ACME Zertifikate Verlängerung

wufservice · Beitrag von **wufservice** » Do 18.08.2022, 10:39

Hallo,

ich habe leider im Wiki nichts dazu gefunden:
Werden die ACME Zertifikate von der UTM automatisch verlängert? Wenn ja, wann? Wenn nein, kann man das selbst machen ohne ein neues Zertifikat auszustellen?

Danke im Voraus!

Viele Grüße
Tobias

Beitrag von **Mario** » Do 18.08.2022, 14:45

Moin! Die Zertifikate werden kurz vor Ablauf automatisch verlaengert. Den Zeitraum kann ich aber aktuell nicht genau nennen. Falls es nicht automatisch klappt liegt es meistens daran, das bei der Firewall eine Forward-Zone im Nameserver angelegt wurde, die statt der externen IP der Firewall bei Aufloesung des spdyn-Eintrags die interne IP der Firewall zurueck gibt. In dem Fall die Forward-Zone fuer den Moment entfernen, den Nameserver neu starten und danach den ACME-Dienst stoppen und neu starten.

wufservice · Beitrag von **wufservice** » Do 18.08.2022, 16:41

Ok. Also abwarten bis zum Ablauftermin.
Wäre sicher besser wenn das ganze 30 Tage vorher schon passiert, so hätte man ausreichend Zeit zu reagieren bei Problemen.

Danke für die Info :-)

Beitrag von **Lauritzl** » Mo 22.08.2022, 08:19

Tatsächlich werden ACME-Zertifikate 30 Tage vor Ablauf erneuert.
Die UTM prüft stündlich, ob solche Zertifikate vorliegen.

wufservice · Beitrag von **wufservice** » Mo 22.08.2022, 08:24

Wie erkennt man warum dies nicht erfolgt? Unser Zertifikat läuft am 31.08.2022 ab und wird bisher nicht verlängert.

Update: Habe die UTM einmal neu gestartet und sofort ist das Zertifikat verlängert. Ich hoffe so ist das nicht gedacht ;-)

Beitrag von **Mario** » Mo 22.08.2022, 08:58

Zur Not den ACME-Dienst neu starten. Auch die DNS-Aufloesung koennte das Problem sein. Die Firewall muss man dafuer nicht neu starten.

AlexanderBluemm · Beitrag von **AlexanderBluemm** » Mo 22.08.2022, 09:16

Hallo wufservice,

kann manchmal auch an Let's Encrypt selbst liegen - siehe http-Error 500.

Hier ein Auszug aus dem Protokoll einer SOPHOS UTM.
In diesem Fall hat Let's Encrypt hat seine Bedingungen geändert und denen muss man zustimmen. Dabei scheint bei bestehenden Zertifikaten was schief zu gehen und der Prozess stockt.

Code: Alles auswählen

2022:08:22-08:08:48  letsencrypt[32282]: I Create account: creating new Let's Encrypt acccount
2022:08:22-08:08:48  letsencrypt[32282]: E Create account: Incorrect response code from ACME server: 500
2022:08:22-08:08:48  letsencrypt[32282]: E Create account: URL was: https://acme-v02.api.letsencrypt.org/directory
2022:08:22-08:08:48  letsencrypt[32282]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:08:22-08:08:48  letsencrypt[32282]: E Create account: failed to create account
2022:08:22-08:09:42  letsencrypt[32348]: I Create account: creating new Let's Encrypt acccount
2022:08:22-08:09:42  letsencrypt[32348]: E Create account: Incorrect response code from ACME server: 500
2022:08:22-08:09:42  letsencrypt[32348]: E Create account: URL was: https://acme-v02.api.letsencrypt.org/directory
2022:08:22-08:09:42  letsencrypt[32348]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:08:22-08:09:42  letsencrypt[32348]: E Create account: failed to create account

Grüße
Alex

wufservice · Beitrag von **wufservice** » Mo 22.08.2022, 15:00

Leider gab es nirgends eine Meldung, dass die Verlängerung nicht durchgeführt werden konnte. Alles wurde mit "Grün" angezeigt.
Eine Benachrichtigung dazu von der UTM wäre schön.

Beitrag von **Mario** » Mo 22.08.2022, 15:10

Entsprechende Meldungen werden im Alerting-Center generiert. Beispiel:

16.xx.2022 xx:19:47 Krypto-Daemon (kryptochef) Level 6 - Fehler spDYN meldet ein invalides ACME-Challenge-Token für Zertifikat-ID XXX (hanshorstlXXX.spdns.xxx).
15.xx.2022 xx:45:25 Krypto-Daemon (kryptochef) Level 3 - Notiz ACME Zertifikat mit ID xxx für Hostnamen horstlhuberXXX.spdns.xxx wurde neu ausgestellt.

wufservice · Beitrag von **wufservice** » Mo 22.08.2022, 15:15

Leider sehe ich dazu nichts:
https://postimg.cc/8JYxWZw8

Er hat ja heute das Zertifikat verlängert, da sollte man ja etwas sehen eigentlich.

Beitrag von **Mario** » Mo 22.08.2022, 15:18

Das ist komisch... Zur Not ein Supportticket aufmachen.

Torben Andresen · Beitrag von **Torben Andresen** » Di 23.08.2022, 16:55

Vom Support wurde mir mal gesagt das es in der UTM ein bekanntes Problem gibt mit dem automatischen verlängern. Das sollte sich aber mit einer der nächsten Versionen erledigt haben.

Beitrag von **Mario** » Do 25.08.2022, 09:19

Im Normalfall bricht es nur, wenn man eine Forward-Zone/ Relay auf der UTM angelegt hat, welcher dann beim Aufloesen des SPDYN-Hostnamen dafuer sorgt, das nicht die externe IP der UTM aufgeloest wird, sondern z.B. die Interne IP der UTM. Oder der in der Firewall hinterlegte DNS-Server hat Probleme...

Wir schauen, ob wir dafuer eine Loesung implementieren koennen. Prinzipiell ist das jedoch ein Konfigurationsproblem.

wufservice · Beitrag von **wufservice** » Mo 05.09.2022, 11:32

Das ist bei uns nicht der Fall.
Der Support hat bisher auch keine Idee. Ich soll mich wieder melden wenn das Zertifikat kurz vorm auslaufen ist.

Steffen-VM · Beitrag von **Steffen-VM** » So 23.04.2023, 17:05

Bei uns ist genau das Problem von Mario der fall, wir haben einen Forword-Zone angelegt. Wie kann ich das den jetzt irgendwie Automatisieren? Eben war die Lösung einfach kurz den Nameserver Dienst zu deaktivieren und den ACME Dienst neu zu starten.

Beitrag von **Mario** » Mo 24.04.2023, 09:01

Eine Loesung fuer das genannte Problem wird kommen, dann kann man im ACME alternative DNS-Server eintragen.

@wufservice: Was fuer Nameserver sind bei Ihnen in den Servereinstellungen hinterlegt. Sonst, wie schon angesprochen, bitte ein Ticket eroeffnen

wufservice · Beitrag von **wufservice** » Mo 24.04.2023, 09:12

Bei uns klappt inzwischen alles. Wahrscheinlich hatte wirklich der Dienst nur einen Hänger.

Beitrag von **Mario** » Mo 24.04.2023, 09:16

Freut mich