Hallo,
nachdem die Erneuerung der Zertifikate eine Zeitlang funktioniert hatte geht es seit ein paar Tagen wieder nicht mehr :-( Die "alten" Workarounds greifen nicht mehr da diese schon erledigt waren. (alte Zertifikate löschen etc.) Der API Link zu lets encrift ist erreichbar. Ich habe dann mal versucht lets encrypts in der UTM zu Deaktivierung und danach wieder zu aktivieren, leider dann mit folgender Fehlermeldung:
Mein Ticket diesbezüglich ist jetzt beim DevOps Team von Sophos:
Dear Sophos Customer, our Development team has informed us that the processing of the bug ID is unfortunately still delayed. GES expects a status update now in calendar week 23. We apologize for the delay.
Hello, Development has confirmed this as a Bug. Fix will be available in the next release. Regards, Sophos Global Escalation Support
Development reference number: NUTM-13504 Current Status: Assigned to release Issue type: Defect Your issue with the above reference number has been assigned to a release. Current plans are to include this fix as part of 9.7MR12 and release the fix by Q3 2022. Should it be delayed, we will inform you accordingly.
gibt es noch Hoffnung, dass dies in der UTM jemals gebugfixed wird?
Ja laut Sophos Support und meinem Beitrag im Q3 2022
Ich setze in einer anderen Umgebung das zugrundeliegende dehydrated ein (mit DNS-01 und HTTP-01 challenges) und hatte eigentlich nie Probleme.
Im Sophos-Umfeld hat es sich bewährt, ALLE LetsEncrypt-Zertifikate (wenn man die p12 installiert, werden auch intermediate und root gelesen und unter komischen Namen (xxx intermediate certificate 2 oder so) mit importiert) zu entfernen. Dann das ISR Root und das ca jährlich wechselnde Intermediate manuell importieren und erst dann das eigentliche Zertifikat generieren lassen.
Nun ja, das Update ist seit heute da, (manuell einspielen) geholfen hat es leider nicht. Eine Erneuerung oder Neuanlage eines Zertifikates schlägt nach wie vor fehl:
Bei mir wird das veraltete X1 nicht mehr nachgeladen und die Chain wird korrekt von der WAF an Clients zurückgegeben.
Meiner Meinung nach ist das Problem behoben worden mit dem Update. Muss es noch auf einer neuen UTM und neuer config ausprobieren
Nin, nachgeladen wird bei mir such nicht mehr, aber funktionieren tut es leider auch nicht
Ich nehme alles zurück und behaupte das Gegenteil. Dank der Hilfe von Michael Henkes konnte das Problem gelöst werden. Vielen Dank für die spontane Hilfe ! Natürlich saß das Problem vor dem Bildschirm. Ich Dussel hatte testweise für ein anderes Projekt den Port 80 per Nat weiter auf einen Server gleitet. Kaum war das aus ging es ....
Update ist gemacht, jedoch habe ich immer noch das Problem, dass mein Cisco VPN Client das Zertifikat nicht nimmt:
Das Zertifikat wurde gelöscht alle CA´s gelöscht und alles neu erstellt.
Das Selbe Zertifikat ist in der Webserver Protection. OWA Intern / Extern alles ohne Probleme
auch der Zertifizierungspfand passt hier
ISRG Root X1
R3
"Domainname"
Ich habe alle CA´s gelöscht und die Zertifikate neu erstellt. Das System hat mir dann die Let´s Encrypt CA 1 erstellt
CN=R3
Das X1 hat er mir nicht in die CA Liste erstellt.
Jemand noch eine Idee? Vielen Dank für eure Bemühungen.