filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm') because search permissions are missing on a component of the path



I can't acces to primary ibay
for the moment I don't try to regenerate let's encrypt certificat because I think if not work as long as primary acces doesn't work

If I do backup , install new system and restore is SME restore the permission?
« Last Edit: February 24, 2022, 10:04:49 PM by chrica76 »

Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #22 on: February 25, 2022, 01:33:21 AM »
retourne le contenu de la commande


Code: [Select]
# ll -d /home/ /home/e-smith/ /home/e-smith/files/ /home/e-smith/files/ibays/ /home/e-smith/files/ibays/Primary/ /home/e-smith/files/ibays/Primary/html/

il devrait retourner quasi exactement cela,  (excepté les dates)

Code: [Select]
drwxr-xr-x. 3 root  root     20 11 avr  2018 /home/
drwxr-xr-x. 9 admin admin  4096 23 fév 22:10 /home/e-smith/
drwxr-xr-x. 8 root  root     93 28 nov 22:29 /home/e-smith/files/
drwxr-xr-x. 5 root  root     43  6 fév  2013 /home/e-smith/files/ibays/
drwxr-xr-x. 5 root  root     43 14 jun  2018 /home/e-smith/files/ibays/Primary/
drwxr-s---. 2 admin shared   40 12 mar  2020 /home/e-smith/files/ibays/Primary/html/

le message que tu copies depuis un moment ne fait que te dire que le user www/apache ne peut accéder à /home/e-smith/files/ibays/Primary/html/index.html car il ne peut acceder à un des dossiers parents....

Quote
Permission denied
access to /index.htm denied
(filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm')
because search permissions are missing on a component of the path

ceci est le résultat d'une intervention humaine la plupart du temps sur un des dossiers parent avec une commande tel que chmod ou chown.
« Last Edit: February 25, 2022, 01:39:48 AM by Jean-Philippe Pialasse »

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #23 on: February 25, 2022, 01:47:26 AM »
bonjour/bonsoir?

alors le resultat de la commande est le suivant:

Code: [Select]
[root@www1 ~]# ll -d /home/ /home/e-smith/ /home/e-smith/files/ /home/e-smith/files/ibays/ /home/e-smith/files/ibays/Primary/ /home/e-smith/files/ibays/Primary/html/
drwxr-xr-x.  3 root  root    21 25 août   2021 /home/
drwxr-xr-x. 11 admin admin  191 25 févr. 00:50 /home/e-smith/
drwxr-xr-x.  8 root  root   110 31 janv.  2013 /home/e-smith/files/
drwxr-xr-x.  3 root  root    21 20 janv.  2016 /home/e-smith/files/ibays/
drwxr-xr-x.  5 root  root    46 20 oct.   2014 /home/e-smith/files/ibays/Primary/
drwxr-s---.  3 admin shared  42  2 janv.  2018 /home/e-smith/files/ibays/Primary/html/
c'est cohérent avec ce que vous me donner je pense
je n'ai pas jouer avec les chmod ou chown que je ne maitrise malheureusement pas
« Last Edit: February 25, 2022, 01:49:18 AM by chrica76 »

Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #24 on: February 25, 2022, 02:37:41 AM »
grep shared /etc/group

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #25 on: February 25, 2022, 09:26:02 AM »
ok

Code: [Select]
[root@www1 ~]# grep shared /etc/group
shared:x:500:acceuil,admin,adrien,agathe,agenda,alice,anna,annesophie,audio10,audio11,cecile,charles,christophe,clemence,compta,compta2,elisa,fichecom,flore,forum,francebb,francois,gabriel,hugo,infos,isaline,laura,lauriane,ludo,mahel,marlene,mosaic1,mosaic2,nabi,nicob,nodalaudio,nodalvideo,pascal,poubelle,prod1,prod2,ps,public,qc.michele,raphael,reception,reception-a,record,regie,robin,rousseaux,satanas,sf,shelly,thierry,christophetest,aude,testmail,gaspard_g,olivier,florian,prescilla,remi
« Last Edit: February 25, 2022, 01:20:52 PM by chrica76 »

Offline krisden

  • *
  • 43
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #26 on: February 25, 2022, 10:26:49 AM »
La seule différence avec la commande demandée dans mon précédent post, c'est que tu as "apache" en propriétaire du fichier ".well-known" et moi "www".
Sincèrement, à ce stade puisqu'il semble s'agir d'un serveur de production pour de nombreux utilisateurs, à ta place je ne risquerai pas d'aller plus loin sous peine de tout casser et ainsi immobiliser tout le monde.

Tu indiques ne pas savoir utiliser les "chown et chmod", pourtant ils sont mentionnés dans plusieurs de tes posts, alors la raison du dysfonctionnement est certainement là (?)
Tu as la solution de faire acheter un ticket de support par ton entreprise, n'hésites pas, parfois il vaut mieux savoir être sage...

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #27 on: February 25, 2022, 11:26:42 AM »
Bonjour
l'utilisation du chmod fait suite au manip décrite dans le wiki de le'ts encrypt dans la session troubleshooting vu que mon problème était identique au problème décrit  j'ai suivi les instructions donné dans ce wiki que je considère comme fiable.

du coup hier soir j'ai créer un clone sur un nouvel ordinateur en faisant un backup du system actuel et un restore sur une nouvelle installation , le problème a suivi dans la sauvegarde... pas d'accès au index.htm erreur 403 forbidden dans le navigateur et permissid denied dans le http error log

ca existe ca un ticket de support pour la SME?

Offline krisden

  • *
  • 43
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #28 on: February 25, 2022, 11:36:01 AM »
ca existe ca un ticket de support pour la SME?

Regarde ici : http://www.koozali.org/partners/find-a-partner

EDIT : attends aussi les conseils des autres intervenants du post, je t’indique ce que je connais mais peut-être eux auront d'autres solutions ou arguments ;-)
« Last Edit: February 25, 2022, 11:40:01 AM by krisden »

Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #29 on: February 25, 2022, 01:03:10 PM »
ton problème est que le user www n’est pas membre du groupe shared.  ce qui n’est pas normal. 
un dernier test

db accounts show Primary

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #30 on: February 25, 2022, 01:18:45 PM »
Voila :
Code: [Select]
[root@www1 ~]# db accounts show Primary
Primary=ibay
    CgiBin=enabled
    Group=shared
    Modifiable=no
    Name=Primary i-bay
    PasswordSet=no
    Passwordable=no
    PublicAccess=global
    Removable=no
    SSLRequireSSL=enabled
    UserAccess=wr-admin-rd-group

il faudrait donc que je trouve comment remettre le user www dans le groupe shared?

si je fait :
Code: [Select]
usermod -aG shared www ? ca serai bon?

en modifiant sur un serveur de test (clone que j'ai fait hier soir.. via un backup un installation sur un nouvel ordinateur et une restauration du backup le probleme avait suivi le backup (pas d'acces a index.htm  (erreur 403)))
j'ai de nouveau acces a index.htm !
je test tout à l'heure sur le "vrai serveur" et reprend la config pour les certificat a zéro.
« Last Edit: February 25, 2022, 03:41:51 PM by chrica76 »

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #31 on: February 25, 2022, 04:53:03 PM »
Please remember that SME is NOT a normal server - lots of things are templated to stop you making mistakes and breaking things.


Manual intervention is a matter of last resort, particularly if you say you are inexperienced..... things will not always work the way you expected.


So before you start messing about, perhaps you ought to tell us how you managed to remove admin from the shared group ? We need to make sure that doesn't happen again.

...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #32 on: February 25, 2022, 08:01:24 PM »
Hi again
Thank you a lot it work

I make sommething strange but it is work!
on the server I do the command
Code: [Select]
usermod -aG shared www it is put www dans le group shared I check it whith command
Code: [Select]
grep shared /etc/group Merci jean-philippe
after that it is doesn't work? erreur 403 forbidden -- Permissions access denied in http log file  :shock: :???:
For solve the problem, to understand this morning on the "test server I have created a new ibay and put the hostname on this ibay...  juste for to do some test if I can access to this ebay, same problem on this ibay no acces(error403), permissions denied  , I delete the ibay on the test server ..  and see the post for the user acces from Jean-philippe I make the operation and it is work! ok good I forgot this ibay creation and delete....
this evening  on the prod server after correct the user permission and doesn't work  I create a new ibay on the prod server and put the domain on this ibay and after this operation I can acces again to index.htm !!!  ok good
I redo the let'sencrypt/SSL/dehydrated configuration and It is work!  Strange but good new for my Week-end!  :D


Thank you a lot

@Reept I try to understand the problem and I don't know what happend I check in admin email and I see the previously certificat renew is date to the last update to smeserver-letsencrypt-0.5-17.noarch   you are already help me at this momnent.. (26novemeber2021) after I do anything whith this server.
If you want log or over information I can give you what you want  :)

Thanks

Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #33 on: February 26, 2022, 12:18:42 AM »
prendre le temps de lire
history|less


mais n’envoie pas en ligne le contenu ca a tu as peut etre des informations confidentielles au milieu.


le usermod a partiellement aidé, car sme utilsie deux bases de données. les fichiers unix et une base ldap. 
malheureusement usermod ne change pas le contenu de ldap donc tes deux bases ne sont pas synchronisées.  apache et pam ne lisent que les fichiers unix dans ta configuration mais dans une autre situation cela peut devenir problematique. 

si tu peux retuliser ton backup sur une vm puis installer phpldapadmin tu pourrais avant utilisation de usermod voir le contenu de la base ldap pour le group shared.  si www y est present, il y’a des chances que ton probleme soit lié a une commande type usermod ou une edition manuelle de /etc/group. 

il serait interessant de comprendre pour eviter que cela se reproduise. et reparer queqlue chose  au besoin. 

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #34 on: February 28, 2022, 11:39:46 AM »
Bonjour
Je n'ai pas trouver de usermod ni de /etc/group dans mon history je peux vous l'envoyer en MP si vous le souhaitez
dès que j'ai un peu de temps j'essaye de faire restaurer mon backup sur une autre machine et mettre phpldapadmin
« Last Edit: February 28, 2022, 11:46:04 AM by chrica76 »