Swag Zertifikat läuft aus

EricM

By EricM
in Deutsch

Go to solution Solved by vakilando,

Recommended Posts

EricM Apprentice

EricM

Posted
Posted

Hallo Leute,

 

Ich habe den Swag Container installiert und mit einem reverse Proxy HTTPS Zertifikate für meine Nextcloud, Onlyoffice und Bitwarden erstellt, so wie spaceinvaderone in seinen Youtube Videos.

 

Nun habe ich vor einigen Tagen eine Email bekommen, dass die Zertifikate mittels Certbot erneurt werden müssen, da sie nur 3 Monate gültig sind. Gestern war dann der Tag an dem diese Ausgelaufen sind und jetzt funktioniert logischerweise nichts von den 3 Dingen mehr.

 

Daher meine Frage: wie kann ich diesen certbot aktivieren oder erneut ausführen und somit meine Zertifikate erneuern? Ich bräuchte dazu leider eine genaue Erklärung, mit der Commandozeile usw kenne ich mich leider nicht besonders aus ;)

 

Danke schon im vorraus!! :)

Link to comment
  • Solution
vakilando Contributor

vakilando

Posted
  • Solution
Posted

Ich nutze auch den Swag Container als reverse proxy. Er kümmert sich selbst um die Erneuerung der Zertifikate.

Wenn du den Container neu startest und in die Container Logs schaust solltest du sehen wie er die Gültigkeit der Zertifikate prüft und sie ggf. erneuert.

Je nach Konfiguration muss er über Port 80 aus dem Internet erreichbar sein (Wenn Validation wie bei mir auf "http" steht).

Validation: http (Flag to specify validation method use either 'http','dns','duckdns', or 'tls-sni')

  • Like 1
Link to comment
EricM Apprentice

EricM

Posted
  • Author
Posted
1 hour ago, vakilando said:

Ich nutze auch den Swag Container als reverse proxy. Er kümmert sich selbst um die Erneuerung der Zertifikate.

Wenn du den Container neu startest und in die Container Logs schaust solltest du sehen wie er die Gültigkeit der Zertifikate prüft und sie ggf. erneuert.

Je nach Konfiguration muss er über Port 80 aus dem Internet erreichbar sein (Wenn Validation wie bei mir auf "http" steht).

Validation: http (Flag to specify validation method use either 'http','dns','duckdns', or 'tls-sni')

 

 

Ok, mal schaun ob das in Zukunft funktioniert. Hab jetzt nochmals die Logfiles gecheckt und da viel mir folgende Zeile ins Auge: 

nginx: [emerg] "proxy_redirect" directive is duplicate in /config/nginx/proxy-confs/onlyoffice.subdomain.conf:19

 

Daraufhin hab ich mal die onlyoffice.subdomain.conf auf .sample umbenannt um zu schauen ob das der Grund ist warum die drei Dinge nicht funktionieren und das wars. Sobald ich die onlyoffice config Datei wieder aktivere zickt Swag herum. Daher die neue Frage: Wie kann ich den Fehler beheben? Soll ich einfach die Zeile 19 aus der config Datei löschen?

 

Die config Datei sieht wie folgt aus:

  

# only office doc server


server {
    listen 443 ssl;

    server_name onlyoffice.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 0;


    location / {
				include /config/nginx/proxy.conf;
				resolver 127.0.0.11 valid=30s;
                set $upstream_docs onlyoffice;
				proxy_pass https://$upstream_docs:443;
                proxy_redirect off;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Host $server_name;
                proxy_set_header X-Forwarded-Proto $scheme;
        }
}

 

Link to comment
hawihoney Proficient

hawihoney

Posted
Posted
3 hours ago, EricM said:

Gestern war dann der Tag an dem diese Ausgelaufen sind

 

Hatte ich auch mal. Hatte damals irgendwo gelesen, dass ich eine weitere Subdomain in SWAG eintragen soll (fake,nextcloud,...). Nach dem automatischen Docker-Restart klappte wieder alles und die fake Subdomain konnte ich wieder entfernen.

 

Link to comment
EricM Apprentice

EricM

Posted
  • Author
Posted
2 minutes ago, vakilando said:

Ja, kannst einfach die Zeile auskommentieren mit einem #
So: #proxy_redirect off;
Oder ganz löschen

 

Was genau bewirkt die Zeile in der Config Datei? Hat das irgendeinen Einfluss auf die Sicherheit wenn ich die auskommentiere?

Link to comment
mgutt Veteran

mgutt

Posted
Posted
2 minutes ago, jj1987 said:

Der mag aber keine Wildcard Subdomains in Verbindung mit duckdns

 

 

Wenn du das mit dem SSL Zertifikat hinbekommst, könntest du in den Advanced Settings das eintragen: 

server_name *.duckdns.org;

 

Oder man bearbeitet mit "nano /mnt/user/appdata/npm/data/nginx/proxy_host/1.conf" die entsprechende Config Datei?!

 

Link to comment
vakilando Contributor

vakilando

Posted
Posted
6 hours ago, EricM said:

Was genau bewirkt die Zeile in der Config Datei? Hat das irgendeinen Einfluss auf die Sicherheit wenn ich die auskommentiere?

Ich muss gestehen, dass ich selbst nachschauen musste...

 

Die Meldung "proxy_redirect directive is duplicate" kommt, da dies bereits in der Datei "proxy.conf" steht: "proxy_redirect  http://  $scheme://;"
Wenn du dies selbst bzw. anders setzen willst, musst du den Eintrag in der Datei "proxy.conf" auskommentieren und in jeder deiner Konfigurationsdateien "blabla.subdomain.conf" ggf. selbst setzen.
 

Zu "proxy_redirect  http://  $scheme://;" habe ich folgendes gefunden:
This directive will rewrite all HTTP redirects from upstream to the current scheme, ie HTTPS. The browser will then receive the correct scheme directly, avoiding unnecessary round-trips. (Quelle: https://docs.enterprise.codescene.io/versions/3.2.5/getting-started/use-a-reverse-proxy-for-https-support.html)

 

Wenn du es also in der "onlyoffice.subdomain.conf" auskommentierst hat es m.E. keine negativen Auswirkungen auf die Sicherheit.

Die Einstellung in der Datei "proxy.conf" scheint mir vernünftig gesetzt, so dass HTTP Anfragen auf das bereits verwendete Schema geändert werden.

Insofern glaube ich, dass Swag dies genau wie der Nginx Proxy Manager automatisch macht, wie @mgutt bereits gesagt hat.

 

Aber wie gesagt, ich musste selbst erst recherchieren und hoffe hier korrekt den Sinn und die Art und Weise wiedergegeben zu haben wie diese Direktive funktioniert. Vielleicht kann noch jemand anderes etwas hierzu sagen....?

Link to comment
bastl Collaborator

bastl

Posted
Posted
On 7/10/2021 at 1:28 PM, EricM said:

Ok, mal schaun ob das in Zukunft funktioniert. Hab jetzt nochmals die Logfiles gecheckt und da viel mir folgende Zeile ins Auge: 


nginx: [emerg] "proxy_redirect" directive is duplicate in /config/nginx/proxy-confs/onlyoffice.subdomain.conf:19

 

Is nen Fehler, der nix mit dem Certbot selbst zu tun hat. Da haben die Jungs und Mädels, die SWAG bereitstellen nen Fehler drin gehabt. Bei mir wurde ne yt-downloader.conf bemängelt, die ich selbst nie erstellt oder den dazugehörigen Docker verwendet hab. Auskommentieren, Umbenennen oder löschen der Datei schafft abhilfe. Neustart oder Update des Containers generiert die Vorlagen eh neu.

 

Wer bei der automatischen Erneuerung der Certs mit certbot Probleme haben sollte, sollte auch mal schauen, ob in der Firewall/Router (bei mir Pfsense) nen Geoblocking aktiv ist. Wenn ja, wie bei mir mit aktivem pfBlockerNG GeoIP Filer, dann diesen kurz abschalten und den Container neustarten.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing