OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • Letsencrypt mit HA-Proxy
« previous next »
  • Print
Pages: [1]

Author Topic: Letsencrypt mit HA-Proxy  (Read 2123 times)

tsgraber

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
    • View Profile
Letsencrypt mit HA-Proxy
« on: August 10, 2019, 11:08:12 am »
Habe diese Konfiguration seit einiger Zeit in Betrieb. Jetzt kann ich die Zertifikate im Produktonmodus nicht mehr aktuallisieren
Logged

tomB

  • Newbie
  • *
  • Posts: 1
  • Karma: 0
    • View Profile
Re: Letsencrypt mit HA-Proxy
« Reply #1 on: October 03, 2019, 04:31:38 pm »
Hi tsgraber,

habe das gleiche Problem bei 3 versch. OPNsense Systemen mit eingerichteten HAProxy und Letsencrypt. Seit längerer Zeit funktioniert die Ausstellung von Zertifikaten nicht mehr. Hast du inzwischen eine Lösung finden können?

Bei mir erscheinen z. B. folgende Fehlermeldungen:

Code: [Select]
Thu Oct 3 00:00:25 CEST 2019] Please check log file for more details: /var/log/acme.sh.log
[Thu Oct 3 00:00:25 CEST 2019] _on_issue_err
[Thu Oct 3 00:00:25 CEST 2019] skip dns.
[Thu Oct 3 00:00:25 CEST 2019] dns_entries
[Thu Oct 3 00:00:25 CEST 2019] _clearupdns
[Thu Oct 3 00:00:25 CEST 2019] No need to restore nginx, skip.
[Thu Oct 3 00:00:25 CEST 2019] pid
"detail": "KeyID header contained an invalid account URL: \"https://acme-v01.api.letsencrypt.org/acme/reg/12345678\"",
[Thu Oct 3 00:00:25 CEST 2019] Create new order error. Le_OrderFinalize not found. {
[Thu Oct 3 00:00:25 CEST 2019] Le_OrderFinalize
[Thu Oct 3 00:00:25 CEST 2019] Le_LinkOrder
[Thu Oct 3 00:00:24 CEST 2019] code='400'
[Thu Oct 3 00:00:24 CEST 2019] _ret='0'
[Thu Oct 3 00:00:24 CEST 2019] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header -g '
[Thu Oct 3 00:00:24 CEST 2019] _post_url='https://acme-staging-v02.api.letsencrypt.org/acme/new-order'
[Thu Oct 3 00:00:24 CEST 2019] POST
[Thu Oct 3 00:00:24 CEST 2019] _ret='0'
[Thu Oct 3 00:00:23 CEST 2019] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header -g '
[Thu Oct 3 00:00:23 CEST 2019] _post_url='https://acme-staging-v02.api.letsencrypt.org/acme/new-nonce'
[Thu Oct 3 00:00:23 CEST 2019] HEAD
[Thu Oct 3 00:00:21 CEST 2019] RSA key
[Thu Oct 3 00:00:21 CEST 2019] payload='{"identifiers": [{"type":"dns","value":"my.domain.example"},{"type":"dns","value":"my.domain.example"}]}'
[Thu Oct 3 00:00:21 CEST 2019] url='https://acme-staging-v02.api.letsencrypt.org/acme/new-order'
[Thu Oct 3 00:00:21 CEST 2019] d
[Thu Oct 3 00:00:21 CEST 2019] d='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] Getting domain auth token for each domain
[Thu Oct 3 00:00:21 CEST 2019] Multi domain='DNS:my.domain.example,DNS:my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _createcsr
[Thu Oct 3 00:00:21 CEST 2019] Read key length:4096
[Thu Oct 3 00:00:21 CEST 2019] _saved_account_key_hash is not changed, skip register account.
[Thu Oct 3 00:00:21 CEST 2019] d
[Thu Oct 3 00:00:21 CEST 2019] _currentRoot='/var/etc/acme-client/challenges'
[Thu Oct 3 00:00:21 CEST 2019] Check for domain='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] d='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _currentRoot='/var/etc/acme-client/challenges'
[Thu Oct 3 00:00:21 CEST 2019] Check for domain='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] d='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] Le_LocalAddress
[Thu Oct 3 00:00:21 CEST 2019] _chk_alt_domains='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _chk_main_domain='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _on_before_issue
[Thu Oct 3 00:00:21 CEST 2019] Le_NextRenewTime='1565733641'
[Thu Oct 3 00:00:21 CEST 2019] ACME_VERSION='2'
[Thu Oct 3 00:00:21 CEST 2019] ACME_NEW_NONCE='https://acme-staging-v02.api.letsencrypt.org/acme/new-nonce'
[Thu Oct 3 00:00:21 CEST 2019] ACME_AGREEMENT='https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf'
[Thu Oct 3 00:00:21 CEST 2019] ACME_REVOKE_CERT='https://acme-staging-v02.api.letsencrypt.org/acme/revoke-cert'
[Thu Oct 3 00:00:21 CEST 2019] ACME_NEW_ACCOUNT='https://acme-staging-v02.api.letsencrypt.org/acme/new-acct'
Kann damit jemand etwas anfangen? Bzw. kann mir jemand sagen, wie das Problem zu lösen ist?
Danke  :D
Logged

tsgraber

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
    • View Profile
Re: Letsencrypt mit HA-Proxy
« Reply #2 on: October 07, 2019, 09:43:58 pm »
Guten Tag tomB

Habe noch einen anderen Forumeintrag für dieses Problem eröffnet, dort habe ich meine "Lösung" dokumentiert.

Es funktioniert bis dahin gut, obschon ich nicht weiss, warum das so ist :-\
https://forum.opnsense.org/index.php?topic=13776.0

LG
Thomas
Logged

fraenki

  • Full Member
  • ***
  • Posts: 175
  • Karma: 29
    • View Profile
    • GitHub
Re: Letsencrypt mit HA-Proxy
« Reply #3 on: October 14, 2019, 10:18:25 pm »
Wilde Vermutung, weil im Log "invalid account URL" steht: ihr habt irgendwann mal die Let's Encrypt Environment von Staging auf Production umgestellt, aber euer Account war schon für Staging registriert.

Für dieses Szenario ist ein Fix in Arbeit, damit das in Zukunft nicht mehr auftreten kann. Über den Status könnt ihr euch hier informieren:
https://github.com/opnsense/plugins/issues/1528


Ciao
- Frank
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • Letsencrypt mit HA-Proxy
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2