Hallo zusammen,
(Mein Setup: UTM Home (aktuellste firmware) auf einer SG330 Rev1 bei mir privat im Einsatz.)
ich habe seit längerem ein "wildcard" Zertifikat im Einsatz, welches auf eine Domain ausgestellt wurde, die ich über 1und1 gemietet habe. Das Zertifikat habe ich auch direkt über 1und1 ausgestellt. Hat bisher auch alles bestens funktioniert - an sich auch jetzt.
Weiterhin nutze ich ein SSL VPN, das auch bestens funktionierte....bisher.
Nun lief dieses Zertifikat Ende August ab und ich habe ein neues erstellt und entsprechend wieder eingebunden. Funktioniert soweit auch. Es wird eigentlich nur genutzt, dass ich hier intern für mich keine Zertifikate ausrollen muss und keine Fehlermeldungen im Browser erhalte.
Jetzt hätte ich mal wieder das VPN nutzen wollen, wollte mich einwählen und bekomme - egal ob vom Smartphone oder Notebook - bei der Einwahl eine Fehlermeldung, noch bevor die Benutzerauthentifizierung stattfindet:
Tue Sep 28 22:54:46 2021 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CN=CENSORED, emailAddress=CENSORED
Tue Sep 28 22:54:46 2021 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Tue Sep 28 22:54:46 2021 TLS Error: TLS object -> incoming plaintext read error
Tue Sep 28 22:54:46 2021 TLS Error: TLS handshake failed
Tue Sep 28 22:54:46 2021 Fatal TLS error (check_tls_errors_co), restarting
Ein bisschen Googlen hat mich auf die Fährte der Zertifikatserneuerungen gebracht, jedoch sind unter "certificate management" keine abgelaufenen zu finden, alle wurden scheinbar erneuert und sind mit dem wildcard Zertifikat übereinstimmend gültig.
Ich habe an der Konfiguration soweit auch nichts verändert, weder im hostname, den ssl vpn settings, Benutzer (dem lieg das x509 des jeweiligen Benutzers parat) oder Zertifikate (abgesehen von dem Austausch).
Irgendwo aber dort in Zusammenhang muss noch ein Fehler sein, nur finde ich diesen nicht
Das einzige was mir rückblickend dann doch etwas komisch vorkam, dass nach Austausch des Zertifikates, bzw Erneuerung, dann noch weiterhin Mails kamen, dass bald ein Zertifkat auslaufen würde. Hierüber aber habe ich mir erstmal keine Gedanken gemacht. Als das Ende des alten Zertifikates dann erreicht war, kamen auch keine solche Mails mehr.
Hat mir hier vielleicht jemand noch eine Idee? Stehe hier echt auf dem Schlauch - insbesondere da nichts geändert wurde und es zuvor ja auch funkioniert hat.
Vielen Dank und Gruss,
Andy.
This thread was automatically locked due to age.