Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 6 subscribers
  • Views 4148 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Let's Encrypt Aktivierung funktioniert nicht

Paul Jurasow

Moin, 

wir haben bei uns zwei SG210 (beide auf Version 9.707.5) im HA-Cluster im Einsatz und haben Let's Encrypt genutzt um Zertifikate ausstellen zu können. Nun wollten wir vor ein paar Tagen ein Zertifikat erneuern, was nicht funktioniert hat. Im Logbuch gab es folgende Einträge:

2021:12:08-09:36:02 Name_Of_Firewall letsencrypt[1626]: E Renew certificate: Incorrect response code from ACME server: 500
2021:12:08-09:36:02 Name_Of_Firewall letsencrypt[1626]: E Renew certificate: URL was: https://acme-v02.api.letsencrypt.org/directory
2021:12:08-09:36:02 Name_Of_Firewall letsencrypt[1626]: I Renew certificate: handling CSR REF_xxx for domain set [xxx]
2021:12:08-09:36:02 Name_Of_Firewall letsencrypt[1626]: E Renew certificate: TOS_UNAVAILABLE: Could not obtain the current version of the Let's Encrypt Terms of Service
2021:12:08-09:36:02 Name_Of_Firewall letsencrypt[1626]: I Renew certificate: sending notification WARN-603
2021:12:08-09:36:02 Name_Of_Firewall letsencrypt[1626]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
2021:12:08-09:36:02 Name_Of_Firewall letsencrypt[1626]: I Renew certificate: execution failed

Nach langer Recherche haben wir das aktuelle Lets Encrypt Zertifikat (X1 und R3) hochgeladen gehabt, doch der Fehler trat immer noch auf, sodass wir die Zertifikate nicht erneuern können. Daraufhin haben wir den Haken bei "Allow Let's Encrypt certificates" unter "Webserver Protection - > Certificate Management - > Advanced" herausgenommen und somit Let's Encrypt deaktiviert. Dann haben wir versucht Let's Encrypt wieder zu aktivieren und haben den Haken wieder reingesetzt. Die Einstellung haben wie gespeichert und nun ist das Feld mit dem Haken ausgegraut und die Meldung "An account is being created for using the Let’s Encrypt services." steht nun unter Einstellung. Jedoch ist Let's Encrypt nicht aktiv und im Logbuch erscheinen auch keine Einträge mehr. 

Die letzten Einträge sind vom Versuch Let's Encrypt wieder zu aktivieren:

2021:12:08-14:54:35 Name_Of_Firewall letsencrypt[29810]: E Create account: failed to create account
2021:12:08-14:54:41 Name_Of_Firewall letsencrypt[29949]: I Create account: creating new Let's Encrypt acccount
2021:12:08-14:54:42 Name_Of_Firewall letsencrypt[29949]: E Create account: Incorrect response code from ACME server: 500
2021:12:08-14:54:42 Name_Of_Firewall letsencrypt[29949]: E Create account: URL was: https://acme-v02.api.letsencrypt.org/directory
2021:12:08-14:54:42 Name_Of_Firewall letsencrypt[29949]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2021:12:08-14:54:42 Name_Of_Firewall letsencrypt[29949]: E Create account: failed to create account.

Danach geschah nichts mehr und wir können Let's Encrypt Zertifikate nicht erneuern.

Kann uns hier eventuell jemand weiterhelfen wie wir das Problem lösen könnten? 

Vielen Dank

und freundliche Grüße

Paul



This thread was automatically locked due to age.
  • 0

    Hallo,

    welche Firmware-Version ist auf der SG im Einsatz?

    Mit der aktuellen Version habe ich keine Probleme auf den Systemen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Hallo,

    ich stand vor einigen Tagen vor den gleichen Problem.
    Folgende Schritte habe ich durchgeführt:


    Achtung!!! Schritt 1-3 sind optional und bitte vorher ggf. ein Backup machen
    1. Alle virtuellen Server welche ein Lets Encrypt Zert haben ein andere temp. Zertifikat geben
    2. Unter Zertifikatsverwaltung schauen wo ggf. noch das/die  Lets Enct. verwenden werden und auch diese durch test Zertikate tauschen.
    3. Löschen der Lets Zertifikate

    Ab hier muss genau geschaut werden bevor man etwas löscht!!!!
    4. Unter CA dürften unter diversen Namen Zertifikate befinden mit den dem folgenden Eigenschafften: [C=US,­ O=Internet Security Research Group,­ CN=ISRG Root X1]
    Schauen ob es hier Ahängigkeiten gibt und nach dem Schlüssel schauen. Dieser hier ist der richtige: 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF. Alle anderen ISRG R1 müssen entfernt werden. Auch die bereits hochgeladene Zertfikate von Lets sollten gelöscht werden. Diese werden automatisch erneuert.
    Bei mir gab es Zertifikate mit dem Namen VPN Signing CA welche das problem verursachten.

    Wichtig ist, genau schauen welche Zertifikate man löschen kann bzw. muss und welche Abhängigkeiten diese haben.
    Passt man hier nicht auf führt dies ggf. zu mehr problemen als einem lieb ist.

    Die aktuelle FW 9.708-6 sollte auch verwendet werden bevor man die Probleme angeht.

    Hoffe das hilft evtl..

    VG

  • 0

    Das sollte die Lösung sein: https://community.sophos.com/utm-firewall/f/german-forum/130461/waf-let-s-encypt/479258#479258

    Wenn du noch nie Let's encrypt aktiviert hattest, kannst du einfach das korrekte X1 manuell hochladen:https://letsencrypt.org/certs/isrgrootx1.pem und es sollte sofort funktionieren.

    Ansonsten Sophos Support kontaktieren

  • 0

    Moin, 

    danke für die bisherigen Antworten, ich hatte leider keine Zeit mal wieder ins Forum zu schauen. 

    Die Firmware Version ist momentan die 9.707.5. Leider hat der Vorschlag von nicht funktioniert. Wir hatten Let's Encrypt schon einmal aktiviert gehabt. Nachdem jedoch die Erneuerung der Zertifikate nicht funktioniert hat, haben wir den Haken bei der Aktivierung von Let's Encrypt rausgenommen und wollten es direkt danach wieder aktivieren. Das hat dann zum Problem geführt, dass der Haken ausgegraut ist und wir nichts mehr machen können. Die Logs sind seitdem auch komplett leer geblieben. 

    Leider hat der Sophos Support uns da auch nicht weiterhelfen können.

    Wir werden demnächst auf die aktuelle Version 9.708.6 updaten. Vielleicht bringt ja ein Neustart was Disappointed

    Paul

  • 0

    Moin,

    nach dem Update funktionierte Lets Encrypt wieder so wie es sollte. Ein Update und damit verbundener Neustart hat also geholfen. 

    Trotzdem danke für die Lösungsansätze  Slight smile

    Paul

Unfiltered HTML