Icinga-Zertifikat läuft ab

MPW · 18. April 2018 um 14:47

im Ticketsystem gibt es einen Hinweis, dass die Zertifikate von icinga.{domains] bald ablaufen.

Viele Grüße
Matthias

PeterB · 18. April 2018 um 14:55

Dieses
/usr/bin/letsencrypt renew
scheint wirklich nicht cron-geeignet zu sein. Laut Log hat das automatische Verlängern per cron wiederholt nicht funktioniert.
Manuell laufen gelassen: klappt.

MPW · 18. April 2018 um 14:59

Hast du mal probiert den Befehl komplett in Anführungszeichen zu setzen? Das hilft manchmal bei cron.

PeterB · 18. April 2018 um 15:34

Der Job an sich läuft ja auch an. Nur läuft der Prozess irgendwo auf den Hammer:
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/icinga.freifunk-muensterland.de/fullchain.pem (failure)
Irgendwas hat die User-Sitzung, was dem cron fehlt. Vielleicht den Job von /bin/bash ausführen lassen? Der Haken an der Sache ist, das es jetzt wieder ein Vierteljahr dauert, bis der Fehler wieder ansteht…

Auf meinem eigenen Webserver habe ich letsencrpyt seinerzeit aus dem git https://github.com/letsencrypt/letsencrypt installiert. Da läuft der renew-cron ohne Probleme mit dem mitgelieferten Script “letsencrypt-auto”. Im Debian-Paket fehlt das wohl…

MPW · 18. April 2018 um 15:42

Bash könnte ein Grund sein oder aber das PATH. Gibt da so ein paar Tricks, wie man Cron das beibringt. Müsste ich jetzt auch erst googeln.

Handle · 19. April 2018 um 09:50

Was spricht gegen einen anderen ACME-Client wie acme.sh? Der hat keine weiteren Abhängigkeiten und läuft meiner Erfahrung nach sehr zuverlässig.

MPW · 19. April 2018 um 18:16

Das wollte irgendwie auch nicht.

corny456 · 19. April 2018 um 18:17

Beim icinga gibt’s auch irgend ne Sonderlocke weil das cert irgendwie per Script kopiert wird oder wie war das @PeterB?

PeterB · 19. April 2018 um 18:45

Das habe ich seinerzeit glaube ich so gelöst, das Icinga die Rechte auf den Pfad des Zertis bekommen hat und dann direkt drauf zugreift. Nach einem Renew muss Icinga nur einmal durchtauchen, um die neue Datei zu laden.

corny456 · 22. April 2018 um 19:36

auf dem Webserver tritt das Problem auch grad auf. Könnte man™ da analysieren…

PeterB · 22. April 2018 um 20:22

Jemand™ hat analysiert, that this works :

30 2 * * 1 PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:; /usr/bin/letsencrypt renew >> /var/log/le-renew.log 2>&1

corny456 · 22. April 2018 um 20:25

Sehr cool! Danke fürs Fixen.