Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 9 replies
  • Subscribers 5 subscribers
  • Views 7590 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Erneuerung Let's Encrypt Zertifikat funktioniert nicht mehr

TheExpert

Guten Morgen zusammen,

seit heute Morgen funktioniert die Erneuerung des Let's Encrypt Zertifikats nicht mehr:

Renewing Let's Encrypt certificate 'Let's Encrypt' has failed.

Reason for failure: An error occurred while communicating with the Let's Encrypt server.

--
HA Status : HA MASTER (node id: 2)
System Uptime : 4 days 12 hours 53 minutes
System Load : 0.17
System Version : Sophos UTM 9.707-5

In Splunk sehe ich folgenden Log-Eintrag:

Oct 11 08:24:53 192.168.0.254 2021:10:11-08:25:01 XXX confd[4147]: I main::top-level:682() => id="310a" severity="info" sys="System" sub="confd" name="object changed" class="ca" type="csr" ref="REF_CaCsrLetsEncryp" objname="Let's Encrypt" user="system" srcip="127.0.0.1" sid="ddbab0f6016fc2575572907ba95ff14ea0d15e58900ce5740f196333f2aed4b8" facility="system" client="renew_certificate.pl" pid="33967" attr_error_info="Could not obtain the current version of the Let's Encrypt Terms of Service" oldattr_error_message="" attr_error_message="TOS_UNAVAILABLE" oldattr_renew="1" attr_renew="0" oldattr_error_info=""

Was muss ich tun, damit mein Zertifikat wieder erneuert werden kann? Noch habe ich 29 Tage Zeit.

Vielen Dank für die Unterstützung

TheExpert



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to PhilippRusch

    CAs, die unter "Global verification CAs" gelistet sind, kann ich nicht löschen - ich kann sie allerhöchstens deaktivieren. Allerdings habe ich keine alten CA-Zertifikate in der Liste gefunden. Ich kann ohne Probleme auf die Webseite von Let's Encrypt über meinen HTTPS-Proxy auf der UTM zugreifen.

    Kind Regards

    TheExpert

  • 0 in reply to TheExpert

    Bitte mal das hier prüfen:

    https://support.sophos.com/support/s/article/KB-000042998?language=en_US

    Die abgelaufenen Einträge für LE unter "Certificate Management" alle löschen, nicht beim Webfilter.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Ich habe unter Webserver Protection | Certificate Management | Certificate Authority das X3-Zertifikat gelöscht, das bereits seit März 2021 nicht mehr gültig war.

    Leider hat es aber nicht geholfen, um Let's Encrypt wieder zu aktivieren. Es wird die gleiche Meldung angezeigt:

    The previous attempt to enable Let’s Encrypt failed: Failed to retrieve the current Terms of Service link. Please try again or check the Internet connection if the problem persists.

    Das abgelaufene Zertifikat dürfte wohl nicht das Problem gewesen sein, denn sonst hätte ich schon im März keine Let's Encrypt Zertifikate mehr verlängert bekommen.

    Kind Regards

    TheExpert

  • +1 in reply to TheExpert

    Bei mir hat es gerade wieder funktioniert, nachdem ich unter Webserver Protection → Certificate Management → Certificate Authority die ISRG X1-Root CA gelöscht habe. Als nur noch das aktuelle R3-Zertifikat im Store war, hat die Erneuerung funktioniert. Nachdem die Root CA automatisch wieder hinzugefügt wurde, hat es dann mit den zwei darauffolgenden Erneuerungen auch geklappt.

    Auszug aus dem Let's Encrypt-Log (erfolgreich):

    2021:10:12-13:10:02 waf01-1 letsencrypt[581]: I Renew certificate: handling CSR REF_CaCsrservice1[xxxxx] for domain set [service1.domain.tld]
    2021:10:12-13:10:02 waf01-1 letsencrypt[581]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain service1.domain.tld
    2021:10:12-13:10:21 waf01-1 letsencrypt[581]: I Renew certificate: command completed with exit code 0
    2021:10:12-13:10:21 waf01-1 letsencrypt[581]: I Renew certificate: previous certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/service1.domain.tld/fullchain.pem
    2021:10:12-13:10:23 waf01-1 letsencrypt[581]: I Renew certificate: updated certificate REF_vsvVlifluTKM of CSR REF_CaCsrservice1[xxxxx]
    2021:10:12-13:10:23 waf01-1 letsencrypt[581]: I Renew certificate: execution completed (CSRs renewed: 1, failed: 0)

    Auszug aus dem Let's Encrypt-Log (erfolglos):

    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: E Renew certificate: Incorrect response code from ACME server: 500
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: E Renew certificate: URL was: acme-v02.api.letsencrypt.org/directory
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: I Renew certificate: handling CSR REF_CaCsrservice2[xxxxx] for domain set [service2.domain.tld]
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: E Renew certificate: TOS_UNAVAILABLE: Could not obtain the current version of the Let's Encrypt Terms of Service
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: I Renew certificate: sending notification WARN-603
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
    2021:10:12-05:16:02 waf01-1 letsenrypt[27558]: I Renew certificate: execution failed
  • 0 in reply to Sophos User5110

    Hallo Sophos User5110,

    das kann ich bestätigen :-). Nach dem Löschen des Zertifikates der ISRG X1-Root CA konnte ich Let's Encrypt wieder aktivieren und dann funktionierte auch die Zertifikatsverlängerung. Das Zertifikat der ISRG X1-Root CA ist inzwischen wieder auf die UTM heruntergeladen worden.

    Vielen Dank und viele Grüße

    The Expert

    Kind Regards

    TheExpert

Unfiltered HTML