Erneuerung / Verlängerung

  • Hallo,
    habe soeben für eine meiner Domains folgende Nachricht von LE erhalten:


    Your certificate (or certificates) for the names listed below will expire in 20 days (on 2016-02-15 15:32:00 +0000 UTC). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
    ...


    Wird die Erneuerung/Verlängerung von LC nun automatisch angestossen? Wenn ja wann?


    viele Grüße

  • Merkwürdig. In der LC-Wiki steht:
    Die Zertifikate haben eine Gültigkeit von 90 Tagen. LiveConfig beginnt aber schon nach 60 Tagen mit der automatischen Erneuerung - sollte irgendwas schief gehen bleibt somit noch genügend Zeit notfalls manuell einzugreifen.


    Also scheint es dort irgendwo zu klemmen :confused:

  • Die Mails haben wir auch für alle auslaufenden Zertifikate bekommen.


    Wird evtl. mit LC 2.1 gefixt?

    Zitat

    Let's Encrypt: auslaufende Zertifikate werden automatisch 30 Tage vor Ablauf verlängert und auf den Webservern ersetzt (für Mail/FTP wird das auch in Kürze automatisch erfolgen, ist aber noch in Arbeit).

  • Hallo,


    diese E-Mails werden von letsencrypt.org derzeit für alle Zertifikate verschickt - auch dann wenn diese mehrfach beantragt wurden oder auch wenn die zwischenzeitlich bereits verlängert sind.
    Das Thema ist dort bekannt und es wird bereits daran gearbeitet das zu verbessern. Es wurde allerdings beschlossen, in der Startphase lieber etwas vorsichtiger zu sein und Erinnerungen dennoch zu verschicken.


    LiveConfig führt die automatischen Verlängerungen ab v2.1.0 zuverlässig durch (wir haben eine ganze Menge Zertifikate aus der Beta-Phase absolut reibungslos verlängert). Dieses Update planen wir am Donnerstag (28.01.) als "stable" freizugeben, da dann auch ein als "kritisch" eingestuftes Update für OpenSSL verfügbar gemacht wird. Ab da bleiben also über vier Wochen Zeit, LiveConfig zu aktualisieren um dann auch Zertifikate automatisch erneuert zu bekommen.


    Die Authorisierungen für Domains sind übrigens 9-10 Monate gültig, daher dürften alle Verlängerungen reibungslos durchlaufen (da keine erneute Authorisierung erforderlich ist). Wir betreiben hier ja eine eigene Testinstanz vom "Boulder"-Server (das ist die CA-Software die auch hinter Let's Encrypt steckt). Damit testen wir den Fall, dass eine erneute Authorisierung nicht klappt (z.B. wenn eine Subdomain inzwischen nicht mehr existiert usw.), in dem Fall wird LiveConfig von sich aus rechtzeitig Warnungen verschicken.


    Viele Grüße


    -Klaus Keppler

  • Hallo Herr Keppler,
    danke für die Hinweise. Das die automatische Verlängerung erst ab der Version 2.1. zur Verfügung steht wusste ich nicht, dachte dies sollte aktuell jetzt schon funktionieren.


    Da ja nun noch gut 2 Wochen zeit sind bis meine ersten Zertifikate ablaufen werde ich also erstmal den Donnerstag abwarten...


  • Hallo Herr Keppler,
    wird die Version 2.1 noch vor dem Wochenende freigegeben oder verschiebt sich dies auf nächste Woche?

  • Hallo Zusammen,


    ich habe Version 2.1.1 mit 2 Servern verbunden, also Web, Mail und DB getrennt. Als LC DB nutze ich MySQL.


    Nun haben wir einige Lets Encrypt Zertifikate welche aber nicht Automatisch Aktualisiert werden :(
    Was mich dabei Verwirrt, im Zertifikat unter dem ACME Tab wird mir Angezeigt "Gültig Bis 18.10.2016". Status is valid. Das Zertifikat ist aber Abgelaufen und hat auch den Warnhinweis von LC.


    Im Log von LC selbst finde ich rein garnichts zu diesme Problem. Was da los? Kann mir jemand helfen? Brauche Dringend eine Lösung da mittlerweile eine Stange Zertifikate Abgelaufen sind.


    Vielen Dank!

  • Was im ACME-Tab angezeigt wird ist die Gültigkeit der Domain-Authorisierung (also quasi der Prüfung, dass die Domain Ihnen gehört). Diese ist normalerweise etwa 9 Monate lang gültig.


    LiveConfig startet 30 Tage vor Ablauf der Zertifikats-Gültigkeit automatisch die Verlängerung. Eine erneute Validierung ist dabei meistens nicht notwendig - im Grunde ruft LiveConfig einfach "nur" ein neues Zertifikat ab und richtet das ein.
    Schicken Sie uns bitte mal einen betroffenen Domainnamen an support@liveconfig.com, wir prüfen dann mal ob eventuell zu viele Zertifikate damit bei Let's Encrypt angefordert wurden.
    Im LiveConfig-Log (/var/log/liveconfig/liveconfig.log) sollten Sie zudem Fehlermeldungen finden, wenn etwas nicht geklappt hat (suchen Sie dort einfach mal nach dem betroffenen Domainnamen und/oder nach dem Stichwort "ACME").


    Viele Grüße


    -Klaus Keppler

  • Hallo Herr Keppler,


    die eMail ist raus.


    Zitat

    2016/03/24 07:53:12.316273] [650|22301] ACME: selecting new SSL certificate for 'www.example.com' (subscription 'kXXX')


    Sollte doch eig. mir sagen das es Verlängert wurde, oder?


    Viele Grüße

  • In Ihrem Fall haben Sie eventuell zu viele Zertifikate für die Domain beantragt (siehe Limits). Bitte suchen Sie mal im LiveConfig-Log nach "webmail.<IhreDomain>". Sie müssten dann entsprechende Fehlermeldungen finden ("too many certificates issued..." oder so ähnlich).


Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!