Behebung von ACME-Fehlern bei der Ausstellung eines SSL-Zertifikats

Wenn Sie HTTPS für einen virtuellen Host aktivieren, fordert das BeAdmin-Panel ein SSL-Zertifikat von Let's Encrypt an und fügt es in die Nginx-Konfiguration ein. Die Anfrage läuft über das ACME-Protokoll — den öffentlichen Standard für die automatische Zertifikatsausstellung.

Zur Ausstellung muss Let's Encrypt prüfen, dass Ihnen die Domain tatsächlich gehört. Dafür sendet Let's Encrypt eine Prüfanfrage von der öffentlichen Seite an die Domain — sind DNS, Nginx oder die Netzwerkports nicht korrekt konfiguriert, schlägt die Prüfung fehl, und das Panel meldet einen Fehler.

HTTPS aktivieren

HTTPS wird über den Schalter «HTTPS verwenden (Port 443)» beim Erstellen oder Bearbeiten eines virtuellen Hosts aktiviert — das Panel fordert das Zertifikat sofort an. Mehr zum Formular für virtuelle Hosts im Artikel Nginx. Arbeiten mit virtuellen Hosts, zum Ablauf der Ausstellung und zur manuellen Neuausstellung im Artikel Ausstellung eines SSL-Zertifikats. Dieser Artikel ist ein Nachschlagewerk für konkrete Fehlermeldungen.

Lässt sich das Zertifikat nicht ausstellen, zeigt das Panel eine ausführliche Fehlermeldung. Die konkreten Meldungen und das Vorgehen dazu finden Sie unten.

Fehlermeldungen

Die folgenden Meldungen zeigt das Panel bei einem Fehler bei der Ausstellung. Zu jeder: was auf der Let's-Encrypt-Seite passiert ist und was zu beheben ist.

Keine DNS-Einträge für die Domain

SSL-Zertifikat konnte nicht ausgestellt werden: DNS-Einträge für die Domain nicht gefunden.

Let's Encrypt hat zum Domainnamen überhaupt keine DNS-Einträge gefunden — entweder ist die Domain nicht an die DNS-Server des Anbieters delegiert, oder die Einträge wurden noch nicht angelegt.

Was zu tun ist:

1. Prüfen Sie, ob die Domain an die DNS-Server Ihres Registrars oder Anbieters delegiert ist.
2. Legen Sie einen A- oder AAAA-Eintrag an, der auf die IP-Adresse des Servers zeigt. Zur Konfiguration von DNS siehe DNS-Einträge für den Mailserver konfigurieren (der Abschnitt zum A-Eintrag gilt für jede Website).
3. Warten Sie, bis sich die Änderungen verbreitet haben (in der Regel einige Minuten, manchmal bis zu einer Stunde), und stellen Sie das Zertifikat erneut aus.

Fehlende A- oder AAAA-Einträge

SSL-Zertifikat konnte nicht ausgestellt werden: A- oder AAAA-DNS-Einträge für die Domain nicht gefunden.

Die Domain hat einige DNS-Einträge (zum Beispiel MX oder TXT), aber keinen A-Eintrag (IPv4) oder AAAA-Eintrag (IPv6). Ohne diese weiß Let's Encrypt nicht, an welche IP die Anfrage gehen soll.

Was zu tun ist:

1. Fügen Sie einen A-Eintrag mit der IP-Adresse Ihres Servers hinzu, oder einen AAAA-Eintrag, falls Sie IPv6 nutzen.
2. Warten Sie auf die Verbreitung und wiederholen Sie die Ausstellung.

DNS-Verweis auf einen anderen Server

SSL-Zertifikat konnte nicht ausgestellt werden: DNS-Einträge verweisen auf einen anderen Server.

Es gibt einen A- oder AAAA-Eintrag, doch er führt nicht zu dem Server, auf dem BeAdmin läuft. Die Anfrage von Let's Encrypt erreichte eine andere IP, und die Eigentumsprüfung scheiterte.

Was zu tun ist:

1. Vergleichen Sie die im Panel angezeigte IP-Adresse des Servers mit dem A-Eintrag der Domain.
2. Korrigieren Sie den A-Eintrag bei Ihrem Registrar oder DNS-Anbieter. Ist der Eintrag korrekt, aber erst kürzlich angelegt — warten Sie auf die Verbreitung.
3. Falls Sie einen Proxy nutzen (zum Beispiel Cloudflare), deaktivieren Sie das Proxying für die Dauer der Ausstellung — in Cloudflare schalten Sie die Wolke von Orange auf Grau.

Endlosschleife bei der Überprüfung

SSL-Zertifikat konnte nicht ausgestellt werden: Endlosschleife bei der Überprüfung der Domaininhaberschaft.

Der Server antwortet Let's Encrypt mit einer Kette von Weiterleitungen, die in einer Schleife endet. Am häufigsten passiert dies, wenn Nginx HTTP auf HTTPS umleitet, aber noch kein HTTPS-Zertifikat vorhanden ist — Let's Encrypt kann die Prüfung über http:// nicht abschließen.

Was zu tun ist:

1. Entfernen Sie vorübergehend die erzwungene Weiterleitung von HTTP auf HTTPS auf der Site- oder CMS-Seite.
2. Warten Sie auf die erfolgreiche Ausstellung des Zertifikats und stellen Sie die Weiterleitung danach wieder her.
3. Wird die Weiterleitung von einem CDN oder externen Proxy ausgeführt — deaktivieren Sie sie während der Ausstellung.

Let's-Encrypt-Limit überschritten

Zu viele Anfragen zur Ausstellung eines SSL-Zertifikats.

Zu viele Anfragen für ein SSL-Zertifikat, nächster Versuch in {diff} ({human}).

Let's Encrypt begrenzt die Zahl der Ausstellungen pro Domain pro Woche — das Limit gilt für die Domain und ihre Subdomains gemeinsam. Am häufigsten landet man hier, wenn mehrere Ausstellungsversuche hintereinander erfolgen, ohne die ursprüngliche Ursache zu beheben.

Was zu tun ist:

1. Warten Sie, bis das Limit aufgehoben wird. Ist in der Meldung eine konkrete Zeit angegeben — orientieren Sie sich daran; andernfalls warten Sie bis zu 7 Tage.
2. Vor einem erneuten Versuch sicherstellen, dass DNS, Port 80 und Weiterleitungen korrekt konfiguriert sind — ein weiterer Fehlschlag setzt den Timer zurück.
3. Wenn die Site dringend HTTPS benötigt, verwenden Sie vorübergehend ein Zertifikat einer anderen Zertifizierungsstelle oder schalten Sie die Site auf HTTP um.

Port 80 geschlossen oder belegt

SSL-Zertifikat konnte nicht ausgestellt werden: Port 80 auf dem Server ist geschlossen oder von einem anderen Dienst belegt.

Let's Encrypt prüft die Domaininhaberschaft über das Protokoll HTTP-01: Eine Prüfanfrage geht an den Server auf Port 80. Ist dieser Port durch eine Firewall blockiert, von einem anderen Prozess belegt oder umgeleitet — schlägt die Prüfung fehl.

Was zu tun ist:

1. Öffnen Sie Port 80 in der Firewall des Servers und beim Hosting-Anbieter.
2. Prüfen Sie, dass Nginx auf Port 80 lauscht — das ist das Standardverhalten von BeAdmin.
3. Läuft auf Port 80 ein anderer Dienst — geben Sie ihn frei; während der Ausstellung benötigt Nginx den Port.

Zeitüberschreitung bei der Überprüfung

SSL-Zertifikat konnte nicht ausgestellt werden: Let's Encrypt hat innerhalb der vorgesehenen Zeit keine Antwort vom Server erhalten.

Die Anfrage von Let's Encrypt erreichte den Server, doch der Server antwortete nicht innerhalb der vorgesehenen Zeit — typisch für einen überlasteten Server, ein langsames Netzwerk oder ein externes Routing-Problem.

Was zu tun ist:

1. Warten Sie einige Minuten und wiederholen Sie die Ausstellung.
2. Prüfen Sie, ob der Server über HTTP von einem anderen Gerät antwortet — zum Beispiel mit dem Befehl curl http://yourdomain.com/.well-known/acme-challenge/test.
3. Bleibt das Problem bestehen — wenden Sie sich an Ihren Hosting-Anbieter.

Ungültige Antwort bei der Überprüfung

SSL-Zertifikat konnte nicht ausgestellt werden: Der Server lieferte eine ungültige Antwort bei der Überprüfung der Domaininhaberschaft.

Der Server hat Let's Encrypt geantwortet, doch die Antwort enthielt nicht den erwarteten Inhalt. Am häufigsten passiert dies, wenn der virtuelle Host Anfragen an /.well-known/acme-challenge/ abfängt — zum Beispiel über WordPress, einen CMS-Router oder eine allgemeine Location /.

Was zu tun ist:

1. Stellen Sie sicher, dass der virtuelle Host in BeAdmin über das Standardformular angelegt wurde — das Panel fügt die nötige Location für ACME automatisch hinzu.
2. Wenn Sie eigene Regeln in der Nginx-Konfiguration eingetragen haben — prüfen Sie, dass /.well-known/acme-challenge/ davon nicht blockiert wird.
3. Deaktivieren Sie CMS-Sicherheits-Plugins, die unbekannte URLs abfangen.

Sperrung durch CAA-Eintrag

SSL-Zertifikat konnte nicht ausgestellt werden: Ein CAA-Eintrag der Domain verbietet die Ausstellung über Let's Encrypt.

Die Domain hat einen CAA-Eintrag, der die Liste der Zertifizierungsstellen einschränkt, die Zertifikate ausstellen dürfen. Steht Let's Encrypt nicht auf dieser Liste — wird die Ausstellung auf DNS-Ebene blockiert.

Was zu tun ist:

1. Prüfen Sie die CAA-Einträge der Domain — zum Beispiel mit dem Befehl dig +short CAA yourdomain.com.
2. Fügen Sie einen CAA-Eintrag mit letsencrypt.org hinzu oder entfernen Sie die einschränkenden Einträge, falls Sie sie nicht benötigen.
3. Warten Sie auf die Verbreitung und wiederholen Sie die Ausstellung.

Sonstiger Let's-Encrypt-Fehler

SSL-Zertifikat konnte aufgrund eines Let's-Encrypt-Fehlers nicht ausgestellt werden.

Let's Encrypt hat einen Fehler zurückgegeben, für den das Panel noch keine spezielle Behandlung hat. In der Meldung wird ein allgemeiner Text angezeigt; eine ausführliche Beschreibung finden Sie in den Server-Logs.

Was zu tun ist:

1. Öffnen Sie das Log von BeAdmin — der genaue Text des Fehlers von Let's Encrypt hilft, die Ursache zu erkennen.
2. Gleichen Sie die Meldung mit dem aktuellen Let's-Encrypt-Status ab — manchmal hängt der Fehler an der Nichtverfügbarkeit der CA, nicht an Ihrem Server.
3. Lässt sich die Ursache nicht klären — wenden Sie sich an den Support und legen Sie den Text aus dem Log bei.

Weiterführende Links

• Nginx. Arbeiten mit virtuellen Hosts
• Ausstellung eines SSL-Zertifikats
• DNS-Einträge für den Mailserver konfigurieren
• Let's-Encrypt-Dokumentation zu Rate-Limits
• Dokumentation zum ACME-Protokoll (RFC 8555)