Advisory: Sophos Endpoint "Your connection isn't private" after reboot. Policy settings can be returned to normal. See: KB-000045954 for the latest updates.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Erneuerung Let`s encrypt Zertifikat funktioniert (wieder) nicht mehr ....

Hallo,

nachdem die Erneuerung der Zertifikate eine Zeitlang funktioniert hatte geht es seit ein paar Tagen wieder nicht mehr :-( Die "alten" Workarounds greifen nicht mehr da diese schon erledigt waren. (alte Zertifikate löschen  etc.) Der API Link zu lets encrift ist erreichbar. Ich habe dann mal versucht lets encrypts in der UTM zu Deaktivierung und danach wieder zu aktivieren, leider dann mit folgender Fehlermeldung:

022:04:24-08:59:02 gw letsencrypt[8281]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
2022:04:24-08:59:02 gw letsencrypt[8281]: I Renew certificate: execution failed
2022:04:24-09:02:42 gw letsencrypt[9175]: I CONFD: Account removed because Let's Encrypt was disabled by the user
2022:04:24-09:02:49 gw letsencrypt[9200]: I Create account: creating new Let's Encrypt acccount
2022:04:24-09:02:49 gw letsencrypt[9200]: E Create account: Incorrect response code from ACME server: 500
2022:04:24-09:02:49 gw letsencrypt[9200]: E Create account: URL was: acme-v02.api.letsencrypt.org/directory
2022:04:24-09:02:49 gw letsencrypt[9200]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:04:24-09:02:50 gw letsencrypt[9200]: E Create account: failed to create account
2022:04:24-09:03:16 gw letsencrypt[9256]: I Create account: creating new Let's Encrypt acccount
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: Incorrect response code from ACME server: 500
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: URL was: acme-v02.api.letsencrypt.org/directory
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:04:24-09:03:17 gw letsencrypt[9256]: E Create account: failed to create account
2022:04:24-09:03:31 gw letsencrypt[9310]: I Create account: creating new Let's Encrypt acccount
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: Incorrect response code from ACME server: 500
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: URL was: acme-v02.api.letsencrypt.org/directory
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: TOS_UNAVAILABLE: Failed to retrieve the current Terms of Service URL
2022:04:24-09:03:32 gw letsencrypt[9310]: E Create account: failed to create account
Software der UTM ist die 9.711-5 . Any hints ?
Grüße,
Horst


This thread was automatically locked due to age.
Parents
  • Mein Ticket diesbezüglich ist jetzt beim DevOps Team von Sophos:

    Dear Sophos Customer,

    our Development team has informed us that the processing of the bug ID is unfortunately still delayed.

    GES expects a status update now in calendar week 23.

    We apologize for the delay.

  • Hello,
    
    Development has confirmed this as a Bug. Fix will be available in the next release.
    
    Regards, 
    
    Sophos Global Escalation Support 

  • Development reference number: 
    NUTM-13504
    
    Current Status:
    Assigned to release
    
    Issue type:
    Defect
    
    Your issue with the above reference number has been assigned to a release.
    
    Current plans are to include this fix as part of 9.7MR12 and release the fix by Q3 2022.  Should it be delayed, we will inform you accordingly.
    

  • Hallo,

    gibt es noch Hoffnung, dass dies in der UTM jemals gebugfixed wird?

  • Ja laut Sophos Support und meinem Beitrag im Q3 2022

  • Ich setze in einer anderen Umgebung das zugrundeliegende dehydrated ein (mit DNS-01 und HTTP-01 challenges) und hatte eigentlich nie Probleme.

    Im Sophos-Umfeld hat es sich bewährt, ALLE LetsEncrypt-Zertifikate (wenn man die p12 installiert, werden auch intermediate und root gelesen und unter komischen Namen (xxx intermediate certificate 2 oder so) mit importiert) zu entfernen. Dann das ISR Root und das ca jährlich wechselnde Intermediate manuell importieren und erst dann das eigentliche Zertifikat generieren lassen.

  • Nun ja, das Update ist seit heute  da, (manuell einspielen) geholfen hat es leider nicht. Eine Erneuerung oder Neuanlage eines Zertifikates schlägt  nach wie vor fehl:

    Renew certificate: sending notification WARN-603
    2022:08:24-14:20:23 gw letsencrypt[32199]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
    2022:08:24-14:20:23 gw letsencrypt[32199]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
    Nebendran steht ne OPNSenseinstallation , dort funktioiert es einwandfrei. 
    Auch ein deaktivieren und wieder Aktivieren des Let`s encrypt Schalters  unter "Advances" hat nichts gebracht. :-(
Reply
  • Nun ja, das Update ist seit heute  da, (manuell einspielen) geholfen hat es leider nicht. Eine Erneuerung oder Neuanlage eines Zertifikates schlägt  nach wie vor fehl:

    Renew certificate: sending notification WARN-603
    2022:08:24-14:20:23 gw letsencrypt[32199]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
    2022:08:24-14:20:23 gw letsencrypt[32199]: I Renew certificate: execution completed (CSRs renewed: 0, failed: 1)
    Nebendran steht ne OPNSenseinstallation , dort funktioiert es einwandfrei. 
    Auch ein deaktivieren und wieder Aktivieren des Let`s encrypt Schalters  unter "Advances" hat nichts gebracht. :-(
Children
  • Bei mir wird das veraltete X1 nicht mehr nachgeladen und die Chain wird korrekt von der WAF an Clients zurückgegeben.

    Meiner Meinung nach ist das Problem behoben worden mit dem Update. Muss es noch auf einer neuen UTM und neuer config ausprobieren

  • Nin, nachgeladen wird bei mir such nicht mehr, aber funktionieren tut es leider auch nicht Unamused 

  • Ich nehme alles zurück und behaupte das Gegenteil. Dank der Hilfe von Michael Henkes  konnte das Problem gelöst werden. Vielen Dank für die spontane Hilfe ! Natürlich saß das Problem vor dem Bildschirm. Ich Dussel hatte testweise für ein anderes Projekt den Port 80 per Nat weiter auf einen Server gleitet. Kaum war das aus ging es ....

  • Update ist gemacht, jedoch habe ich immer noch das Problem, dass mein Cisco VPN Client das Zertifikat nicht nimmt:

    The certificate of the CA that issued the '"Domainname" Let´s Encrypt' certificate is needed.

    Das Zertifikat wurde gelöscht alle CA´s gelöscht und alles neu erstellt.

    Das Selbe Zertifikat ist in der Webserver Protection. OWA Intern / Extern alles ohne Probleme 

    auch der Zertifizierungspfand passt hier

    ISRG Root X1

                          R3

                                     "Domainname"

    Ich habe alle CA´s gelöscht und die Zertifikate neu erstellt. Das System hat mir dann die Let´s Encrypt CA 1 erstellt 

    CN=R3

    Das X1 hat er mir nicht in die CA Liste erstellt.

    Jemand noch eine Idee? Vielen Dank für eure Bemühungen.

  • Das hat aber nichts mit dem hier beschriebenen Problem zu tun denke ich.

    Mach am besten einen neuen Beitrag dazu auf und erkläre mal was du überhaupt machen willst.

    Ich verstehe nicht was der Cisco VPN Client mit dem LetsEncrypt Zertifikat zu tun haben soll

  • Danke, für die Info.

    habe ein neuen Beitrag geöffnet.

  • Hallo Ingo,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    I just saw that V9.712 resolves this problem.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I'm on version 9.712-13 and unfortunately still have the problem.

    2022:10:04-16:24:02 firewall-2 letsencrypt[10056]: E Renew certificate: Incorrect response code from ACME server: 500
    2022:10:04-16:24:02 firewall-2 letsencrypt[10056]: E Renew certificate: URL was: acme-v02.api.letsencrypt.org/directory
    2022:10:04-16:24:02 firewall-2 letsencrypt[10056]: I Renew certificate: handling CSR REF_CaCsrOwaUndAutod for domain set [yyy.xxxxxxx.de,zzz.xxxxxxxr.de]
    2022:10:04-16:24:02 firewall-2 letsencrypt[10056]: E Renew certificate: TOS_UNAVAILABLE: Could not obtain the current version of the Let's Encrypt Terms of Service
    2022:10:04-16:24:02 firewall-2 letsencrypt[10056]: I Renew certificate: sending notification WARN-603
    2022:10:04-16:24:02 firewall-2 letsencrypt[10056]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
    2022:10:04-16:24:02 firewall-2 letsencrypt[10056]: I Renew certificate: execution failed

    Just for fun, I deleted "ISRG Root X1" and "LetsEncrypt Verification CA 1" even though they were still valid. No change.

    For me, a 500 response looks like a successful initiation of communication with the ACME server, but then something went wrong internally. However, calling that directory URL manually works fine and returns some JSON.

    In case it helps, UTM indeed shows an obsolete TOS link https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf instead of https://letsencrypt.org/documents/LE-SA-v1.3-September-21-2022.pdf