Seite 1 von 1
ACME Zertifikate Verlängerung
Verfasst: Do 18.08.2022, 10:39
von wufservice
Hallo,
ich habe leider im Wiki nichts dazu gefunden:
Werden die ACME Zertifikate von der UTM automatisch verlängert? Wenn ja, wann? Wenn nein, kann man das selbst machen ohne ein neues Zertifikat auszustellen?
Danke im Voraus!
Viele Grüße
Tobias
Re: ACME Zertifikate Verlängerung
Verfasst: Do 18.08.2022, 14:45
von Mario
Moin! Die Zertifikate werden kurz vor Ablauf automatisch verlaengert. Den Zeitraum kann ich aber aktuell nicht genau nennen. Falls es nicht automatisch klappt liegt es meistens daran, das bei der Firewall eine Forward-Zone im Nameserver angelegt wurde, die statt der externen IP der Firewall bei Aufloesung des spdyn-Eintrags die interne IP der Firewall zurueck gibt. In dem Fall die Forward-Zone fuer den Moment entfernen, den Nameserver neu starten und danach den ACME-Dienst stoppen und neu starten.
Re: ACME Zertifikate Verlängerung
Verfasst: Do 18.08.2022, 16:41
von wufservice
Ok. Also abwarten bis zum Ablauftermin.
Wäre sicher besser wenn das ganze 30 Tage vorher schon passiert, so hätte man ausreichend Zeit zu reagieren bei Problemen.
Danke für die Info :-)
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 08:19
von Lauritzl
Tatsächlich werden ACME-Zertifikate 30 Tage vor Ablauf erneuert.
Die UTM prüft stündlich, ob solche Zertifikate vorliegen.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 08:24
von wufservice
Wie erkennt man warum dies nicht erfolgt? Unser Zertifikat läuft am 31.08.2022 ab und wird bisher nicht verlängert.
Update: Habe die UTM einmal neu gestartet und sofort ist das Zertifikat verlängert. Ich hoffe so ist das nicht gedacht ;-)
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 08:58
von Mario
Zur Not den ACME-Dienst neu starten. Auch die DNS-Aufloesung koennte das Problem sein. Die Firewall muss man dafuer nicht neu starten.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 09:16
von AlexanderBluemm
Hallo wufservice,
kann manchmal auch an Let's Encrypt selbst liegen - siehe http-Error 500.
Hier ein Auszug aus dem Protokoll einer SOPHOS UTM.
In diesem Fall hat
Let's Encrypt hat seine Bedingungen geändert und denen muss man zustimmen. Dabei scheint bei bestehenden Zertifikaten was schief zu gehen und der Prozess stockt.
Code: Alles auswählen
2022:08:22-08:08:48 letsencrypt[32282]: I Create account: creating new Let's Encrypt acccount
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: Incorrect response code from ACME server: 500
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: URL was: https://acme-v02.api.letsencrypt.org/directory
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:08:22-08:08:48 letsencrypt[32282]: E Create account: failed to create account
2022:08:22-08:09:42 letsencrypt[32348]: I Create account: creating new Let's Encrypt acccount
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: Incorrect response code from ACME server: 500
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: URL was: https://acme-v02.api.letsencrypt.org/directory
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:08:22-08:09:42 letsencrypt[32348]: E Create account: failed to create account
Grüße
Alex
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 15:00
von wufservice
Leider gab es nirgends eine Meldung, dass die Verlängerung nicht durchgeführt werden konnte. Alles wurde mit "Grün" angezeigt.
Eine Benachrichtigung dazu von der UTM wäre schön.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 15:10
von Mario
Entsprechende Meldungen werden im Alerting-Center generiert. Beispiel:
16.xx.2022 xx:19:47 Krypto-Daemon (kryptochef) Level 6 - Fehler spDYN meldet ein invalides ACME-Challenge-Token für Zertifikat-ID XXX (hanshorstlXXX.spdns.xxx).
15.xx.2022 xx:45:25 Krypto-Daemon (kryptochef) Level 3 - Notiz ACME Zertifikat mit ID xxx für Hostnamen horstlhuberXXX.spdns.xxx wurde neu ausgestellt.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 15:15
von wufservice
Leider sehe ich dazu nichts:
https://postimg.cc/8JYxWZw8
Er hat ja heute das Zertifikat verlängert, da sollte man ja etwas sehen eigentlich.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 22.08.2022, 15:18
von Mario
Das ist komisch... Zur Not ein Supportticket aufmachen.
Re: ACME Zertifikate Verlängerung
Verfasst: Di 23.08.2022, 16:55
von Torben Andresen
Vom Support wurde mir mal gesagt das es in der UTM ein bekanntes Problem gibt mit dem automatischen verlängern. Das sollte sich aber mit einer der nächsten Versionen erledigt haben.
Re: ACME Zertifikate Verlängerung
Verfasst: Do 25.08.2022, 09:19
von Mario
Im Normalfall bricht es nur, wenn man eine Forward-Zone/ Relay auf der UTM angelegt hat, welcher dann beim Aufloesen des SPDYN-Hostnamen dafuer sorgt, das nicht die externe IP der UTM aufgeloest wird, sondern z.B. die Interne IP der UTM. Oder der in der Firewall hinterlegte DNS-Server hat Probleme...
Wir schauen, ob wir dafuer eine Loesung implementieren koennen. Prinzipiell ist das jedoch ein Konfigurationsproblem.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 05.09.2022, 11:32
von wufservice
Das ist bei uns nicht der Fall.
Der Support hat bisher auch keine Idee. Ich soll mich wieder melden wenn das Zertifikat kurz vorm auslaufen ist.
Re: ACME Zertifikate Verlängerung
Verfasst: So 23.04.2023, 17:05
von Steffen-VM
Bei uns ist genau das Problem von Mario der fall, wir haben einen Forword-Zone angelegt. Wie kann ich das den jetzt irgendwie Automatisieren? Eben war die Lösung einfach kurz den Nameserver Dienst zu deaktivieren und den ACME Dienst neu zu starten.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 24.04.2023, 09:01
von Mario
Eine Loesung fuer das genannte Problem wird kommen, dann kann man im ACME alternative DNS-Server eintragen.
@wufservice: Was fuer Nameserver sind bei Ihnen in den Servereinstellungen hinterlegt. Sonst, wie schon angesprochen, bitte ein Ticket eroeffnen
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 24.04.2023, 09:12
von wufservice
Bei uns klappt inzwischen alles. Wahrscheinlich hatte wirklich der Dienst nur einen Hänger.
Re: ACME Zertifikate Verlängerung
Verfasst: Mo 24.04.2023, 09:16
von Mario
Freut mich