LE: verlängertes Zertifikat wird nicht ins Dateisystem kopiert

  • Ich habe hier liveconfig 2.4.0-r4602 Standard auf Debian Jessie.


    Es betrifft 2 Zertifikate eines Kunden.


    Im Webinterface in der Zertifikatsverwaltung das Ablaufdatum 5.9.2017 stehen - also völlig korrekt. Das Zertifikat im Dateisystem läuft aber bereits am 6.7.2017 ab. Das LE-Zertifikat wurde laut liveconfig.log gestern am 7.6 erfolgreich verlängert.


    Code
    [2017/06/07 07:54:42.262042] [3397|16038] ACME: created new authorization request for 'meinedomain.de'
    [2017/06/07 07:54:42.660933] [3397|16038] ACME: created new authorization request for 'meinedomain.de'
    [2017/06/07 07:54:42.671195] [3397|16038] ACME: sceduling renewal of SSL certificate for 'meinedomain.de'
    [2017/06/07 07:56:45.972527] [3397|16908] ACME: accepted certificate request for 'meinedomain.de' (certificate URL: https://acme-v01.api.letsencrypt.org/acme/cert/039f0ddskfhsdfhsdkfjhsdkfjh5329f51afca)


    ---


    Interessant ist, dass auch das Modifikationsdatum der Zertifikatsdatei vom gleichen Tag ist(Ich habe vorher noch zusätzliche SSL-Zertifikate erzeugt, so dass LC die alten Zertifkate mit dem alten Inhalt wohl neu geschrieben hat).


    ---


    Als Versuch habe ich die veralteten Zertifikatsdateien gelöscht und LiveConfig veranlasst - durch erzeugen eines neuen Zertifikates - die Zertifikate neu zu schreiben. Damit wurden jetzt die neuen Zertifikate mit dem korrektem Ablaufdatum in die Zertifikatsdatei geschrieben.


    ---


    Zur Überprüfung meiner SSL-Zertifikate nehme ich eine angepasste Version hiervon:


    https://github.com/HeinleinSup…ee/master/sslcertificates

  • Das Problem ist gerade erneut aufgetreten auf einem anderen Server (Ubuntu 14.04 LTS, Liveconfig 2.4.1-r4635; Problem per Supportticket angefragt).


    Update


    Das Problem beim aktuellen Auftreten hat sich geklärt. Das Letsencrypt-Zertifikat war korrekt eingespielt. Nur das alte Zertifikat war noch nicht gelöscht und wurde deswegen vom eigenen Monitoringsystem mit Warnung wegen Ablauf quittiert.

  • Zertifikate liegen in /etc/ssl/certs. Das ist einfach implementiert, braucht wenig resourcen und geht sehr schnell.


    Wenn Du einen einfacheren Ansatz hast, wie ich alle Zertifikate mit allen SNI-Hostnamen für alle möglichen Anwendungen (mailserver, webserver, was-weiss-ich-server,...) auf einem Server(unabhängig ob jetzt liveconfig drauf ist oder nicht) prüfen kann: Immer her damit.


    Nachtrag


    Für die höheren SLA wird das Zertifikat natürlich online geprüft.

  • Ich habe mir jetzt mit einem Script als workaround beholfen, dass prüft, ob eine angemeckerte Datei ein LE-Zert ist, ob es auch tatsächlich abläuft und ob es wirklich nicht mehr in Verwendung ist(in /etc) und anschliessend löscht.


Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!