Icinga-Zertifikat läuft ab


#1

Moin @wurmi, @PeterB,

im Ticketsystem gibt es einen Hinweis, dass die Zertifikate von icinga.{domains] bald ablaufen.

Viele Grüße
Matthias


#2

Dieses
/usr/bin/letsencrypt renew
scheint wirklich nicht cron-geeignet zu sein. Laut Log hat das automatische Verlängern per cron wiederholt nicht funktioniert.
Manuell laufen gelassen: klappt.


#3

Hast du mal probiert den Befehl komplett in Anführungszeichen zu setzen? Das hilft manchmal bei cron.


#4

Der Job an sich läuft ja auch an. Nur läuft der Prozess irgendwo auf den Hammer:
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/icinga.freifunk-muensterland.de/fullchain.pem (failure)
Irgendwas hat die User-Sitzung, was dem cron fehlt. Vielleicht den Job von /bin/bash ausführen lassen? Der Haken an der Sache ist, das es jetzt wieder ein Vierteljahr dauert, bis der Fehler wieder ansteht… :wink:

Auf meinem eigenen Webserver habe ich letsencrpyt seinerzeit aus dem git https://github.com/letsencrypt/letsencrypt installiert. Da läuft der renew-cron ohne Probleme mit dem mitgelieferten Script “letsencrypt-auto”. Im Debian-Paket fehlt das wohl…


#5

Bash könnte ein Grund sein oder aber das PATH. Gibt da so ein paar Tricks, wie man Cron das beibringt. Müsste ich jetzt auch erst googeln.


#6

Was spricht gegen einen anderen ACME-Client wie acme.sh? Der hat keine weiteren Abhängigkeiten und läuft meiner Erfahrung nach sehr zuverlässig.


#7

Das wollte irgendwie auch nicht.


#8

Beim icinga gibt’s auch irgend ne Sonderlocke weil das cert irgendwie per Script kopiert wird oder wie war das @PeterB?


#9

Das habe ich seinerzeit glaube ich so gelöst, das Icinga die Rechte auf den Pfad des Zertis bekommen hat und dann direkt drauf zugreift. Nach einem Renew muss Icinga nur einmal durchtauchen, um die neue Datei zu laden.


#10

auf dem Webserver tritt das Problem auch grad auf. Könnte man™ da analysieren…


#11

Jemand™ hat analysiert, that this works :smiley: :

30 2 * * 1 PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:; /usr/bin/letsencrypt renew >> /var/log/le-renew.log 2>&1


#12

Sehr cool! Danke fürs Fixen. :slight_smile: