CentOS 7 SSL nginx error mailserver

Mijn vraag
...
Ik heb al enige tijd een VPS server waar ik een 50-70 sites op host.
Nu is alleen gisteren mijn SSL certificaat verlopen maar ik krijg hem niet vernieuwd (openssl x509)
Deze wordt gebruikt om de email met SSL te beveiligen.

Kan deze gewoon uit dat mensen hun eigen SSL krijgen (let's encrypt) of hoe kan ik deze vernieuwen (dat mensen de naam van de server als mailserver neerzetten)

Relevante software en hardware die ik gebruik
...
CentOS 7

Wat ik al gevonden of geprobeerd heb
...
Nieuw certificaat aangemaakt, openssl opnieuw geinstalleerd, nieuw certificaat gekopieerd naar de plek en hernoemd (maar dan start httpd niet op).

Wie kan mij helpen?
Meer info kan ook via PB
Vergoeding in overleg

Paul schreef op dinsdag 5 juni 2018 @ 20:35:
[...]
Dat is dus niet de bedoeling hier...

Als je cert -verlopen- is kun je het inderdaad niet -vernieuwen-. Wel kun je het -vervangen- door een nieuw. Lees ik het goed dat je nu een self-signed certificaat hebt gemaakt? Of heb je een private key en een Certificate Signing Request gemaakt en die CSR opgestuurd naar een widely trusted CA om deze te signen?

Wat staat er in de logging van httpd als deze niet opstart?

Excuses, is doorgestreept nu.

Het is self-signed via Let's Encrypt.

httpd geeft (na certificaat kopiëren):
Jun 05 20:39:01 vps.domein.ext kill[8616]: kill: cannot find process ""
Jun 05 20:39:01 vps.domein.ext systemd[1]: httpd.service: control process exited, code=exited status=1
Jun 05 20:39:01 vps.domein.ext systemd[1]: Failed to start The Apache HTTP Server.
Jun 05 20:39:01 vps.domein.ext systemd[1]: Unit httpd.service entered failed state.
Jun 05 20:39:01 vps.domein.ext systemd[1]: httpd.service failed.
Hint: Some lines were ellipsized, use -l to show in full.

certbot renew doet niets:
[root@vps /]# certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

No renewals were attempted.

canonball schreef op dinsdag 5 juni 2018 @ 20:46:
[...]


httpd is toch apache? in de titel meld je nginx

Klopt, maar (ik weet niet hoe ik het voor elkaar heb gekregen) staat het certificaat in /etc/httpd/conf/ssl.crt/server.crt

XWB schreef op dinsdag 5 juni 2018 @ 20:50:
Je moet nginx na het vernieuwen van de certificaten herstarten, anders blijven de oude uitgestuurd worden.

Klopt, al gedaan..

canonball schreef op dinsdag 5 juni 2018 @ 20:50:
[...]

Het mag daar best wel staan, als je in nginx maar na die plek verwijst, en... dan nginx restart en httpd gewoon uit laat/stopt

Yups.. ook al gedaan..

XWB schreef op dinsdag 5 juni 2018 @ 20:58:
Laat eens een stukje nginx configuratie zien. Met name het stuk met het pad naar je certificaat.

In mn nginx-vhost:
ssl on;
ssl_certificate /etc/httpd/conf/ssl.crt/server.crt.combined;
ssl_certificate_key /etc/httpd/conf/ssl.key/server.key;

DukeBox schreef op dinsdag 5 juni 2018 @ 20:59:
[...]

Dat kan niet.. het is óf self-signed óf signed door LE.

Klopt, is via LE gegaan ipv self signed.

ikvanwinsum schreef op woensdag 6 juni 2018 @ 14:38:
[...]

Dat betekent vaak dat je certificaten nog niet bijna verlopen zijn. Probeer eens

code:

1	sudo certbot certificates

Dat commando laat zien welke certificaten momenteel op het systeem staan. Zoiets krijg je dan als het goed is te zien:

code:

1 2 3 4 5

Certificate Name: voorbeeld.nl Domains: voorbeeld.nl Expiry Date: 2018-09-01 11:11:11+00:00 (VALID: 86 days) Certificate Path: /etc/letsencrypt/live/voorbeeld.nl/fullchain.pem Private Key Path: /etc/letsencrypt/live/voorbeeld.nl/privkey.pem

Hier kun je een paar dingen controleren:

• of er uberhaupt een certificaat voor je domein bestaat
• of het certificaat al dan niet verlopen is
• waar het certificaat en de private key staan

Zorg dus ook dat de locatie het certificaat en de private key overeenkomen met de configuratie in nginx.

Helaas noppes..


Ga deze week naar een managed partij, scheelt me veel werk waar de tijd steeds meer aan gaat ontbreken..