[Gelöst] Falsches Zertifikat ausgeliefert: by design.

[Emma2]

Hallo.
Ich habe gerade ein - für mein Verständnis - seltsames Verhalten festgestellt:
Wenn ich ein (Web-)Zertifikat erneuere, dann wird dies zunächst nicht automatisch ausgeliefert, sondern ich muss zunächst im HAProxy in den Öffentlichen Diensten beim HTTPS-Dienst dieses Zertifikat entfernen und dann neu einfügen.
Ist das "by design"? Oder ist das einstellbar? Ich dachte, dass immer das aktuelle Zertifikat dieses Namens verwendet würde. Aber irgendwie scheint der HAProxy (oder wer sonst?) das Zertifikat zu "cachen". Kann das sein?

[superwinni2]

Nachdem man das Zertifikat erneuert hat, muss man den HAProxy Dienst neustarten.
Ob dies nun durch ändern der Config oder normales (automatisches) neustarten passiert ist egal.
Bei LetsEncrypt gibt es dafür extra die "Automation"

[Emma2]

Danke, superwinni, für die Erläuterung.

Dann ist das ja tatsächlich definiertes Verhalten und war mir bisher nur nicht aufgefallen, weil ich vermutlich die opnSense dann auch mal neu gestartet hatte.

Ich lege also bei "Let's Encrypt" in der "Automation" ein "Restart HAProxy" als "Run Command" an.
Dann trage ich diesen Befehl bei jedem Zertifikat in die "Automations" ein?
Probiere ich aus. Nochmals: Danke!

p.s.: Ist wohl auch schon beschrieben, hatte das nur nicht gefunden... https://forum.opnsense.org/index.php?topic=15263.0

[superwinni2]

Gerne 


Genau richtig erkannt und hoffentlich umgesetzt 
Sobald dann LetsEncrypt ein neues Zertifikat "aktiviert", wird automatisch der HAProxy neugestartet und so werden dann die Zertifikate "gefunden"