Koozali.org: home of the SME Server

erreur renouvellement certificat le's encrypt

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #15 on: February 24, 2022, 03:34:20 PM »
Bonjour Jean-Philippe
je pensais avoir été clair dans mon premier message désolé si je ne l'ai pas été  :sad:  je comprend je suis moi même confronter à ce genre de problème dans un autre domaine...
je récapitule: j'ai un problème de renouvellement de certificat let's encrypt  sur un SME V10 ce renouvellement a déjà fonctionné auparavant sans problème, d’ailleurs le certificat actuel est encore valable quelque jours
lors de la demande de certificat j'ai un retour d'erreur 403 et une erreur sur des permission d'acces  comme cité dans le premier message j'ai mis les manips qui ne fonctionne pas avec les messages d'erreur et le log que vous demander dans le premier message.
En investiguant j'ai trouve dans le wiki une solution pour dépanner ce problème j'ai appliquer cette solution comme je le décrit dans ce premier message (j'ai copier coller exactement ce que je tape et le retour du serveur que j'ai) mais cette solution ne fonctionne pas dans mon cas je ne comprenais pas pourquoi jusqu’à l'intervention de ReetP qui m'a guider pour finalement comprendre que c'est l'accès au primary qui ne fonctionne pas , mais je n'arrive pas a trouver comment le rétablir sans tous casser je ne comprend même pas comment il a pu sauter vu que je n'ai rien installer depuis plusieurs mois sur ce serveur.
Merci

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #16 on: February 24, 2022, 03:55:26 PM »
It did not happen by itself :-)

I am sure you have done updates, and clearly SOMETHING has changed.

You are going to have to go back and start again. If you do not, your certificate is going to expire any way and then you will be forced to do it.

I have already told you - clear out ALL the old manual stuff, reset modSSL, and reset the Primary SSL status

db accounts setprop Primary SSL disabled (and then same for any other ibays)

post-upgrade/reboot

Check you can access Primary as previously described.

If you can the install the letsencrypt contrib.

If not we will need to look again.
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #17 on: February 24, 2022, 04:02:36 PM »
Of course It did not happen by itself  but I think it is a important information for you , I do update via server manager after I see this problem

Ok I delete my certificat  this evening ! (paris time)  :???:

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #18 on: February 24, 2022, 04:25:14 PM »
Of course It did not happen by itself  but I think it is a important information for you , I do update via server manager after I see this problem

The problem is something HAS changed, we have all done updates the same as you and no one else has experienced the issue so we are trying to figure out what happened.

You have a manual install with custom templates and any one of a dozen things could be wrong that we know nothing about. With a contrib we know exactly what is in it and how it should work.

Quote
Ok I delete my certificat  this evening ! (paris time)  :???:

You can backup the whole dehydrated directory elsewhere, and then keys, and restore later if required.

Make sure you remove EVERYTHING you manually installed.

It might be easier on the weekend - quieter and more time to rectify issues!
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #19 on: February 24, 2022, 06:51:38 PM »
tu récapitules ce qu tu as deja dis mais ne répond à la question.

quelle erreur quand tu navigue vers la page index.htm? que s’affiche t il?

quel code d’erreur dans ton navigateur ou quel message mais aussi dans les logs du serveur. 

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #20 on: February 24, 2022, 07:01:03 PM »
Rebonjour
dans le reply#10

j'ai ecrit
Quote
I can't acces to index.htm    (403 forbidden) idem for mail.***.com/index.htm and host.***.com/index.htm
the text exactly is
Code: [Select]
Forbidden

You don't have permission to access /index.htm on this server.

je n'ai pas prcisé effectivement mais j'ai la meme erreur dans le fichier log que avec les fichier de let's enrypt
Code: [Select]
[Thu Feb 24 18:57:31.728309 2022] [core:error] [pid 32237] (13)Permission denied: [client 192.168.2.203:51440] AH00035: access to /index.htm denied (filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm') because search permissions are missing on a component of the path
je ne l'ai pas precisé c'est exact. désolé :sad:



Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #21 on: February 24, 2022, 10:01:37 PM »
Hi Again
I remove certificat
I Do that:
Code: [Select]
config delprop modSSL crt
config delprop modSSL key
config delprop modSSL CertificateChainFile

signal-event post-upgrade
signal-event reboot

after that I can't access to http://mail.***.com/index.htm and I have a error 403 forbidden the sme put the older let's encrypt certificat (expire 3/12/2021) but I not sure of that (it is late)

after I Do that :
Code: [Select]
rm /home/e-smith/ssl.{crt,key,pem}/*
config delprop modSSL CommonName
config delprop modSSL crt
config delprop modSSL key
signal-event post-upgrade
signal-event reboot

after that the certificat is new autocertificat valide from today and for one year   (see in chrome certificat  information)

I try to connect to http://mail.***.com/index.htm and I have same error 403 forbidden
and the http error log say that:
Code: [Select]
[Thu Feb 24 21:42:45.847194 2022] [ssl:warn] [pid 2149] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Feb 24 21:42:45.865132 2022] [ssl:warn] [pid 2149] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Feb 24 21:42:45.868988 2022] [mpm_prefork:notice] [pid 2149] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips configured -- resuming normal operations
[Thu Feb 24 21:42:45.869032 2022] [core:notice] [pid 2149] AH00094: Command line: '/usr/sbin/httpd -f /etc/httpd/conf/httpd.conf -D FOREGROUND'
[Thu Feb 24 21:43:21.917483 2022] [core:error] [pid 2185] (13)Permission denied: [client 192.168.2.203:51803] AH00035: access to /index.htm denied (filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm') because search permissions are missing on a component of the path



I can't acces to primary ibay
for the moment I don't try to regenerate let's encrypt certificat because I think if not work as long as primary acces doesn't work

If I do backup , install new system and restore is SME restore the permission?
« Last Edit: February 24, 2022, 10:04:49 PM by chrica76 »

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #22 on: February 25, 2022, 01:33:21 AM »
retourne le contenu de la commande


Code: [Select]
# ll -d /home/ /home/e-smith/ /home/e-smith/files/ /home/e-smith/files/ibays/ /home/e-smith/files/ibays/Primary/ /home/e-smith/files/ibays/Primary/html/

il devrait retourner quasi exactement cela,  (excepté les dates)

Code: [Select]
drwxr-xr-x. 3 root  root     20 11 avr  2018 /home/
drwxr-xr-x. 9 admin admin  4096 23 fév 22:10 /home/e-smith/
drwxr-xr-x. 8 root  root     93 28 nov 22:29 /home/e-smith/files/
drwxr-xr-x. 5 root  root     43  6 fév  2013 /home/e-smith/files/ibays/
drwxr-xr-x. 5 root  root     43 14 jun  2018 /home/e-smith/files/ibays/Primary/
drwxr-s---. 2 admin shared   40 12 mar  2020 /home/e-smith/files/ibays/Primary/html/

le message que tu copies depuis un moment ne fait que te dire que le user www/apache ne peut accéder à /home/e-smith/files/ibays/Primary/html/index.html car il ne peut acceder à un des dossiers parents....

Quote
Permission denied
access to /index.htm denied
(filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm')
because search permissions are missing on a component of the path

ceci est le résultat d'une intervention humaine la plupart du temps sur un des dossiers parent avec une commande tel que chmod ou chown.
« Last Edit: February 25, 2022, 01:39:48 AM by Jean-Philippe Pialasse »

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #23 on: February 25, 2022, 01:47:26 AM »
bonjour/bonsoir?

alors le resultat de la commande est le suivant:

Code: [Select]
[root@www1 ~]# ll -d /home/ /home/e-smith/ /home/e-smith/files/ /home/e-smith/files/ibays/ /home/e-smith/files/ibays/Primary/ /home/e-smith/files/ibays/Primary/html/
drwxr-xr-x.  3 root  root    21 25 août   2021 /home/
drwxr-xr-x. 11 admin admin  191 25 févr. 00:50 /home/e-smith/
drwxr-xr-x.  8 root  root   110 31 janv.  2013 /home/e-smith/files/
drwxr-xr-x.  3 root  root    21 20 janv.  2016 /home/e-smith/files/ibays/
drwxr-xr-x.  5 root  root    46 20 oct.   2014 /home/e-smith/files/ibays/Primary/
drwxr-s---.  3 admin shared  42  2 janv.  2018 /home/e-smith/files/ibays/Primary/html/
c'est cohérent avec ce que vous me donner je pense
je n'ai pas jouer avec les chmod ou chown que je ne maitrise malheureusement pas
« Last Edit: February 25, 2022, 01:49:18 AM by chrica76 »

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #24 on: February 25, 2022, 02:37:41 AM »
grep shared /etc/group

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #25 on: February 25, 2022, 09:26:02 AM »
ok

Code: [Select]
[root@www1 ~]# grep shared /etc/group
shared:x:500:acceuil,admin,adrien,agathe,agenda,alice,anna,annesophie,audio10,audio11,cecile,charles,christophe,clemence,compta,compta2,elisa,fichecom,flore,forum,francebb,francois,gabriel,hugo,infos,isaline,laura,lauriane,ludo,mahel,marlene,mosaic1,mosaic2,nabi,nicob,nodalaudio,nodalvideo,pascal,poubelle,prod1,prod2,ps,public,qc.michele,raphael,reception,reception-a,record,regie,robin,rousseaux,satanas,sf,shelly,thierry,christophetest,aude,testmail,gaspard_g,olivier,florian,prescilla,remi
« Last Edit: February 25, 2022, 01:20:52 PM by chrica76 »

Offline krisden

  • *
  • 43
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #26 on: February 25, 2022, 10:26:49 AM »
La seule différence avec la commande demandée dans mon précédent post, c'est que tu as "apache" en propriétaire du fichier ".well-known" et moi "www".
Sincèrement, à ce stade puisqu'il semble s'agir d'un serveur de production pour de nombreux utilisateurs, à ta place je ne risquerai pas d'aller plus loin sous peine de tout casser et ainsi immobiliser tout le monde.

Tu indiques ne pas savoir utiliser les "chown et chmod", pourtant ils sont mentionnés dans plusieurs de tes posts, alors la raison du dysfonctionnement est certainement là (?)
Tu as la solution de faire acheter un ticket de support par ton entreprise, n'hésites pas, parfois il vaut mieux savoir être sage...

Offline chrica76

  • 19
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #27 on: February 25, 2022, 11:26:42 AM »
Bonjour
l'utilisation du chmod fait suite au manip décrite dans le wiki de le'ts encrypt dans la session troubleshooting vu que mon problème était identique au problème décrit  j'ai suivi les instructions donné dans ce wiki que je considère comme fiable.

du coup hier soir j'ai créer un clone sur un nouvel ordinateur en faisant un backup du system actuel et un restore sur une nouvelle installation , le problème a suivi dans la sauvegarde... pas d'accès au index.htm erreur 403 forbidden dans le navigateur et permissid denied dans le http error log

ca existe ca un ticket de support pour la SME?

Offline krisden

  • *
  • 43
  • +0/-0
Re: erreur renouvellement certificat le's encrypt
« Reply #28 on: February 25, 2022, 11:36:01 AM »
ca existe ca un ticket de support pour la SME?

Regarde ici : http://www.koozali.org/partners/find-a-partner

EDIT : attends aussi les conseils des autres intervenants du post, je t’indique ce que je connais mais peut-être eux auront d'autres solutions ou arguments ;-)
« Last Edit: February 25, 2022, 11:40:01 AM by krisden »

Offline Jean-Philippe Pialasse

  • *
  • 2,743
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: erreur renouvellement certificat le's encrypt
« Reply #29 on: February 25, 2022, 01:03:10 PM »
ton problème est que le user www n’est pas membre du groupe shared.  ce qui n’est pas normal. 
un dernier test

db accounts show Primary