ACME Zertifikate Verlängerung
Moderator: Securepoint
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
ACME Zertifikate Verlängerung
Hallo,
ich habe leider im Wiki nichts dazu gefunden:
Werden die ACME Zertifikate von der UTM automatisch verlängert? Wenn ja, wann? Wenn nein, kann man das selbst machen ohne ein neues Zertifikat auszustellen?
Danke im Voraus!
Viele Grüße
Tobias
ich habe leider im Wiki nichts dazu gefunden:
Werden die ACME Zertifikate von der UTM automatisch verlängert? Wenn ja, wann? Wenn nein, kann man das selbst machen ohne ein neues Zertifikat auszustellen?
Danke im Voraus!
Viele Grüße
Tobias
Moin! Die Zertifikate werden kurz vor Ablauf automatisch verlaengert. Den Zeitraum kann ich aber aktuell nicht genau nennen. Falls es nicht automatisch klappt liegt es meistens daran, das bei der Firewall eine Forward-Zone im Nameserver angelegt wurde, die statt der externen IP der Firewall bei Aufloesung des spdyn-Eintrags die interne IP der Firewall zurueck gibt. In dem Fall die Forward-Zone fuer den Moment entfernen, den Nameserver neu starten und danach den ACME-Dienst stoppen und neu starten.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Ok. Also abwarten bis zum Ablauftermin.
Wäre sicher besser wenn das ganze 30 Tage vorher schon passiert, so hätte man ausreichend Zeit zu reagieren bei Problemen.
Danke für die Info :-)
Wäre sicher besser wenn das ganze 30 Tage vorher schon passiert, so hätte man ausreichend Zeit zu reagieren bei Problemen.
Danke für die Info :-)
Tatsächlich werden ACME-Zertifikate 30 Tage vor Ablauf erneuert.
Die UTM prüft stündlich, ob solche Zertifikate vorliegen.
Die UTM prüft stündlich, ob solche Zertifikate vorliegen.
Mit freundlichen Grüßen
Lauritz Laatzen
Support / Wiki
Tel. 04131/2401-0 ◦ Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28 ◦ D-21337 Lüneburg
Lauritz Laatzen
Support / Wiki
Tel. 04131/2401-0 ◦ Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28 ◦ D-21337 Lüneburg
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Wie erkennt man warum dies nicht erfolgt? Unser Zertifikat läuft am 31.08.2022 ab und wird bisher nicht verlängert.
Update: Habe die UTM einmal neu gestartet und sofort ist das Zertifikat verlängert. Ich hoffe so ist das nicht gedacht ;-)
Update: Habe die UTM einmal neu gestartet und sofort ist das Zertifikat verlängert. Ich hoffe so ist das nicht gedacht ;-)
Zur Not den ACME-Dienst neu starten. Auch die DNS-Aufloesung koennte das Problem sein. Die Firewall muss man dafuer nicht neu starten.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
- AlexanderBluemm
- Beiträge: 4
- Registriert: Fr 19.08.2022, 11:27
- Kontaktdaten:
Hallo wufservice,
kann manchmal auch an Let's Encrypt selbst liegen - siehe http-Error 500.
Hier ein Auszug aus dem Protokoll einer SOPHOS UTM.
In diesem Fall hat Let's Encrypt hat seine Bedingungen geändert und denen muss man zustimmen. Dabei scheint bei bestehenden Zertifikaten was schief zu gehen und der Prozess stockt.
Grüße
Alex
kann manchmal auch an Let's Encrypt selbst liegen - siehe http-Error 500.
Hier ein Auszug aus dem Protokoll einer SOPHOS UTM.
In diesem Fall hat Let's Encrypt hat seine Bedingungen geändert und denen muss man zustimmen. Dabei scheint bei bestehenden Zertifikaten was schief zu gehen und der Prozess stockt.
Code: Alles auswählen
2022:08:22-08:08:48 letsencrypt[32282]: I Create account: creating new Let's Encrypt acccount
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: Incorrect response code from ACME server: 500
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: URL was: https://acme-v02.api.letsencrypt.org/directory
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: failed to create account
2022:08:22-08:09:42 letsencrypt[32348]: I Create account: creating new Let's Encrypt acccount
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: Incorrect response code from ACME server: 500
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: URL was: https://acme-v02.api.letsencrypt.org/directory
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: failed to create account
Alex
Mit freundlichen Grüßen
Alexander Blümm
Projektleiter Netzwerke
IT-B3 GmbH
Gut Wöllried 11
97228 Rottendorf
Telefon 0931-809983-14
Telefax 0931-809983-20
Email alexander.bluemm@it-b3.de
HRB 13084
Geschäftsführer: Sebastian Heimbeck
Alexander Blümm
Projektleiter Netzwerke
IT-B3 GmbH
Gut Wöllried 11
97228 Rottendorf
Telefon 0931-809983-14
Telefax 0931-809983-20
Email alexander.bluemm@it-b3.de
HRB 13084
Geschäftsführer: Sebastian Heimbeck
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Leider gab es nirgends eine Meldung, dass die Verlängerung nicht durchgeführt werden konnte. Alles wurde mit "Grün" angezeigt.
Eine Benachrichtigung dazu von der UTM wäre schön.
Eine Benachrichtigung dazu von der UTM wäre schön.
Entsprechende Meldungen werden im Alerting-Center generiert. Beispiel:
16.xx.2022 xx:19:47 Krypto-Daemon (kryptochef) Level 6 - Fehler spDYN meldet ein invalides ACME-Challenge-Token für Zertifikat-ID XXX (hanshorstlXXX.spdns.xxx).
15.xx.2022 xx:45:25 Krypto-Daemon (kryptochef) Level 3 - Notiz ACME Zertifikat mit ID xxx für Hostnamen horstlhuberXXX.spdns.xxx wurde neu ausgestellt.
16.xx.2022 xx:19:47 Krypto-Daemon (kryptochef) Level 6 - Fehler spDYN meldet ein invalides ACME-Challenge-Token für Zertifikat-ID XXX (hanshorstlXXX.spdns.xxx).
15.xx.2022 xx:45:25 Krypto-Daemon (kryptochef) Level 3 - Notiz ACME Zertifikat mit ID xxx für Hostnamen horstlhuberXXX.spdns.xxx wurde neu ausgestellt.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Leider sehe ich dazu nichts:
https://postimg.cc/8JYxWZw8
Er hat ja heute das Zertifikat verlängert, da sollte man ja etwas sehen eigentlich.
https://postimg.cc/8JYxWZw8
Er hat ja heute das Zertifikat verlängert, da sollte man ja etwas sehen eigentlich.
Das ist komisch... Zur Not ein Supportticket aufmachen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 17
- Registriert: Fr 01.10.2021, 08:53
Vom Support wurde mir mal gesagt das es in der UTM ein bekanntes Problem gibt mit dem automatischen verlängern. Das sollte sich aber mit einer der nächsten Versionen erledigt haben.
Im Normalfall bricht es nur, wenn man eine Forward-Zone/ Relay auf der UTM angelegt hat, welcher dann beim Aufloesen des SPDYN-Hostnamen dafuer sorgt, das nicht die externe IP der UTM aufgeloest wird, sondern z.B. die Interne IP der UTM. Oder der in der Firewall hinterlegte DNS-Server hat Probleme...
Wir schauen, ob wir dafuer eine Loesung implementieren koennen. Prinzipiell ist das jedoch ein Konfigurationsproblem.
Wir schauen, ob wir dafuer eine Loesung implementieren koennen. Prinzipiell ist das jedoch ein Konfigurationsproblem.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Das ist bei uns nicht der Fall.
Der Support hat bisher auch keine Idee. Ich soll mich wieder melden wenn das Zertifikat kurz vorm auslaufen ist.
Der Support hat bisher auch keine Idee. Ich soll mich wieder melden wenn das Zertifikat kurz vorm auslaufen ist.
-
- Beiträge: 52
- Registriert: Mi 19.04.2017, 10:21
Bei uns ist genau das Problem von Mario der fall, wir haben einen Forword-Zone angelegt. Wie kann ich das den jetzt irgendwie Automatisieren? Eben war die Lösung einfach kurz den Nameserver Dienst zu deaktivieren und den ACME Dienst neu zu starten.
Eine Loesung fuer das genannte Problem wird kommen, dann kann man im ACME alternative DNS-Server eintragen.
@wufservice: Was fuer Nameserver sind bei Ihnen in den Servereinstellungen hinterlegt. Sonst, wie schon angesprochen, bitte ein Ticket eroeffnen
@wufservice: Was fuer Nameserver sind bei Ihnen in den Servereinstellungen hinterlegt. Sonst, wie schon angesprochen, bitte ein Ticket eroeffnen
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Bei uns klappt inzwischen alles. Wahrscheinlich hatte wirklich der Dienst nur einen Hänger.
Freut mich
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de