Wildcard Zertifikate erneuern schlägt fehl

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Michael Schürle
Beiträge: 9
Registriert: Mi 21.11.2018, 11:43

Wildcard Zertifikate erneuern schlägt fehl

Beitrag von Michael Schürle »

Hallo zusammen,

ich versuche gerade, ein ausgelaufenes Wildcard-Zertifikat (*.<domain>.de) auf der UTM zu erneuern. Dies schlägt fehl mit der Fehlermeldung:
UNIQUE constraint failed: x509.x509_subject_key_identifier

Das alte Zertifikat war korrekt importiert (die CAs von GoDaddy sind vorhanden und das Zertifkat wurde als Kombi von .crt und .key in einer Datei importiert).
Ich versuche nun über Authentifizierung -> Zertifikate -> Karteireiter "Zertifikate" -> Button "Zertifikat importieren" ein Zertifikat (wieder mit .key in einer Datei) zu importieren. Dies schlägt sofort mit o.a. Fehlermeldung fehl. Ich tippe mal, dass sich die Firewall daran stört, dass bereits ein (abgelaufenes) Zertifikat mit demselben CN (*.<domain>.de) vorhanden ist.

Wie soll ich hier vorgehen?

Michael Schürle
Beiträge: 9
Registriert: Mi 21.11.2018, 11:43

Beitrag von Michael Schürle »

FYI: Nach Rücksprache mit dem (wie immer hervorragenden) telefonischen Support, muss man folgende Vorgehensweise durchführen (ab UTM 11.8.4):
Bitte unbedingt ein Konfigurationsbackup erstellen - wenn hier etwas falsch läuft, kann man ggfs. die gesamte Konfiguration zerschießen

Bitte die Hinweise unter https://wiki.securepoint.de/Cert_cli_v11 (cert delete cert) beachten

danach:
-> Authentifizierung -> Zertifikate -> Karteireiter "Zertifikate"
Hier die Cert ID des zu ersetzenden Zertifikats notieren
Auf den durchgestrichenen Kreis (Widerrufen) klicken und ggfs. angezeigte Fehler (Zertifkat ist noch in Benutzung) beheben, bis der Widerruf durchläuft
-> Extras -> CLI
cert delete cert id <Cert ID des zu ersetzenden Zertifikats> (z.B. cert delete cert id 241)

Der Fehler deutet darauf hin, dass der X509 Subject Key Identifier eindeutig sein muss, was falsch ist. Der SKI wird via Subject (CN) und Key generiert und ist insofern bei einem verlängerten Zertifikat identisch (im Gegensatz zum Thumbnail). Ich werde dies an den Support weiterleiten, damit der Fehler in zukünftigen Versionen behoben wird.

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Ich habe gerade das gleiche Problem. Ist die Vorgehensweise immer noch so umständlich, oder habe ich was falsch gemacht? Sind immerhin fast 4 Jahre vergangen und nix passiert scheinbar :-O

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

In Zwischen kann man widerrufene Zertifikate bequem loeschen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Danke. Hat funktioniert.

Antworten