PBS ACME order kann nicht abgeschlossen werden

Y

yoshiio

New Member
Feb 6, 2025
4
0
1
Hallo zusammen,

ich kämpfe gerade mit ACME-Zertifikaten auf einem Proxmox Backup Server (PBS). Hintergrund kurz:
  • Infrastruktur: Proxmox VE Cluster (3 Nodes) + PBS in einer VM
  • Externe CA: existiert und funktioniert bei den Proxmox-Nodes (ACME‑Zertifikate werden angefordert und automatisch erneuert).
  • Problem: ACME auf PBS klappt nicht.
Wenn ich via ACME ein Zertifikat bei unserer CA anfordere kommt folgende Meldung:

Code: 
2025-11-19T09:26:34+01:00: Placing ACME order
2025-11-19T09:26:36+01:00: Order URL: entfernt
2025-11-19T09:26:36+01:00: Getting authorization details from 'entfernt
2025-11-19T09:26:36+01:00: server@domain.de is already validated!
2025-11-19T09:26:36+01:00: All domains validated
2025-11-19T09:26:36+01:00: Creating CSR
2025-11-19T09:26:39+01:00: order is ready, finalizing
2025-11-19T09:26:48+01:00: skipping disabled target 'mail-to-root'
2025-11-19T09:26:48+01:00: TASK ERROR: connection closed before message completed

Für den "Übergang" wollte ich es mit LetsEncrypt einrichten, mit ähnlichem Erfolg... keinem. Da erhalte ich folgende Meldung:
Code: 
2025-11-19T09:31:11+01:00: Placing ACME order
2025-11-19T09:31:12+01:00: Order URL: https://acme-v02.api.letsencrypt.org/acme/order/.......
2025-11-19T09:31:12+01:00: Getting authorization details from 'https://acme-v02.api.letsencrypt.org/.........'
2025-11-19T09:31:12+01:00: The validation for server.server.de is pending
2025-11-19T09:31:12+01:00: Setting up validation plugin
2025-11-19T09:31:14+01:00: [Wed Nov 19 09:31:14 CET 2025] Getting existing records for _acme-challenge.server@domain.de

2025-11-19T09:31:15+01:00: [Wed Nov 19 09:31:15 CET 2025] TXT record updated successfully.

2025-11-19T09:31:16+01:00: Sleeping 30 seconds to wait for TXT record propagation
2025-11-19T09:31:46+01:00: Triggering validation
2025-11-19T09:31:46+01:00: Sleeping for 5 seconds
2025-11-19T09:31:51+01:00: Status is still 'pending', trying again in 10 seconds
2025-11-19T09:32:03+01:00: [Wed Nov 19 09:32:03 CET 2025] Getting existing records for _acme-challenge.server@domain.de

2025-11-19T09:32:04+01:00: [Wed Nov 19 09:32:04 CET 2025] TXT record deleted successfully.

2025-11-19T09:32:05+01:00: skipping disabled target 'mail-to-root'
2025-11-19T09:32:05+01:00: TASK ERROR: validating challenge 'https://acme-v02.api.letsencrypt.org/acme/chall/......' failed - status: Invalid

Ich habe wenig Erfahrung mit Zertifikaten und ACME und hoffe auf etwas Hilfe/Input.
Danke vorab für jeden Tipp!
 
Last edited:
welche externe CA (Software) is im Einsatz?
 
fabian said:
welche externe CA (Software) is im Einsatz?
Click to expand...
die CA ist Harica https://www.harica.gr/ eingerichtet über die CLI (PVE: pvenode acme account register) und (PBS via proxmox-backup-manager acme account register) PVE funktioniert problemlos.

Code: 
ls -l /etc/ssl/certs
HARICA_TLS_ECC_Root_CA_2021.pem
HARICA_TLS_RSA_Root_CA_2021.pem
Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
 
Last edited:
danke! das ist bereits der zweite report diese woche mit problemen mit dieser CA, scheinbar macht die irgendetwas speziell was unser Rust-basierter ACME Client nicht mag..
 
fabian said:
danke! das ist bereits der zweite report diese woche mit problemen mit dieser CA, scheinbar macht die irgendetwas speziell was unser Rust-basierter ACME Client nicht mag..
Click to expand...
okay klingt als wenn ich erstmal nicht alles falsch gemacht habe... gibt es grundsätzlich die Möglichkeit eine Art Verbose Mode beim ACME Antrag über die CLI auszuführen bzw gibt es logs die ich mir ansehen kann? TASK ERROR: connection closed before message completed ist jetzt irgendwie nicht so Aussagekräfitg.
 
der ACME code laeuft im server, du muesstest dafuer (global!) debug logging einschalten und dann nochmal den Zertifikatsrefresh ausfuehren.. dann sollten im Task log mehr infos von der HTTP bibliothek stehen die wir verwenden:

Code: 
$ systemctl edit proxmox-backup.serviceA
[Service]
Environment=PBS_LOG=trace

dann

Code: 
systemctl restart proxmox-backup

dann cert bestellen, log extrahieren und hier posten und den edit wieder rueckgaengig machen und proxmox-backup wieder neustarten ;)
 
You must log in or register to reply here.
Top Bottom