OPNsense Forum

International Forums => German - Deutsch => Topic started by: alexschomb on April 04, 2018, 03:54:56 pm

Title: Let's Encrypt: verwaiste Zertifikate
Post by: alexschomb on April 04, 2018, 03:54:56 pm
Dieser Beitrag richtet sich im Speziellen an @fraenki, welcher leider private Nachrichten geblockt hat.

Vorab vielen Dank für deine tolle Arbeit in diesem Projekt! :)

Ich habe für ein paar Zertifikate mit deinem Let's Encrypt Plugin das Problem, dass für die selbe Domain im HAproxy auch noch abgelaufene Zertifikate verfügbar sind - parallel zu den neuen. Wie das genau zu Stande kommt bin ich mir nicht sicher, ggfs. weil ich manuell die Zertifikate neu ausgestellt habe o.ä. Hier scheint ein Bug im Let's Encrypt Plugin zu sein, denn ich habe die Zertifikate ausschließlich über das Webinterface ausgestellt.

Kannst du mir zufällig sagen wie ich via SSH die veralteten Zertifikate löschen kann ohne etwas kaputt zu machen? Im Let's Encrypt Plugin werden nur die neuen Zertifikate angezeigt, nur das HAproxy Plugin sieht die alten. Einfach das entsprechende Zertifikat aus /var/etc/acme-client/certs/ löschen?

Anbei auch der Hinweis, dass beim erstellen eines neuen Zertifikats ich dieses immer zweimal manuell ausstellen muss damit das Ausstellen erfolgreich ist ("Create domain key error."). Leider ist die Logdatei im Webinterface nur über die Suche navigierbar, da es (noch?) keine Pagination gibt.  ;)

Liebe Grüße und vielen Dank!

Alex
Title: Re: Let's Encrypt: verwaiste Zertifikate
Post by: alexschomb on May 16, 2018, 12:07:14 am
Für alle die sich auch diese Frage gestellt haben, hier die Lösung, welche ich anwende. Unter System > Sicherheit > Zertifikate finden sich alle Zertifikate. Auch diese welche fälschlicherweise im HAproxy noch angezeigt werden, obwohl sie von Let's Encrypt nicht mehr bedient werden oder gar abgelaufen sind. Leider ist die Übersicht der Zertifikate nicht sehr benutzerfreundlich, da man weder filtern / sortieren kann, noch mehrere Zertifikate gleichzeitig bearbeiten kann. Mit ein wenig manueler Arbeit und wachen Augen klappt es dennoch, dass man über das Mülleimersymbol die betroffenen Zertifikate von Hand löscht. Danach werden diese nicht mehr angezeigt.

Vorhanden sie sie aber dennoch und so gibt es in diversen Unterordnern von /var/etc/acme-client/ noch Verweise der Zertifikate. Theoretisch kann man diese auch stehen lassen, schöner ist es jedoch sie zu Löschen. Leider sind bis auf in dem home-Ordner nur Hashes als Zuordnung vorhanden. Am einfachsten fand ich es die Logdatei von Let's Encrypt durchzugehen (in der Shell unter /var/log/acme.sh.log, nicht im Webinterface - da dort leider nur die letzten paar Einträge angezeigt werden und es keine Suchfunktion gibt) und die Hashes der ungewünschten Zertifikate zu ermitteln. Im Anschluss die entsprechenden Ordner einfach löschen.