[gelöst] Letsencrypt Zertifikatserneuerung (HA-Proxy)

Started by tsgraber, August 10, 2019, 11:19:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 10, 2019, 11:19:39 AM Last Edit: August 19, 2019, 08:28:16 PM by tsgraber
Habe diese Konfiguration schon einige Zeit in Betrieb. Jetzt kann ich die Zertifikate im Produktonsmodus nicht mehr aktualliseiren. Im Stagingmodus keine Probleme. Erhalte im Produktonsmodus im Log die folgende Fehlermeldung:
Code Select
[Sat Aug 10 10:36:07 CEST 2019] Le_OrderFinalize
[Sat Aug 10 10:36:07 CEST 2019] Create new order error. Le_OrderFinalize not found. {
  "type": "urn:ietf:params:acme:error:malformed",
  "detail": "KeyID header contained an invalid account URL: \"https://acme-staging-v02.api.letsencrypt.org/acme/acct/xxxxxxx\"",
  "status": 400
}
Habe das ganze auf einer neuen VM von Grund an neu eingerichtet, gleiches Ergebnis.
Hat jemand eine Idee?

OPNsense 19.7.2-amd64
os-acme-client (installiert)     1.24      249KiB     Let's Encrypt client   
os-dyndns (installiert)       1.16_1      137KiB     Dynamic DNS Support   
os-haproxy (installiert)          2.17      448KiB     Reliable, high performance TCP/HTTP load balancer
August 15, 2019, 10:23:13 PM #1
Ich hab das selbe Problem.


Code Select

[Thu Aug 15 22:19:25 CEST 2019] Create new order error. Le_OrderFinalize not found. {
  "type": "urn:ietf:params:acme:error:malformed",
  "detail": "KeyID header contained an invalid account URL: \"https://acme-staging-v02.api.letsencrypt.org/acme/acct/xyxyxyxyxyxyx\"",
  "status": 400
}



Auch der Workarround hier https://forum.opnsense.org/index.php?topic=13206.0 brachte keine Lösung.
August 15, 2019, 11:02:20 PM #2
Hab's gelöst.

mein Accountname war nach dem Muster xxx.yyy.zzz aufgebaut
Nach Änderung auf xxx hats geklappt.

August 19, 2019, 08:18:35 PM #3
Danke veruhl für deine Inputs.
Auch bei mir brachte der der Workarround hier https://forum.opnsense.org/index.php?topic=13206.0 brachte keine Lösung.
Habe den Accountname auch noch angepasst, keine Veränderung.

Habe danach ein "Reset acme client" in der Let's Encrypt Erweiterung gemacht. Danach habe ich direkt im Produktionsmodus die Zertifikate erneuert, so kam kein Fehler mehr.
Aber ich weiss nicht wirklich wo das Problem lag, Hauptsache ich habe wieder gültige Zertifikate.
October 14, 2019, 10:18:16 PM #4
Wilde Vermutung, weil im Log "invalid account URL" steht: ihr habt irgendwann mal die Let's Encrypt Environment von Staging auf Production umgestellt, aber euer Account war schon für Staging registriert.

Für dieses Szenario ist ein Fix in Arbeit, damit das in Zukunft nicht mehr auftreten kann. Über den Status könnt ihr euch hier informieren:
https://github.com/opnsense/plugins/issues/1528


Ciao
- Frank
Print
Go Up Pages1
User actions