This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ablösung Let's Encrypt in DigiCert Multidomain Zertifikat ...

Hallo zusammen,

ich bin etwas ratlos. Auf einer Kundenfirewall setze ich die 9.712-13 SG UTM ein. Seit ein paar Tagen funktioniert "mal wieder" die Erneuerung der
Let's Encrypt Zertifikate nicht. Das war in den letzten Jahren eigentlich immer eine "Fummelei", da die automatische Regenerierung mit immer wieder
neuer Trickserei und Schweißperlen auf der Stirn funktionierte ... Mal mussten die CA X1 und X3 Zertifikate gelöscht werden, mal waren sie doppelt
drin ... Kostenlos ist schön und gut - nur es muss auch funktionieren.

2023:08:17-03:24:01 vpn1 letsencrypt[6674]: I Check renewal: renew REF_CaCsrFrankLetseZerti (domains: autodiscover.xxx.com, mailexchange.xxx.com): certificate valid until Sep 1 00:11:35 2023 GMT (less than 30 days)
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: Incorrect response code from ACME server: 500
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: URL was: https://acme-v02.api.letsencrypt.org/directory
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: handling CSR REF_CaCsrFrankLetseZerti for domain set [autodiscover.frank-pti.com,mailexchange.frank-pti.com]
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: TOS_UNAVAILABLE: Could not obtain the current version of the Let's Encrypt Terms of Service
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: sending notification WARN-603
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service
2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: execution failed


IPv6 ist im übrigen in der FW deaktiviert. Habe hier auch natürlich im Forum und über Google recherchiert. Hilft ein Upgrade auf die neueste Version?


Künftig:
Nun haben wir uns entschlossen ein DigiCert Multidomain Zertifikat für die Webserver Protection zu installieren, damit wenigstens bis zur Zertifikatserneuerung in einem Jahr "mal Ruhe" ist. :-) Nun stoße ich allerdings auf ein Problem, dass das unter Linux erzeugte Zertifikat => csr => Provider => Zertifikat => zusammen spielen "private.key + Zertifikat" => konvertieren in *.p12 Datei und einspielen in die FW wohl die beiden Domains: mailexchange.xxx.com und autodiscover.xxx.com enthält aber trotzdem die Exchange Einbindung eines iPhone IOS Gerätes scheitert. mailexchange.xxx.com/owa funktioniert allerdings einwandfrei.

Konfigurationsdatei zur Generierung des *.csr

[req]
distinguished_name = dn
req_extensions = v3_req
default_keyfile = private.key
prompt = no


[dn]
C = DE
ST = Bundesland
L = Stadt
O = Michael
OU = IT
CN = mailexchange.xxx.com


[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names


[alt_names]
DNS.1 = mailexchange.xxx.com
DNS.2 = autodiscover.xxx.com

#--------------------------------------



Habt ihr eine Idee, was ich falsch mache? xxx.com ist natürlich ein Platzhalter für die echte Domain ...
Ein Multidomain SAN Zertifikat muss doch ausreichend sein, für diese beiden Domains ...

Habe jetzt auch noch unter CA das "GeoTrust Root" und "GeoTrust TLS RSA CA G1" nachinstalliert.

Danke im Voraus!

Viele Grüße
Michael


This thread was automatically locked due to age.