[Eisfair] Certs_dehydrated dns-01 challenge mit Cloudflare

Christian Richter christian at richter-ch.de
Mi Nov 4 16:51:20 CET 2020 

Am 04.11.20 um 15:31 schrieb Juergen Edner:

> warum leicht wenn es auch kompliziert geht :-(
> 
> Das genannte Skript is essentiell für die korrekte Konfiguration
> des Paketes und darf AUF KEINEN FALL modifiziert werden!
> 
> Die Schnittstelle für den Hook-Aufruf externer Skripte ist EINZIG
> die Konfigurationsdatei in welcher die folgenden Parameter gesetzt
> werden müssen:
> 
> DEHYDRATED_HOOK_CMD_x_ACTIVE
> DEHYDRATED_HOOK_CMD_x_TYPE
> DEHYDRATED_HOOK_CMD_x_EXEC
> DEHYDRATED_HOOK_CMD_1_OPTIONS
> 
>> Leider hänge ich jetzt nachdem ich die Konfiguration speicher und 
>> aktivere hier:
> 
> Klar, wenn man an den Skripten herumdoktert kann dies nur schief
> gehen ;-)
> 

Das habe ich auch nur ausprobiert, weil sonst die Authentifizierung an 
Cloudflare fehlschlägt und es nun mal einfach so aussah als ob meine 
hook nicht mal angetastet wurde.


> Wie sieht genau der curl-Aufruf in Deinem Skript aus? Du musst sicher 
> stellen, dass der Befehl gegebenenfalls den Zertifikatspfad 
> /usr/local/ssl/certs kennt und darüber hinaus die Zertifikatskette zum 
> Zielserver korrekt geprüft werden kann. Dazu ist es erforderlich dass 
> sich das benötigte Root- und gegebenenfalls die erforderlichen 
> Zwischenzertifikate auf dem Server befinden. Mit Hilf des Skriptes 
> "certs-show-chain" kannst Du dies prüfen.


Hier ist ein Auszug aus dem Script, mit dem Curl aufruf


dosenbrot # perl certs-download-mozilla-ca-bundle.pl
SHA256 of old file: 0
Downloading certdata.txt ...
Get certdata with curl!
   % Total    % Received % Xferd  Average Speed   Time    Time     Time 
  Current
                                  Dload  Upload   Total   Spent    Left 
  Speed
   0     0    0     0    0     0      0      0 --:--:-- --:--:-- 
--:--:--     0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
Failed downloading via HTTPS with curl
Falling back to HTTP
URLs other than HTTPS are disabled by default, to enable use -k
dosenbrot #



Ich setze für diese Hook dises Script von hier ein:
https://github.com/sineverba/cfhookbash



Gruß Christian

Mehr Informationen über die Mailingliste Eisfair