Hallo zusammen,
ich bin etwas ratlos. Auf einer Kundenfirewall setze ich die 9.712-13 SG UTM ein. Seit ein paar Tagen funktioniert "mal wieder" die Erneuerung der
Let's Encrypt Zertifikate nicht. Das war in den letzten Jahren eigentlich immer eine "Fummelei", da die automatische Regenerierung mit immer wieder
neuer Trickserei und Schweißperlen auf der Stirn funktionierte ... Mal mussten die CA X1 und X3 Zertifikate gelöscht werden, mal waren sie doppelt
drin ... Kostenlos ist schön und gut - nur es muss auch funktionieren.
2023:08:17-03:24:01 vpn1 letsencrypt[6674]: I Check renewal: renew REF_CaCsrFrankLetseZerti (domains: autodiscover.xxx.com, mailexchange.xxx.com): certificate valid until Sep 1 00:11:35 2023 GMT (less than 30 days) 2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: Incorrect response code from ACME server: 500 2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: URL was: https://acme-v02.api.letsencrypt.org/directory 2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: handling CSR REF_CaCsrFrankLetseZerti for domain set [autodiscover.frank-pti.com,mailexchange.frank-pti.com] 2023:08:17-03:25:02 vpn1 letsencrypt[6978]: E Renew certificate: TOS_UNAVAILABLE: Could not obtain the current version of the Let's Encrypt Terms of Service 2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: sending notification WARN-603 2023:08:17-03:25:02 vpn1 letsencrypt[6978]: [WARN-603] Let's Encrypt certificate renewal failed accessing Let's Encrypt service 2023:08:17-03:25:02 vpn1 letsencrypt[6978]: I Renew certificate: execution failed
IPv6 ist im übrigen in der FW deaktiviert. Habe hier auch natürlich im Forum und über Google recherchiert. Hilft ein Upgrade auf die neueste Version?
Künftig:
Nun haben wir uns entschlossen ein DigiCert Multidomain Zertifikat für die Webserver Protection zu installieren, damit wenigstens bis zur Zertifikatserneuerung in einem Jahr "mal Ruhe" ist. :-) Nun stoße ich allerdings auf ein Problem, dass das unter Linux erzeugte Zertifikat => csr => Provider => Zertifikat => zusammen spielen "private.key + Zertifikat" => konvertieren in *.p12 Datei und einspielen in die FW wohl die beiden Domains: mailexchange.xxx.com und autodiscover.xxx.com enthält aber trotzdem die Exchange Einbindung eines iPhone IOS Gerätes scheitert. mailexchange.xxx.com/owa funktioniert allerdings einwandfrei.
Konfigurationsdatei zur Generierung des *.csr
[req] distinguished_name = dn req_extensions = v3_req default_keyfile = private.key prompt = no [dn] C = DE ST = Bundesland L = Stadt O = Michael OU = IT CN = mailexchange.xxx.com [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = mailexchange.xxx.com DNS.2 = autodiscover.xxx.com #--------------------------------------
Habt ihr eine Idee, was ich falsch mache? xxx.com ist natürlich ein Platzhalter für die echte Domain ...
Ein Multidomain SAN Zertifikat muss doch ausreichend sein, für diese beiden Domains ...
Habe jetzt auch noch unter CA das "GeoTrust Root" und "GeoTrust TLS RSA CA G1" nachinstalliert.
Danke im Voraus!
Viele Grüße
Michael
Habe jetzt auch noch unter CA das "GeoTrust Root" und "GeoTrust TLS RSA CA G1" nachinstalliert.
Danke im Voraus!
Viele Grüße
Michael
This thread was automatically locked due to age.