Erneuerung Let's Encrypt Zertifikat funktioniert nicht mehr

Guten Morgen zusammen,

seit heute Morgen funktioniert die Erneuerung des Let's Encrypt Zertifikats nicht mehr:

Renewing Let's Encrypt certificate 'Let's Encrypt' has failed.

Reason for failure: An error occurred while communicating with the Let's Encrypt server.

--
HA Status : HA MASTER (node id: 2)
System Uptime : 4 days 12 hours 53 minutes
System Load : 0.17
System Version : Sophos UTM 9.707-5

In Splunk sehe ich folgenden Log-Eintrag:

Oct 11 08:24:53 192.168.0.254 2021:10:11-08:25:01 XXX confd[4147]: I main::top-level:682() => id="310a" severity="info" sys="System" sub="confd" name="object changed" class="ca" type="csr" ref="REF_CaCsrLetsEncryp" objname="Let's Encrypt" user="system" srcip="127.0.0.1" sid="ddbab0f6016fc2575572907ba95ff14ea0d15e58900ce5740f196333f2aed4b8" facility="system" client="renew_certificate.pl" pid="33967" attr_error_info="Could not obtain the current version of the Let's Encrypt Terms of Service" oldattr_error_message="" attr_error_message="TOS_UNAVAILABLE" oldattr_renew="1" attr_renew="0" oldattr_error_info=""

Was muss ich tun, damit mein Zertifikat wieder erneuert werden kann? Noch habe ich 29 Tage Zeit.

Vielen Dank für die Unterstützung

TheExpert

Parents
  • Hallo "TheExpert",

    das wird ja fast zum Dauerbrenner hier: https://community.sophos.com/utm-firewall/b/blog/posts/advisory-sophos-sg-utm-let-s-encrypt-root-certificate-expiry

    Ich hoffe, das hilft!

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo jprusch,

    vielen Dank für die Info. Das ist aber gar nicht das Problem, denn ich kann auf alles über den HTTPS-Proxy zugreifen. Das Up2Date vom 01.10.2021 auf der UTM ist automatisch erfolgt. Ich habe auch schon die in vielen Foren empfohlenen CA-Zertifikate importiert:

    Mein Problem ist, dass ich mein Let's Encrypt Zertifikat nicht verlängern kann bzw. jetzt auch nicht mehr Let's Encrypt für meinen Webserver aktivieren kann.

    Viele Grüße

    TheExpert

    Kind Regards

    TheExpert

  • ... und die alten CA's sind gelöscht?

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • CAs, die unter "Global verification CAs" gelistet sind, kann ich nicht löschen - ich kann sie allerhöchstens deaktivieren. Allerdings habe ich keine alten CA-Zertifikate in der Liste gefunden. Ich kann ohne Probleme auf die Webseite von Let's Encrypt über meinen HTTPS-Proxy auf der UTM zugreifen.

    Kind Regards

    TheExpert

  • Bitte mal das hier prüfen:

    https://support.sophos.com/support/s/article/KB-000042998?language=en_US

    Die abgelaufenen Einträge für LE unter "Certificate Management" alle löschen, nicht beim Webfilter.

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Ich habe unter Webserver Protection | Certificate Management | Certificate Authority das X3-Zertifikat gelöscht, das bereits seit März 2021 nicht mehr gültig war.

    Leider hat es aber nicht geholfen, um Let's Encrypt wieder zu aktivieren. Es wird die gleiche Meldung angezeigt:

    The previous attempt to enable Let’s Encrypt failed: Failed to retrieve the current Terms of Service link. Please try again or check the Internet connection if the problem persists.

    Das abgelaufene Zertifikat dürfte wohl nicht das Problem gewesen sein, denn sonst hätte ich schon im März keine Let's Encrypt Zertifikate mehr verlängert bekommen.

    Kind Regards

    TheExpert

  • Bei mir hat es gerade wieder funktioniert, nachdem ich unter Webserver Protection → Certificate Management → Certificate Authority die ISRG X1-Root CA gelöscht habe. Als nur noch das aktuelle R3-Zertifikat im Store war, hat die Erneuerung funktioniert. Nachdem die Root CA automatisch wieder hinzugefügt wurde, hat es dann mit den zwei darauffolgenden Erneuerungen auch geklappt.

    Auszug aus dem Let's Encrypt-Log (erfolgreich):

    2021:10:12-13:10:02 waf01-1 letsencrypt[581]: I Renew certificate: handling CSR REF_CaCsrservice1[xxxxx] for domain set [service1.domain.tld]
    2021:10:12-13:10:02 waf01-1 letsencrypt[581]: I Renew certificate: running command: /var/storage/chroot-reverseproxy/usr/dehydrated/bin/dehydrated -x -f /var/storage/chroot-reverseproxy/usr/dehydrated/conf/config -c --accept-terms --domain service1.domain.tld
    2021:10:12-13:10:21 waf01-1 letsencrypt[581]: I Renew certificate: command completed with exit code 0
    2021:10:12-13:10:21 waf01-1 letsencrypt[581]: I Renew certificate: previous certificate exists, updating from /var/storage/chroot-reverseproxy/var/lib/dehydrated/cert_data/certs/service1.domain.tld/fullchain.pem
    2021:10:12-13:10:23 waf01-1 letsencrypt[581]: I Renew certificate: updated certificate REF_vsvVlifluTKM of CSR REF_CaCsrservice1[xxxxx]
    2021:10:12-13:10:23 waf01-1 letsencrypt[581]: I Renew certificate: execution completed (CSRs renewed: 1, failed: 0)

    Auszug aus dem Let's Encrypt-Log (erfolglos):

    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: E Renew certificate: Incorrect response code from ACME server: 500
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: E Renew certificate: URL was: acme-v02.api.letsencrypt.org/directory
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: I Renew certificate: handling CSR REF_CaCsrservice2[xxxxx] for domain set [service2.domain.tld]
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: E Renew certificate: TOS_UNAVAILABLE: Could not obtain the current version of the Let's Encrypt Terms of Service
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: I Renew certificate: sending notification WARN-603
    2021:10:12-05:16:02 waf01-1 letsencrypt[27558]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
    2021:10:12-05:16:02 waf01-1 letsenrypt[27558]: I Renew certificate: execution failed
  • Hallo Sophos User5110,

    das kann ich bestätigen :-). Nach dem Löschen des Zertifikates der ISRG X1-Root CA konnte ich Let's Encrypt wieder aktivieren und dann funktionierte auch die Zertifikatsverlängerung. Das Zertifikat der ISRG X1-Root CA ist inzwischen wieder auf die UTM heruntergeladen worden.

    Vielen Dank und viele Grüße

    The Expert

    Kind Regards

    TheExpert

Reply
  • Hallo Sophos User5110,

    das kann ich bestätigen :-). Nach dem Löschen des Zertifikates der ISRG X1-Root CA konnte ich Let's Encrypt wieder aktivieren und dann funktionierte auch die Zertifikatsverlängerung. Das Zertifikat der ISRG X1-Root CA ist inzwischen wieder auf die UTM heruntergeladen worden.

    Vielen Dank und viele Grüße

    The Expert

    Kind Regards

    TheExpert

Children
No Data