Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

Wildcard Zertifikate erneuern schlägt fehl

https://support.securepoint.de/viewtopic.php?t=7872

Seite 1 von 1

Wildcard Zertifikate erneuern schlägt fehl

Verfasst: Mo 26.08.2019, 11:25
von Michael Schürle
Hallo zusammen,

ich versuche gerade, ein ausgelaufenes Wildcard-Zertifikat (*.<domain>.de) auf der UTM zu erneuern. Dies schlägt fehl mit der Fehlermeldung:
UNIQUE constraint failed: x509.x509_subject_key_identifier

Das alte Zertifikat war korrekt importiert (die CAs von GoDaddy sind vorhanden und das Zertifkat wurde als Kombi von .crt und .key in einer Datei importiert).
Ich versuche nun über Authentifizierung -> Zertifikate -> Karteireiter "Zertifikate" -> Button "Zertifikat importieren" ein Zertifikat (wieder mit .key in einer Datei) zu importieren. Dies schlägt sofort mit o.a. Fehlermeldung fehl. Ich tippe mal, dass sich die Firewall daran stört, dass bereits ein (abgelaufenes) Zertifikat mit demselben CN (*.<domain>.de) vorhanden ist.

Wie soll ich hier vorgehen?

Re: Wildcard Zertifikate erneuern schlägt fehl

Verfasst: Mo 26.08.2019, 13:10
von Michael Schürle
FYI: Nach Rücksprache mit dem (wie immer hervorragenden) telefonischen Support, muss man folgende Vorgehensweise durchführen (ab UTM 11.8.4):
Bitte unbedingt ein Konfigurationsbackup erstellen - wenn hier etwas falsch läuft, kann man ggfs. die gesamte Konfiguration zerschießen

Bitte die Hinweise unter https://wiki.securepoint.de/Cert_cli_v11 (cert delete cert) beachten

danach:
-> Authentifizierung -> Zertifikate -> Karteireiter "Zertifikate"
Hier die Cert ID des zu ersetzenden Zertifikats notieren
Auf den durchgestrichenen Kreis (Widerrufen) klicken und ggfs. angezeigte Fehler (Zertifkat ist noch in Benutzung) beheben, bis der Widerruf durchläuft
-> Extras -> CLI
cert delete cert id <Cert ID des zu ersetzenden Zertifikats> (z.B. cert delete cert id 241)

Der Fehler deutet darauf hin, dass der X509 Subject Key Identifier eindeutig sein muss, was falsch ist. Der SKI wird via Subject (CN) und Key generiert und ist insofern bei einem verlängerten Zertifikat identisch (im Gegensatz zum Thumbnail). Ich werde dies an den Support weiterleiten, damit der Fehler in zukünftigen Versionen behoben wird.

Re: Wildcard Zertifikate erneuern schlägt fehl

Verfasst: Mi 24.05.2023, 14:19
von wufservice
Ich habe gerade das gleiche Problem. Ist die Vorgehensweise immer noch so umständlich, oder habe ich was falsch gemacht? Sind immerhin fast 4 Jahre vergangen und nix passiert scheinbar :-O

Re: Wildcard Zertifikate erneuern schlägt fehl

Verfasst: Mi 24.05.2023, 15:53
von Mario
In Zwischen kann man widerrufene Zertifikate bequem loeschen.

Re: Wildcard Zertifikate erneuern schlägt fehl

Verfasst: Do 25.05.2023, 10:02
von wufservice
Danke. Hat funktioniert.

Re: Wildcard Zertifikate erneuern schlägt fehl

Verfasst: Do 20.11.2025, 17:23
von treinhardt
Das bedeutet ich Widerrufe das Zertifikat, danach kann ich es dann löschen und das neue Wildcard Zertifikat importieren?
Mehr nicht?

Re: Wildcard Zertifikate erneuern schlägt fehl

Verfasst: Do 20.11.2025, 17:44
von Mario
Korrekt.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de