This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Erneuerung Let`s encrypt Zertifikat funktioniert (wieder) nicht mehr ....

Hallo,

nachdem die Erneuerung der Zertifikate eine Zeitlang funktioniert hatte geht es seit ein paar Tagen wieder nicht mehr :-( Die "alten" Workarounds greifen nicht mehr da diese schon erledigt waren. (alte Zertifikate löschen  etc.) Der API Link zu lets encrift ist erreichbar. Ich habe dann mal versucht lets encrypts in der UTM zu Deaktivierung und danach wieder zu aktivieren, leider dann mit folgender Fehlermeldung:

022:04:24-08:59:02 gw letsencrypt[8281]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
2022:04:24-08:59:02 gw letsencrypt[8281]: I Renew certificate: execution failed
2022:04:24-09:02:42 gw letsencrypt[9175]: I CONFD: Account removed because Let's Encrypt was disabled by the user
2022:04:24-09:02:49 gw letsencrypt[9200]: I Create account: creating new Let's Encrypt acccount
2022:04:24-09:02:49 gw letsencrypt[9200]: E Create account: Incorrect response code from ACME server: 500
2022:04:24-09:02:49 gw letsencrypt[9200]: E Create account: URL was: acme-v02.api.letsencrypt.org/directory
2022:04:24-09:02:49 gw letsencrypt[9200]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:04:24-09:02:50 gw letsencrypt[9200]: E Create account: failed to create account
2022:04:24-09:03:16 gw letsencrypt[9256]: I Create account: creating new Let's Encrypt acccount
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: Incorrect response code from ACME server: 500
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: URL was: acme-v02.api.letsencrypt.org/directory
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: failed to create account
2022:04:24-09:03:31 gw letsencrypt[9310]: I Create account: creating new Let's Encrypt acccount
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: Incorrect response code from ACME server: 500
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: URL was: acme-v02.api.letsencrypt.org/directory
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: failed to create account
Software der UTM ist die 9.711-5 . Any hints ?
Grüße,
Horst


This thread was automatically locked due to age.
Parents
  • Mein Ticket diesbezüglich ist jetzt beim DevOps Team von Sophos:

    Dear Sophos Customer,

    our Development team has informed us that the processing of the bug ID is unfortunately still delayed.

    GES expects a status update now in calendar week 23.

    We apologize for the delay.

Reply
  • Mein Ticket diesbezüglich ist jetzt beim DevOps Team von Sophos:

    Dear Sophos Customer,

    our Development team has informed us that the processing of the bug ID is unfortunately still delayed.

    GES expects a status update now in calendar week 23.

    We apologize for the delay.

Children
  • Hello,
    
    Development has confirmed this as a Bug. Fix will be available in the next release.
    
    Regards, 
    
    Sophos Global Escalation Support 

  • Development reference number: 
    NUTM-13504
    
    Current Status:
    Assigned to release
    
    Issue type:
    Defect
    
    Your issue with the above reference number has been assigned to a release.
    
    Current plans are to include this fix as part of 9.7MR12 and release the fix by Q3 2022.  Should it be delayed, we will inform you accordingly.
    

  • Hallo,

    gibt es noch Hoffnung, dass dies in der UTM jemals gebugfixed wird?

  • Ja laut Sophos Support und meinem Beitrag im Q3 2022

  • Ich setze in einer anderen Umgebung das zugrundeliegende dehydrated ein (mit DNS-01 und HTTP-01 challenges) und hatte eigentlich nie Probleme.

    Im Sophos-Umfeld hat es sich bewährt, ALLE LetsEncrypt-Zertifikate (wenn man die p12 installiert, werden auch intermediate und root gelesen und unter komischen Namen (xxx intermediate certificate 2 oder so) mit importiert) zu entfernen. Dann das ISR Root und das ca jährlich wechselnde Intermediate manuell importieren und erst dann das eigentliche Zertifikat generieren lassen.

  • Nun ja, das Update ist seit heute  da, (manuell einspielen) geholfen hat es leider nicht. Eine Erneuerung oder Neuanlage eines Zertifikates schlägt  nach wie vor fehl:

    Renew certificate: sending notification WARN-603
    2022:08:24-14:20:23 gw letsencrypt[32199]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
    2022:08:24-14:20:23 gw letsencrypt[32199]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
    Nebendran steht ne OPNSenseinstallation , dort funktioiert es einwandfrei. 
    Auch ein deaktivieren und wieder Aktivieren des Let`s encrypt Schalters  unter "Advances" hat nichts gebracht. :-(
  • Bei mir wird das veraltete X1 nicht mehr nachgeladen und die Chain wird korrekt von der WAF an Clients zurückgegeben.

    Meiner Meinung nach ist das Problem behoben worden mit dem Update. Muss es noch auf einer neuen UTM und neuer config ausprobieren

  • Nin, nachgeladen wird bei mir such nicht mehr, aber funktionieren tut es leider auch nicht Unamused 

  • Ich nehme alles zurück und behaupte das Gegenteil. Dank der Hilfe von Michael Henkes  konnte das Problem gelöst werden. Vielen Dank für die spontane Hilfe ! Natürlich saß das Problem vor dem Bildschirm. Ich Dussel hatte testweise für ein anderes Projekt den Port 80 per Nat weiter auf einen Server gleitet. Kaum war das aus ging es ....

  • Update ist gemacht, jedoch habe ich immer noch das Problem, dass mein Cisco VPN Client das Zertifikat nicht nimmt:

    The certificate of the CA that issued the '"Domainname" Let´s Encrypt' certificate is needed.

    Das Zertifikat wurde gelöscht alle CA´s gelöscht und alles neu erstellt.

    Das Selbe Zertifikat ist in der Webserver Protection. OWA Intern / Extern alles ohne Probleme 

    auch der Zertifizierungspfand passt hier

    ISRG Root X1

                          R3

                                     "Domainname"

    Ich habe alle CA´s gelöscht und die Zertifikate neu erstellt. Das System hat mir dann die Let´s Encrypt CA 1 erstellt 

    CN=R3

    Das X1 hat er mir nicht in die CA Liste erstellt.

    Jemand noch eine Idee? Vielen Dank für eure Bemühungen.