このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/01(Wed) 21:25
名前: コミナミ
URL:
Certbot証明書をサーバー証明書自動更新設定スプリクトで更新しようと
したらエラーだと言われ、Webサーバーのみ更新出来ませんでした。
(メールサーバーの証明書はうまく更新されてました)
再発行を試み試みましたが、やはりエラー

そこで、/etc/httpd/conf.d/ssl.confの
SSLCertificateFile
SSLCertificateKeyFile
SSLCertificateChainFile
SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Header always set Strict-Transport-Security "max-age=15768000"
SSLEngine on

をコメントアウトしてApacheを再起動したらApacheが起動不能に陥りました

messageのログは以下の通り

21:00:01 ns2 systemd: Created slice user-0.slice.
Feb 1 21:00:01 ns2 systemd: Starting user-0.slice.
Feb 1 21:00:01 ns2 systemd: Started Session 5 of user root.
Feb 1 21:00:01 ns2 systemd: Starting Session 5 of user root.
Feb 1 21:00:01 ns2 systemd: Started Session 6 of user root.
Feb 1 21:00:01 ns2 systemd: Starting Session 6 of user root.
Feb 1 21:00:03 ns2 systemd: Removed slice user-0.slice.
Feb 1 21:00:03 ns2 systemd: Stopping user-0.slice.
Feb 1 21:00:16 ns2 named[1267]: validating @0x7f4698025ec0: jp SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:16 ns2 named[1267]: validating @0x7f46a4136770: org SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:28 ns2 named[1267]: validating @0x7f46a87cfc40: com SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:31 ns2 named[1267]: validating @0x7f4698025ec0: com SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:31 ns2 named[1267]: validating @0x7f46a4136770: net SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:32 ns2 named[1267]: validating @0x7f4698025ec0: com SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:32 ns2 named[1267]: validating @0x7f46a4137400: com SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:32 ns2 named[1267]: validating @0x7f46a4136770: com SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:44 ns2 named[1267]: validating @0x7f46a4136770: net SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:44 ns2 named[1267]: validating @0x7f4698026b50: net SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:44 ns2 named[1267]: validating @0x7f46a0011ba0: . NS: got insecure response; parent indicates it should be secure
Feb 1 21:00:45 ns2 named[1267]: validating @0x7f46a0012830: com SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:45 ns2 named[1267]: validating @0x7f46a87d08d0: net SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:45 ns2 named[1267]: validating @0x7f4698023220: . NS: got insecure response; parent indicates it should be secure
Feb 1 21:00:45 ns2 named[1267]: validating @0x7f4698025ec0: io SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:45 ns2 named[1267]: validating @0x7f46a4136770: net SOA: got insecure response; parent indicates it should be secure
Feb 1 21:00:46 ns2 named[1267]: validating @0x7f46a87d08d0: io DNSKEY: got insecure response; parent indicates it should be secure
Feb 1 21:00:59 ns2 named[1267]: validating @0x7f4698025ec0: com SOA: got insecure response; parent indicates it should be secure
記事編集 編集

Page: | 1 | 2 |

Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/01(Wed) 23:20
名前: コミナミ
URL:
>コミナミ様
>
>>Certbot証明書をサーバー証明書自動更新設定スプリクトで更新しようと
>>したらエラーだと言われ、Webサーバーのみ更新出来ませんでした。
>⇒/etc/cron.monthly/certbotを手起動したエラーになったということですか?

管理人様

そのとおりです。

メールサーバー用は正常に更新出来ましたが、Webサーバーの方が駄目でした。
エラーメッセージは再発行の時と同じでした。

/usr/local/certbot/certbot-auto certonly --webroot -w ドキュメントルート -m メールアドレス -d Webサーバー名 --agree-tos

ドキュメントルート /var/www/html
メールアドレス   Logwatch等のサーバーログ受信用のメールアドレス
Webサーバー名   www.arendelle.jp


で再発行を試みましたが、やはり上記投稿のようなエラー(WWWのAレコードを見直しなさい)です。
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/02(Thu) 09:02
名前: aaa
URL:
certbotに入力したコマンドがまちがっていると認識されているぽい。

Using the webroot path /var/www/html for all unmatched domains.
で404。

考えられるのが

ドキュメントルートの入力間違い?
.htaccessでなんかしてる?
messagesをみるとns2というホスト名がついてるぽいけど、
コマンド実行してるサーバーをまちがっていませんか?
もしくはwebserver名の間違い?

これらが404エラーと名前解決できない原因くらいしか推測できません。
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/02(Thu) 15:46
名前: o6asan
URL:
こんにちは。

大分時間がたっておられますが,もしかしたら解決されたのかな?

基本的に,aaaさんのご意見に賛成です。
ただ,少し確認したいことがありましたので,これを書いております。

> しかし、肝心のCertbotWebサーバー証明書は

というところには,Certbotのログがありますが,一番初めのCertbotのエラーログがありません。

いずれにしても,
http://www.arendelle.jp/.well-known/acme-challenge
で確認が取れないようなので,それが見つからないということの方が,Aレコードの件より先に調査すべきことだと思います。

実際,現時点でもhttp://www.arendelle.jp/.well-known/acme-challenge/にアクセスするとアクセス不可でなく,Not Foundが出てますよ。
特別にいろいろいじっていない限り,Certbot以外からのアクセスには,アクセス不可が返る方が普通だと思います。

もう一つ,お聞きしたいのは,下記は,Listen 443 httpsをコメントアウトする前も後も同じだったかということです。
Invalid response from http://www.arendelle.jp/.well-known/acme-challenge/qR5SPOvWYJjb4j-_qI6eLIE1zs5uIf1bvUrVrpXt4P8:

コメントアウトの前が https:// で,後が http:// なら,問題のディレクトリには http でも接続できるようにしておかないといけません。
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/02(Thu) 20:45
名前: コミナミ
URL:
>certbotに入力したコマンドがまちがっていると認識されているぽい。
>
>Using the webroot path /var/www/html for all unmatched domains.
>で404。
>
>考えられるのが
>
>ドキュメントルートの入力間違い?
>.htaccessでなんかしてる?
>messagesをみるとns2というホスト名がついてるぽいけど、
>コマンド実行してるサーバーをまちがっていませんか?
>もしくはwebserver名の間違い?
>
>これらが404エラーと名前解決できない原因くらいしか推測できません。

aaa様

ドキュメントルートに誤りはありません。/var/www/htmlの中にindex.htmlがあります。
.htaccessは設置していません
webサーバー名はwww.arendelle.jpです間違いありません。
一昨日までは正常にWebサイトを見れていました。
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/02(Thu) 20:53
名前: コミナミ
URL:
o6asan様

>こんにちは。
>
>大分時間がたっておられますが,もしかしたら解決されたのかな?
>
>基本的に,aaaさんのご意見に賛成です。
>ただ,少し確認したいことがありましたので,これを書いております。
>
>> しかし、肝心のCertbotWebサーバー証明書は
>
>というところには,Certbotのログがありますが,一番初めのCertbotのエラーログがありません。
>
>いずれにしても,
>http://www.arendelle.jp/.well-known/acme-challenge
>で確認が取れないようなので,それが見つからないということの方が,Aレコードの件より先に調査すべきことだと思います。
>
>実際,現時点でもhttp://www.arendelle.jp/.well-known/acme-challenge/にアクセスするとアクセス不可でなく,Not Foundが出てますよ。
>特別にいろいろいじっていない限り,Certbot以外からのアクセスには,アクセス不可が返る方が普通だと思います。

/var/www/html下に.well-knownデレクトリーは存在していましたが、中身が空でした。

>
>もう一つ,お聞きしたいのは,下記は,Listen 443 httpsをコメントアウトする前も後も同じだったかということです。
>Invalid response from http://www.arendelle.jp/.well-known/acme-challenge/qR5SPOvWYJjb4j-_qI6eLIE1zs5uIf1bvUrVrpXt4P8:
>
>コメントアウトの前が https:// で,後が http:// なら,問題のディレクトリには http でも接続できるようにしておかないといけません。

Listen 443 httpsをコメントアウトする前はApacheが起動できませんでした。
コメントアウト後は起動できました。

現在、自作の証明書を作成してhttpsでアクセス出来ることまでは確認できました。
※自作の証明書を作成 SSL設定関係はここのサイトのものを参考にしました。

でも、以前証明書は発行出来ません。

http://qiita.com/nyatakasan/items/1091299b675efeb2c6ee の情報によると
Let's encryt で既に動作しているWebサーバを認証する場合、
フレームワークやWordPress、Drupalなどのアプリが、
パラメータをキャッチする設定になっていることで、Web認証に失敗する場合がある。
とのことです。
エラーメッセージもこのサイトに掲載されているのと同じです。

ちなみに、WebサーバーにはWordPressが設置されています。
設置パスは /var/www/arino-mama/wordpress
これに対する /etc/httpd/conf.d/配下のarino-mama.confの
内容は
Alias /arino-mama /var/www/arino-mama/wordpress

※www.arendelle.jp/arino-mama/のURLに対するwordpress設置
デレクトリーへのエイリアスを設定しているだけです。
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/02(Thu) 23:13
名前: o6asan
URL:
>実際,現時点でもhttp://www.arendelle.jp/.well-known/acme-challenge/にアクセスするとアクセス不可でなく,Not Foundが出てますよ。

と書いた件と

http://qiita.com/nyatakasan/items/1091299b675efeb2c6ee さんが述べられてる件はどちらも
Certbotが .well-known/acme-challenge/ にアクセスできないだろうということを表しています。

上記参考サイトで述べられてる件については,どういうconfの変更をおやりになったのでしょうか?

参考サイトが述べていることも同じ話になるのですが,
.well-known/acme-challenge/ の場所が,Certbotに対して,具体的に解決されないと,認証はできません。

一番初めは今の設定のままでできていたのに,現在ができないという件に関しては原因不明ですが,
.well-known/acme-challenge/ に対して,http://www.arendelle.jp/の直下になるようにエイリアスを切ってやれば
いいんだと思いますが……。

今,ふっと思いましたが,.well-known/acme-challenge/がメールサーバと同じ場所になってるとかいうことがあり得ますか?
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/03(Fri) 20:18
名前: コミナミ
URL:
o6asan様


>>実際,現時点でもhttp://www.arendelle.jp/.well-known/acme-challenge/にアクセスするとアクセス不可でなく,Not Foundが出てますよ。
>
>と書いた件と
>
>http://qiita.com/nyatakasan/items/1091299b675efeb2c6ee さんが述べられてる件はどちらも
>Certbotが .well-known/acme-challenge/ にアクセスできないだろうということを表しています。
>
>上記参考サイトで述べられてる件については,どういうconfの変更をおやりになったのでしょうか?


/etc/httpd/conf.d/ssl.confの
SSLCertificateFile
SSLCertificateKeyFile
SSLCertificateChainFile
SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Header always set Strict-Transport-Security "max-age=15768000"
SSLEngine on
をコメントアウト
apacheが再起動エラー
更に Listen 443 httpsをコメントアウト

のみで証明書の再発行を試みましたが、エラーで駄目でした。


>
>参考サイトが述べていることも同じ話になるのですが,
>.well-known/acme-challenge/ の場所が,Certbotに対して,具体的に解決されないと,認証はできません。
>
>一番初めは今の設定のままでできていたのに,現在ができないという件に関しては原因不明ですが,
>.well-known/acme-challenge/ に対して,http://www.arendelle.jp/の直下になるようにエイリアスを切ってやれば
>いいんだと思いますが……。
>
>今,ふっと思いましたが,.well-known/acme-challenge/がメールサーバと同じ場所になってるとかいうことがあり得ますか?
.well-known/acme-challenge/ はメールサーバとは別の場所です。
(Apacheのドキュメントルート/var/www/htmlの配下 .well-knownディレクトリ−配下のacme-challenge
ディレクトリ−は存在せず/var/www/htmlの配下 .well-knownディレクトリーのみ存在 )


どうも、Apacheのドキュメントルート/var/www/htmlの上位のディレクトリーにWordpressを置いている
ディレクトリーが存在するのでそれが原因のようです。
別ディレクトリに認証を逃がすことで解決できるようなのですが、
参考サイトはapacheではなく、nginxで解決方法を説明しているので
これをapacheでやる方法を模索しているところです。
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/03(Fri) 20:56
名前: o6asan
URL:
> 参考サイトはapacheではなく、nginxで解決方法を説明しているので
> これをapacheでやる方法を模索しているところです。

この件に関してですが,.well-known/acme-challenge/ に対して,http://www.arendelle.jp/の直下になるようにエイリアスを切ってやってもダメだったということですか?
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/03(Fri) 23:08
名前: コミナミ
URL:
o6asan様

>> 参考サイトはapacheではなく、nginxで解決方法を説明しているので
>> これをapacheでやる方法を模索しているところです。
>
>この件に関してですが,.well-known/acme-challenge/ に対して,http://www.arendelle.jp/の直下になるようにエイリアスを切ってやってもダメだったということですか?

全く違う方法を試そうとしてましたが、この書き込みを見て早速その方法を実践
致しました。

/etc/httpd/conf.d/配下のarino-mama.conf(wordpress用のエイリアス設定ファイル)に
Alias /.well-known/acme-challenge /var/www/html/.well-known/acme-challengeを追記し
/var/www/html/.well-known/acme-challenge/ 配下にダミーの
WiPIAYFLzesmuu8k8BW2g7gxxhndSJlKrBq0r5PW9-8: ファイルを設置
中身は
DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
</body></html>
※この中身もダミーなので適当に作りました

そして、wordpressを/var/www/配下から 新規に作った/var/blog-root/配下に移し
/etc/httpd/conf.d/配下のarino-mama.conf(wordpress用のエイリアス設定ファイル)
のエイリアス参照先を新ディレクトリーへ変更
apacheを再起動後

/usr/local/certbot/certbot-auto certonly --non-interactive --webroot -w /var/www/html/ -m frozenclub@arendelle.jp -d www.arendelle.jp --agree-tos
でwww用証明書を再発行
ssl.confも元の設定に戻し再度apacheを再起動
これでやっとうまく行きました。


アドバイス頂きました皆様誠にありがとうございました。
記事編集 編集
Re: CertbotWebサーバー証明書更新エラー とApache起動不能 このメッセージに返信する
日時: 2017/02/03(Fri) 23:16
名前: コミナミ
URL:
/etc/cron.monthly/certbotのタスクが
他のタスク(特にTripwireやclamdやバックアップ系のタスク等)とかぶらないように
/etc/cron.monthly/certbot を/root/に移し
crontab -eで

07 00 01 * * /root/certbot


というふうに設定して工夫してみました。
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -