Hallo Liste,

hier läuft seit Jahren ein Web-ReverseProxy mit CertBot für die
Erstellung und Verlängerung von LetsEncrypt-ssl-Zertifikaten. Vor ein
paar Tagen habe ich das System gehoben von Buster auf Bullseye und von
Bullseye auf Bookworm.

Der Server steht selbst auch hinter einem Web-Proxy. Die entsprechenden Verweise sind in /etc/environment eingetragen: http_proxy=http:/192.168.21.3:3128
ftp_proxy=http://192.168.21.3:3128
https_proxy=http://192.168.21.3:3128

Seit dem Upgrade funktioniert der CertBot nicht mehr. Vermutlich erkennt
er die Proxy-Settings nicht:

2025-03-09 01:09:01,775:INFO:certbot.ocsp:OCSP check failed for /etc/letsencrypt/archive/dev.>mydomain>.de/cert3.pem (are we offline?)

Auf dem Porxy kommen keine Requests an.

Eventuell ist das diese Situation: https://github.com/certbot/certbot/issues/9308
Deshalb habe ich mit
systemctl edit certbot.service
eine Referenz auf das Enfironment eingetragen:

[Service]
EnvironmentFile=/etc/environment

Aber das hilft nicht.

Certbot wird aus systemd aufgerufen und läuft m.E. also als root. Ich
erkenne keinen Grund, warum die Umgebungsvariablen nicht greifen.

Certbot ist relativ alt in Bookworn (Version ist 2.1). Python-Pip ist
nicht installiert, also kann ich nicht aktualisieren, und ich bin auch
in Sorge, dass ich mit einem manuellen Upgrade den Debienismus verletzen würde....

Habt Ihr Vorschläge?

Dank und Grüße,


Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, 12 Mar 2025 09:48:32 +0100
boris@cation.de wrote:

hier läuft seit Jahren ein Web-ReverseProxy mit CertBot für die
Erstellung und Verlängerung von LetsEncrypt-ssl-Zertifikaten.
[...]

Certbot ist relativ alt in Bookworn (Version ist 2.1). Python-Pip ist
nicht installiert, also kann ich nicht aktualisieren, und ich bin
auch in Sorge, dass ich mit einem manuellen Upgrade den Debienismus
verletzen würde....

Habt Ihr Vorschläge?

Das Paket ``dehydrated'' nimmt einem sehr viel Arbeit ab. Dazu müsste
man dann die Konfiguration des Webservers einmalig anpassen und einen
cronjob erstellen. Danach gibt es "debianisierte" Updates automatisch
mit dem üblichen Prozedere.
--
Gruss
Frank

-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEE86z15c6qwvuAkhy+zDIN/uu9BloFAmfRcGMACgkQzDIN/uu9 Blr4Qwv9Hkh7/w5YNmyiz3d2KePb6BcVTNWkI1xEVa1uirF58aT3DxbriC6zCYZg QjjHasYILhSrRNMjZ4HGueUC49eb9FQQ063bmHoqdVlJvMWTPmuIU3OpxNHv4tUw HOjMm0KmJNAdWvf/uxxTNIbJ8gKCVwgI+AOVOFCBCJP0VSoKDsmgWGW0qsD9PDWS /OAa5uzASwaasgNDPzfGFjWcjfQmNQV/qRK5Gb4h8gRxfi836ZwhpSat+z7udFzl CGAYYktnzGXXWdyMxFEGcoC0pmRx4eV5J7uZr1iIUnWvST7Sti/arVcbA+TeQF8S ZvJZGiF2dpOcVPukUCFYPu/BevfxCIhykAJ101zff905m8o0SU0jJ4+RZ3J7fqlW fiFWpXFGwfZJASv14xBxYY2I83ZPQwjXMm1PfiJwp9IzG65kYQhBr87g+VMvi2mn qtfWLlQ3pbWZ48nkVTDRykwICRS7OA7cqNpl2Zv4fUadGa/uSIAYTnEcJ7MyweJF
71HqnJX9
=qdkA
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 12.03.25 um 12:30 schrieb Frank Guthausen:

On Wed, 12 Mar 2025 09:48:32 +0100
boris@cation.de wrote:

hier läuft seit Jahren ein Web-ReverseProxy mit CertBot für die
Erstellung und Verlängerung von LetsEncrypt-ssl-Zertifikaten.
[...]

Certbot ist relativ alt in Bookworn (Version ist 2.1). Python-Pip ist
nicht installiert, also kann ich nicht aktualisieren, und ich bin
auch in Sorge, dass ich mit einem manuellen Upgrade den Debienismus
verletzen würde....

Habt Ihr Vorschläge?

Das Paket ``dehydrated'' nimmt einem sehr viel Arbeit ab. Dazu müsste
man dann die Konfiguration des Webservers einmalig anpassen und einen
cronjob erstellen. Danach gibt es "debianisierte" Updates automatisch
mit dem üblichen Prozedere.

Hallo Frank,

danke für Deinen Tipp. Ja, von dehydrated habe ich schon gehört.
Trotzdem würde ich gerne bei der Lösung bleiben, die jahrelang gut
gelaufen ist und die es ja weiterhin gibt. Ich müsste nur verstehen (und bereinigen), warum die Umgebungsvariablen nicht bei der Ausführung eines systemd-Services ziehen. Oder wie ich testen kann, ob das so ist. Dann
wäre der CertBot 'schuldig'.

Morgen werde ich probieren, die Variablen direkt mit systemctl edit certbot.service einzutragen. Die Hoffnung stirbt zuletzt. Den Umbau auf dehydrated würde ich mir gerne ersparen.

Grüße,

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 12.03.25 um 21:49 schrieb Boris:

Am 12.03.25 um 12:30 schrieb Frank Guthausen:

On Wed, 12 Mar 2025 09:48:32 +0100
boris@cation.de wrote:

hier läuft seit Jahren ein Web-ReverseProxy mit CertBot für die
Erstellung und Verlängerung von LetsEncrypt-ssl-Zertifikaten.
[...]

Certbot ist relativ alt in Bookworn (Version ist 2.1). Python-Pip ist
nicht installiert, also kann ich nicht aktualisieren, und ich bin
auch in Sorge, dass ich mit einem manuellen Upgrade den Debienismus
verletzen würde....

Habt Ihr Vorschläge?

Das Paket ``dehydrated'' nimmt einem sehr viel Arbeit ab. Dazu müsste
man dann die Konfiguration des Webservers einmalig anpassen und einen
cronjob erstellen. Danach gibt es "debianisierte" Updates automatisch
mit dem üblichen Prozedere.

Hallo Frank,

danke für Deinen Tipp. Ja, von dehydrated habe ich schon gehört.
Trotzdem würde ich gerne bei der Lösung bleiben, die jahrelang gut
gelaufen ist und die es ja weiterhin gibt. Ich müsste nur verstehen (und bereinigen), warum die Umgebungsvariablen nicht bei der Ausführung eines systemd-Services ziehen. Oder wie ich testen kann, ob das so ist. Dann
wäre der CertBot 'schuldig'.

Morgen werde ich probieren, die Variablen direkt mit systemctl edit certbot.service einzutragen. Die Hoffnung stirbt zuletzt. Den Umbau auf dehydrated würde ich mir gerne ersparen.

Moin zusammen,

weil irgendjemand ein vergleichbares Problem haben könnte, soll die
Lösung hier auch beschrieben werden.

Damit der CertBot (oder letztlich jeder andere systemd-Dienst) die Umgebungsvariablen mitbekommt, können sie mit
# systemctl edit certbot.service
in die Override-Konfiguration eingetragen werden:

[Service]
Environment="http_proxy=http://192.168.21:3128" Environment="ftp_proxy=http://192.168.21.3:3128" Environment="https_proxy=http://192.168.21.3:3128"

Nun macht der CertBot noch andere Späße, aber _diese_ Nuss ist geknackt!

Grüße,


Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 14. März 2025 09:29:07 MEZ schrieb Boris <boris@cation.de>:

Am 12.03.25 um 21:49 schrieb Boris:

Am 12.03.25 um 12:30 schrieb Frank Guthausen:

On Wed, 12 Mar 2025 09:48:32 +0100
boris@cation.de wrote:

hier läuft seit Jahren ein Web-ReverseProxy mit CertBot für die
Erstellung und Verlängerung von LetsEncrypt-ssl-Zertifikaten.
[...]

Certbot ist relativ alt in Bookworn (Version ist 2.1). Python-Pip ist
nicht installiert, also kann ich nicht aktualisieren, und ich bin
auch in Sorge, dass ich mit einem manuellen Upgrade den Debienismus
verletzen würde....

Habt Ihr Vorschläge?

Das Paket ``dehydrated'' nimmt einem sehr viel Arbeit ab. Dazu müsste
man dann die Konfiguration des Webservers einmalig anpassen und einen
cronjob erstellen. Danach gibt es "debianisierte" Updates automatisch
mit dem üblichen Prozedere.

Hallo Frank,

danke für Deinen Tipp. Ja, von dehydrated habe ich schon gehört. Trotzdem würde ich gerne bei der Lösung bleiben, die jahrelang gut gelaufen ist und die es ja weiterhin gibt. Ich müsste nur verstehen (und bereinigen), warum die Umgebungsvariablen

nicht bei der Ausführung eines systemd-Services ziehen. Oder wie ich testen kann, ob das so ist. Dann wäre der CertBot 'schuldig'.

Morgen werde ich probieren, die Variablen direkt mit systemctl edit certbot.service einzutragen. Die Hoffnung stirbt zuletzt. Den Umbau auf dehydrated würde ich mir gerne ersparen.

Moin zusammen,

weil irgendjemand ein vergleichbares Problem haben könnte, soll die Lösung hier auch beschrieben werden.

Damit der CertBot (oder letztlich jeder andere systemd-Dienst) die Umgebungsvariablen mitbekommt, können sie mit
# systemctl edit certbot.service
in die Override-Konfiguration eingetragen werden:

[Service]
Environment="http_proxy=http://192.168.21:3128" >Environment="ftp_proxy=http://192.168.21.3:3128" >Environment="https_proxy=http://192.168.21.3:3128"

Nun macht der CertBot noch andere Späße, aber _diese_ Nuss ist geknackt!

Grüße,

Boris

Hi Boris,

Dein http_proxy Eintrag sieht nicht korrekt aus.

Viele Grüße
Robert

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 14.03.25 um 14:32 schrieb Robert Pommrich:

Am 14. März 2025 09:29:07 MEZ schrieb Boris <boris@cation.de>:

Moin zusammen,

weil irgendjemand ein vergleichbares Problem haben könnte, soll die Lösung hier auch beschrieben werden.

Damit der CertBot (oder letztlich jeder andere systemd-Dienst) die Umgebungsvariablen mitbekommt, können sie mit
# systemctl edit certbot.service
in die Override-Konfiguration eingetragen werden:

[Service]
Environment="http_proxy=http://192.168.21:3128"
Environment="ftp_proxy=http://192.168.21.3:3128"
Environment="https_proxy=http://192.168.21.3:3128"

Nun macht der CertBot noch andere Späße, aber _diese_ Nuss ist geknackt! >>
Grüße,


Boris

Hi Boris,

Dein http_proxy Eintrag sieht nicht korrekt aus.

Viele Grüße
Robert

Moin Robert,

oh, ja, stimmt... Da hab' ich beim (manuellen) Übertrag in die Mail gepatzt.... Auf der Box ist alles richtig.... Naja, so bleibt für den geneigten Leser eine Transferaufgabe! ;-)

Schönen Sonntag,

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)