smoxy

Deutsch

English

Deutsch

English

Erscheinungsbild

SSL-Fehlerbehebung

Diese Anleitung behandelt häufige SSL-Probleme in smoxy und deren Behebung.

SSL-Status verstehen

Der SSL-Status der Domain ist auf dem SSL-Tab unter Domains & DNS sichtbar. Folgende Status weisen auf ein Problem hin:

Pending

Bedeutung: Die Zertifikatsgenerierung wurde gestartet, ist aber noch nicht abgeschlossen.

Was zu tun ist:

  • Prüfen, ob alle _acme-challenge CNAME-Einträge beim DNS-Anbieter konfiguriert sind
  • Auf die DNS-Propagierung warten (normalerweise wenige Minuten, kann aber bis zu 48 Stunden dauern)
  • smoxy nimmt die Generierung automatisch auf, sobald die DNS-Einträge verifiziert sind

Wenn der Status länger als 1 Stunde bestehen bleibt:

  • Den DNS-Status jedes SANs im SSL-Tab prüfen
  • Nach SANs mit dem DNS-Status „Missing" suchen und diese Einträge korrigieren
  • smoxy versucht es automatisch in zunehmenden Abständen erneut

DNS Missing

Bedeutung: Der erforderliche _acme-challenge CNAME-Eintrag wurde für einen oder mehrere SANs nicht gefunden.

Lösung:

  1. Den erwarteten CNAME-Eintrag prüfen, der in smoxy angezeigt wird

  2. Den Eintrag beim DNS-Anbieter hinzufügen:

    Typ:    CNAME
Name:   _acme-challenge
Ziel:   ihre-org.acme.smoxy.eu  (wie in smoxy angezeigt)

  3. Auf die DNS-Propagierung warten

  4. smoxy überprüft fehlende Einträge jede 1 Stunde und erkennt die Änderung automatisch

DNS Wrong

Bedeutung: Ein CNAME-Eintrag für _acme-challenge existiert, zeigt aber auf das falsche Ziel.

Lösung:

  1. Beim DNS-Anbieter anmelden
  2. Den _acme-challenge CNAME so aktualisieren, dass er auf das in smoxy angezeigte Ziel zeigt
  3. smoxy verifiziert den aktualisierten Eintrag bei der nächsten Prüfung

DNS Duplicate

Bedeutung: Ein TXT-Eintrag für _acme-challenge existiert, der mit dem erforderlichen CNAME-Eintrag kollidiert.

Warum das passiert: Einige DNS-Anbieter oder frühere Konfigurationen haben möglicherweise einen TXT-Eintrag für ACME-Challenges erstellt. smoxy benötigt stattdessen einen CNAME-Eintrag.

Lösung:

  1. Den TXT-Eintrag für _acme-challenge beim DNS-Anbieter entfernen
  2. Sicherstellen, dass nur der CNAME-Eintrag existiert
  3. smoxy erkennt die Änderung bei der nächsten Prüfung

Häufige Szenarien

Cloudflare-Nutzer

Bei Nutzung von Cloudflare als DNS-Anbieter:

  1. Cloudflare-Proxy deaktivieren (orangene Wolke) für den _acme-challenge CNAME-Eintrag
  2. Der Eintrag muss Nur DNS (graue Wolke) sein, damit die ACME-Verifizierung funktioniert
  3. Reguläre Traffic-Einträge können weiterhin den Cloudflare-Proxy verwenden

Detaillierte Anweisungen unter Cloudflare Setup.

Zertifikat erneuert sich nicht automatisch

Automatisch generierte Zertifikate erneuern sich 30 Tage vor Ablauf. Wenn die Erneuerung nicht stattfindet:

  1. DNS-Einträge prüfen — Die _acme-challenge CNAME-Einträge müssen noch vorhanden sein
  2. SAN-DNS-Status prüfen — Im SSL-Tab prüfen, ob alle SANs den DNS-Status „Valid" anzeigen
  3. Rate Limits — Wenn smoxy die Let's Encrypt Rate Limits erreicht hat, wartet es 1 Stunde vor dem nächsten Versuch

INFO

Hinweis: Selbst verwaltete Zertifikate werden niemals automatisch erneuert. Ein Ersatzzertifikat muss manuell hochgeladen werden.

Mehrere Subdomains nicht abgedeckt

Der Standard-Wildcard (*.ihredomain.com) deckt einstufige Subdomains ab. Er deckt nicht ab:

  • Mehrstufige Subdomains wie sub.shop.ihredomain.com
  • Andere Top-Level-Domains

Für diese Fälle kann smoxy zusätzliche SANs hinzufügen. Jeder zusätzliche SAN benötigt seinen eigenen _acme-challenge CNAME-Eintrag.

Zertifikat wird als abgelaufen angezeigt

Wenn das Zertifikat abgelaufen ist:

  • Automatisch verwaltet: Prüfen, ob die _acme-challenge DNS-Einträge noch vorhanden sind. Wenn ja, versucht smoxy eine Erneuerung. Wenn sie entfernt wurden, müssen sie wieder hinzugefügt werden.
  • Selbst verwaltet: Ein neues Zertifikat hochladen. smoxy kann Zertifikate, die es nicht generiert hat, nicht erneuern.

SSL-Generierung schlägt wiederholt fehl

Bei wiederholten Fehlern im SSL-Generierungsprozess:

FehlerUrsacheLösung
CNAME not foundDNS-Eintrag fehltDen erforderlichen CNAME-Eintrag hinzufügen
TXT ACME challenge existsKollidierender TXT-EintragDen TXT-Eintrag entfernen, nur den CNAME behalten
Rate limitZu viele Let's Encrypt-AnfragenAutomatisch — smoxy versucht es nach 1 Stunde erneut
Validation failedDNS-Propagierung nicht abgeschlossenAuf Propagierung warten, smoxy versucht es automatisch erneut
Fetch DNS errorDNS-Anbieter nicht erreichbarVorübergehend — smoxy versucht es automatisch erneut
No SAN errorKeine Subject Alternative Names konfiguriertSupport kontaktieren — SANs sollten automatisch erstellt werden

smoxy verwendet exponentielles Backoff bei Wiederholungsversuchen und erhöht die Wartezeit zwischen den Versuchen, um externe Dienste nicht zu überlasten.

Zertifikatsverifizierung

Um unabhängig zu prüfen, ob das SSL-Zertifikat funktioniert:

Im Browser

  1. Die Domain mit https:// aufrufen
  2. Auf das Schloss-Symbol in der Adressleiste klicken
  3. Die Zertifikatsdetails prüfen:
    • Ausgestellt für die korrekte Domain
    • Gültiger Zeitraum
    • Ausgestellt von der erwarteten CA (Let's Encrypt bei automatisch verwalteten Zertifikaten)

Per Kommandozeile

bash
# Zertifikatsdetails anzeigen
openssl s_client -connect ihredomain.com:443 -servername ihredomain.com < /dev/null 2>/dev/null | openssl x509 -text -noout

# Ablaufdatum des Zertifikats prüfen
echo | openssl s_client -connect ihredomain.com:443 -servername ihredomain.com 2>/dev/null | openssl x509 -noout -dates

Hilfe erhalten

Wenn die Fehlerbehebungsschritte befolgt wurden und das SSL-Problem weiterhin besteht:

  1. Die genauen Statusmeldungen notieren, die in smoxy angezeigt werden
  2. Das Aktivitätsprotokoll (unter Team-Einstellungen) auf SSL-bezogene Ereignisse prüfen
  3. Den smoxy-Support mit Domainnamen und Fehlerdetails kontaktieren