Hallo zusammen,
ich versuche gerade, ein ausgelaufenes Wildcard-Zertifikat (*.<domain>.de) auf der UTM zu erneuern. Dies schlägt fehl mit der Fehlermeldung:
UNIQUE constraint failed: x509.x509_subject_key_identifier
Das alte Zertifikat war korrekt importiert (die CAs von GoDaddy sind vorhanden und das Zertifkat wurde als Kombi von .crt und .key in einer Datei importiert).
Ich versuche nun über Authentifizierung -> Zertifikate -> Karteireiter "Zertifikate" -> Button "Zertifikat importieren" ein Zertifikat (wieder mit .key in einer Datei) zu importieren. Dies schlägt sofort mit o.a. Fehlermeldung fehl. Ich tippe mal, dass sich die Firewall daran stört, dass bereits ein (abgelaufenes) Zertifikat mit demselben CN (*.<domain>.de) vorhanden ist.
Wie soll ich hier vorgehen?
Wildcard Zertifikate erneuern schlägt fehl
Moderator: Securepoint
-
- Beiträge: 9
- Registriert: Mi 21.11.2018, 11:43
-
- Beiträge: 9
- Registriert: Mi 21.11.2018, 11:43
FYI: Nach Rücksprache mit dem (wie immer hervorragenden) telefonischen Support, muss man folgende Vorgehensweise durchführen (ab UTM 11.8.4):
Bitte unbedingt ein Konfigurationsbackup erstellen - wenn hier etwas falsch läuft, kann man ggfs. die gesamte Konfiguration zerschießen
Bitte die Hinweise unter https://wiki.securepoint.de/Cert_cli_v11 (cert delete cert) beachten
danach:
-> Authentifizierung -> Zertifikate -> Karteireiter "Zertifikate"
Hier die Cert ID des zu ersetzenden Zertifikats notieren
Auf den durchgestrichenen Kreis (Widerrufen) klicken und ggfs. angezeigte Fehler (Zertifkat ist noch in Benutzung) beheben, bis der Widerruf durchläuft
-> Extras -> CLI
cert delete cert id <Cert ID des zu ersetzenden Zertifikats> (z.B. cert delete cert id 241)
Der Fehler deutet darauf hin, dass der X509 Subject Key Identifier eindeutig sein muss, was falsch ist. Der SKI wird via Subject (CN) und Key generiert und ist insofern bei einem verlängerten Zertifikat identisch (im Gegensatz zum Thumbnail). Ich werde dies an den Support weiterleiten, damit der Fehler in zukünftigen Versionen behoben wird.
Bitte unbedingt ein Konfigurationsbackup erstellen - wenn hier etwas falsch läuft, kann man ggfs. die gesamte Konfiguration zerschießen
Bitte die Hinweise unter https://wiki.securepoint.de/Cert_cli_v11 (cert delete cert) beachten
danach:
-> Authentifizierung -> Zertifikate -> Karteireiter "Zertifikate"
Hier die Cert ID des zu ersetzenden Zertifikats notieren
Auf den durchgestrichenen Kreis (Widerrufen) klicken und ggfs. angezeigte Fehler (Zertifkat ist noch in Benutzung) beheben, bis der Widerruf durchläuft
-> Extras -> CLI
cert delete cert id <Cert ID des zu ersetzenden Zertifikats> (z.B. cert delete cert id 241)
Der Fehler deutet darauf hin, dass der X509 Subject Key Identifier eindeutig sein muss, was falsch ist. Der SKI wird via Subject (CN) und Key generiert und ist insofern bei einem verlängerten Zertifikat identisch (im Gegensatz zum Thumbnail). Ich werde dies an den Support weiterleiten, damit der Fehler in zukünftigen Versionen behoben wird.
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Ich habe gerade das gleiche Problem. Ist die Vorgehensweise immer noch so umständlich, oder habe ich was falsch gemacht? Sind immerhin fast 4 Jahre vergangen und nix passiert scheinbar :-O
In Zwischen kann man widerrufene Zertifikate bequem loeschen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de