Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: tsgraber on August 10, 2019, 11:19:39 AM

Title: [gelöst] Letsencrypt Zertifikatserneuerung (HA-Proxy)
Post by: tsgraber on August 10, 2019, 11:19:39 AM
Habe diese Konfiguration schon einige Zeit in Betrieb. Jetzt kann ich die Zertifikate im Produktonsmodus nicht mehr aktualliseiren. Im Stagingmodus keine Probleme. Erhalte im Produktonsmodus im Log die folgende Fehlermeldung:
Code Select
[Sat Aug 10 10:36:07 CEST 2019] Le_OrderFinalize
[Sat Aug 10 10:36:07 CEST 2019] Create new order error. Le_OrderFinalize not found. {
  "type": "urn:ietf:params:acme:error:malformed",
  "detail": "KeyID header contained an invalid account URL: \"https://acme-staging-v02.api.letsencrypt.org/acme/acct/xxxxxxx\"",
  "status": 400
}
Habe das ganze auf einer neuen VM von Grund an neu eingerichtet, gleiches Ergebnis.
Hat jemand eine Idee?

OPNsense 19.7.2-amd64
os-acme-client (installiert)     1.24      249KiB     Let's Encrypt client   
os-dyndns (installiert)       1.16_1      137KiB     Dynamic DNS Support   
os-haproxy (installiert)          2.17      448KiB     Reliable, high performance TCP/HTTP load balancer
Title: Re: Letsencrypt Zertifikatserneuerung (HA-Proxy)
Post by: veruhl on August 15, 2019, 10:23:13 PM
Ich hab das selbe Problem.


Code Select

[Thu Aug 15 22:19:25 CEST 2019] Create new order error. Le_OrderFinalize not found. {
  "type": "urn:ietf:params:acme:error:malformed",
  "detail": "KeyID header contained an invalid account URL: \"https://acme-staging-v02.api.letsencrypt.org/acme/acct/xyxyxyxyxyxyx\"",
  "status": 400
}



Auch der Workarround hier https://forum.opnsense.org/index.php?topic=13206.0 (https://forum.opnsense.org/index.php?topic=13206.0) brachte keine Lösung.
Title: Re: Letsencrypt Zertifikatserneuerung (HA-Proxy)
Post by: veruhl on August 15, 2019, 11:02:20 PM
Hab's gelöst.

mein Accountname war nach dem Muster xxx.yyy.zzz aufgebaut
Nach Änderung auf xxx hats geklappt.

Title: Re: Letsencrypt Zertifikatserneuerung (HA-Proxy)
Post by: tsgraber on August 19, 2019, 08:18:35 PM
Danke veruhl für deine Inputs.
Auch bei mir brachte der der Workarround hier https://forum.opnsense.org/index.php?topic=13206.0 brachte keine Lösung.
Habe den Accountname auch noch angepasst, keine Veränderung.

Habe danach ein "Reset acme client" in der Let's Encrypt Erweiterung gemacht. Danach habe ich direkt im Produktionsmodus die Zertifikate erneuert, so kam kein Fehler mehr.
Aber ich weiss nicht wirklich wo das Problem lag, Hauptsache ich habe wieder gültige Zertifikate.
Title: Re: [gelöst] Letsencrypt Zertifikatserneuerung (HA-Proxy)
Post by: fraenki on October 14, 2019, 10:18:16 PM
Wilde Vermutung, weil im Log "invalid account URL" steht: ihr habt irgendwann mal die Let's Encrypt Environment von Staging auf Production umgestellt, aber euer Account war schon für Staging registriert.

Für dieses Szenario ist ein Fix in Arbeit, damit das in Zukunft nicht mehr auftreten kann. Über den Status könnt ihr euch hier informieren:
https://github.com/opnsense/plugins/issues/1528


Ciao
- Frank
Text only | Text with Images