Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: tsgraber on August 10, 2019, 11:08:12 AM

Title: Letsencrypt mit HA-Proxy
Post by: tsgraber on August 10, 2019, 11:08:12 AM
Habe diese Konfiguration seit einiger Zeit in Betrieb. Jetzt kann ich die Zertifikate im Produktonmodus nicht mehr aktuallisieren
Title: Re: Letsencrypt mit HA-Proxy
Post by: tomB on October 03, 2019, 04:31:38 PM
Hi tsgraber,

habe das gleiche Problem bei 3 versch. OPNsense Systemen mit eingerichteten HAProxy und Letsencrypt. Seit längerer Zeit funktioniert die Ausstellung von Zertifikaten nicht mehr. Hast du inzwischen eine Lösung finden können?

Bei mir erscheinen z. B. folgende Fehlermeldungen:

Code Select
Thu Oct 3 00:00:25 CEST 2019] Please check log file for more details: /var/log/acme.sh.log
[Thu Oct 3 00:00:25 CEST 2019] _on_issue_err
[Thu Oct 3 00:00:25 CEST 2019] skip dns.
[Thu Oct 3 00:00:25 CEST 2019] dns_entries
[Thu Oct 3 00:00:25 CEST 2019] _clearupdns
[Thu Oct 3 00:00:25 CEST 2019] No need to restore nginx, skip.
[Thu Oct 3 00:00:25 CEST 2019] pid
"detail": "KeyID header contained an invalid account URL: \"https://acme-v01.api.letsencrypt.org/acme/reg/12345678\"",
[Thu Oct 3 00:00:25 CEST 2019] Create new order error. Le_OrderFinalize not found. {
[Thu Oct 3 00:00:25 CEST 2019] Le_OrderFinalize
[Thu Oct 3 00:00:25 CEST 2019] Le_LinkOrder
[Thu Oct 3 00:00:24 CEST 2019] code='400'
[Thu Oct 3 00:00:24 CEST 2019] _ret='0'
[Thu Oct 3 00:00:24 CEST 2019] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header -g '
[Thu Oct 3 00:00:24 CEST 2019] _post_url='https://acme-staging-v02.api.letsencrypt.org/acme/new-order'
[Thu Oct 3 00:00:24 CEST 2019] POST
[Thu Oct 3 00:00:24 CEST 2019] _ret='0'
[Thu Oct 3 00:00:23 CEST 2019] _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header -g '
[Thu Oct 3 00:00:23 CEST 2019] _post_url='https://acme-staging-v02.api.letsencrypt.org/acme/new-nonce'
[Thu Oct 3 00:00:23 CEST 2019] HEAD
[Thu Oct 3 00:00:21 CEST 2019] RSA key
[Thu Oct 3 00:00:21 CEST 2019] payload='{"identifiers": [{"type":"dns","value":"my.domain.example"},{"type":"dns","value":"my.domain.example"}]}'
[Thu Oct 3 00:00:21 CEST 2019] url='https://acme-staging-v02.api.letsencrypt.org/acme/new-order'
[Thu Oct 3 00:00:21 CEST 2019] d
[Thu Oct 3 00:00:21 CEST 2019] d='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] Getting domain auth token for each domain
[Thu Oct 3 00:00:21 CEST 2019] Multi domain='DNS:my.domain.example,DNS:my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _createcsr
[Thu Oct 3 00:00:21 CEST 2019] Read key length:4096
[Thu Oct 3 00:00:21 CEST 2019] _saved_account_key_hash is not changed, skip register account.
[Thu Oct 3 00:00:21 CEST 2019] d
[Thu Oct 3 00:00:21 CEST 2019] _currentRoot='/var/etc/acme-client/challenges'
[Thu Oct 3 00:00:21 CEST 2019] Check for domain='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] d='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _currentRoot='/var/etc/acme-client/challenges'
[Thu Oct 3 00:00:21 CEST 2019] Check for domain='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] d='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] Le_LocalAddress
[Thu Oct 3 00:00:21 CEST 2019] _chk_alt_domains='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _chk_main_domain='my.domain.example'
[Thu Oct 3 00:00:21 CEST 2019] _on_before_issue
[Thu Oct 3 00:00:21 CEST 2019] Le_NextRenewTime='1565733641'
[Thu Oct 3 00:00:21 CEST 2019] ACME_VERSION='2'
[Thu Oct 3 00:00:21 CEST 2019] ACME_NEW_NONCE='https://acme-staging-v02.api.letsencrypt.org/acme/new-nonce'
[Thu Oct 3 00:00:21 CEST 2019] ACME_AGREEMENT='https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf'
[Thu Oct 3 00:00:21 CEST 2019] ACME_REVOKE_CERT='https://acme-staging-v02.api.letsencrypt.org/acme/revoke-cert'
[Thu Oct 3 00:00:21 CEST 2019] ACME_NEW_ACCOUNT='https://acme-staging-v02.api.letsencrypt.org/acme/new-acct'

Kann damit jemand etwas anfangen? Bzw. kann mir jemand sagen, wie das Problem zu lösen ist?
Danke  :D
Title: Re: Letsencrypt mit HA-Proxy
Post by: tsgraber on October 07, 2019, 09:43:58 PM
Guten Tag tomB

Habe noch einen anderen Forumeintrag für dieses Problem eröffnet, dort habe ich meine "Lösung" dokumentiert.

Es funktioniert bis dahin gut, obschon ich nicht weiss, warum das so ist :-\
https://forum.opnsense.org/index.php?topic=13776.0 (https://forum.opnsense.org/index.php?topic=13776.0)

LG
Thomas
Title: Re: Letsencrypt mit HA-Proxy
Post by: fraenki on October 14, 2019, 10:18:25 PM
Wilde Vermutung, weil im Log "invalid account URL" steht: ihr habt irgendwann mal die Let's Encrypt Environment von Staging auf Production umgestellt, aber euer Account war schon für Staging registriert.

Für dieses Szenario ist ein Fix in Arbeit, damit das in Zukunft nicht mehr auftreten kann. Über den Status könnt ihr euch hier informieren:
https://github.com/opnsense/plugins/issues/1528


Ciao
- Frank
Text only | Text with Images