This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ablösung Let's Encrypt in DigiCert Multidomain Zertifikat ...

Hallo zusammen,

ich bin etwas ratlos. Auf einer Kundenfirewall setze ich die 9.712-13 SG UTM ein. Seit ein paar Tagen funktioniert "mal wieder" die Erneuerung der
Let's Encrypt Zertifikate nicht. Das war in den letzten Jahren eigentlich immer eine "Fummelei", da die automatische Regenerierung mit immer wieder
neuer Trickserei und Schweißperlen auf der Stirn funktionierte ... Mal mussten die CA X1 und X3 Zertifikate gelöscht werden, mal waren sie doppelt
drin ... Kostenlos ist schön und gut - nur es muss auch funktionieren.

2023:08:17-03:24:01 vpn1 letsencrypt[6674]: I Check renewal: renew REF_CaCsrFrankLetseZerti (domains: autodiscover.xxx.com, mailexchange.xxx.com): certificate valid until Sep 1 00:11:35 2023 GMT (less than 30 days)
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: Incorrect response code from ACME server: 500
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: URL was: https://acme-v02.api.letsencrypt.org/directory
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: handling CSR REF_CaCsrFrankLetseZerti for domain set [autodiscover.frank-pti.com,mailexchange.frank-pti.com]
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: TOS_UNAVAILABLE: Could not obtain the current version of the Let's Encrypt Terms of Service
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: sending notification WARN-603
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: execution failed


IPv6 ist im übrigen in der FW deaktiviert. Habe hier auch natürlich im Forum und über Google recherchiert. Hilft ein Upgrade auf die neueste Version?


Künftig:
Nun haben wir uns entschlossen ein DigiCert Multidomain Zertifikat für die Webserver Protection zu installieren, damit wenigstens bis zur Zertifikatserneuerung in einem Jahr "mal Ruhe" ist. :-) Nun stoße ich allerdings auf ein Problem, dass das unter Linux erzeugte Zertifikat => csr => Provider => Zertifikat => zusammen spielen "private.key + Zertifikat" => konvertieren in *.p12 Datei und einspielen in die FW wohl die beiden Domains: mailexchange.xxx.com und autodiscover.xxx.com enthält aber trotzdem die Exchange Einbindung eines iPhone IOS Gerätes scheitert. mailexchange.xxx.com/owa funktioniert allerdings einwandfrei.

Konfigurationsdatei zur Generierung des *.csr

[req]
distinguished_name = dn
req_extensions = v3_req
default_keyfile = private.key
prompt = no


[dn]
C = DE
ST = Bundesland
L = Stadt
O = Michael
OU = IT
CN = mailexchange.xxx.com


[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names


[alt_names]
DNS.1 = mailexchange.xxx.com
DNS.2 = autodiscover.xxx.com

#--------------------------------------



Habt ihr eine Idee, was ich falsch mache? xxx.com ist natürlich ein Platzhalter für die echte Domain ...
Ein Multidomain SAN Zertifikat muss doch ausreichend sein, für diese beiden Domains ...

Habe jetzt auch noch unter CA das "GeoTrust Root" und "GeoTrust TLS RSA CA G1" nachinstalliert.

Danke im Voraus!

Viele Grüße
Michael


This thread was automatically locked due to age.
  • Ich würde LE nochmal eine Chance geben. Ich hatte dieses Problem auch wiederholt, es wurde aber mittlerweile von Sophos gepatcht (Ihr seid ja noch auf 9.712 also macht es Sinn dass das Problem noch besteht).

    Ihr habt unter "Remote Access > Certificate Management > Certificate Authority" wahrscheinlich das falsche LE-Stammzertifikat drin mit diesem Fingerprint: 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF

    Das würde ich entfernen und die UTM updaten, dann sollte es keine Probleme mehr geben mit der Erneuerung ( Das korrekte Stammzertifikat hat den Fingerprint: CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8 )

  • Herzlichen Dank   und für eure Hilfe!

    In der Tat, ich habe das neue Zertifikat zum Laufen bekommen, nachdem ich in die CA das "GeoTrust Root" und "GeoTrust TLS RSA CA G1" nachinstalliert hatte, funktionierte auch der Zugriff über den Webprotection Proxy einwandfrei.


    Ich habe aber auch, nachdem ich die fehlenden Firmwarepatches installiert hatte, die Let's Encrypt CA gelöscht und nach erneuter Aktivierung der LE Unterstützung und Renew ließ sich das LE Zertifikat ebenfalls erfolgreich erneuern. Aktuell wird es zwar nicht benutzt, aber es ist kein Fehler einmal beobachten zu können, ob der Renew Prozess in Zukunft funktioniert.

    Viele Grüße
    Michael