[Gelöst] Falsches Zertifikat ausgeliefert: by design.

Emma2 · March 03, 2020, 03:46:02 PM

Hallo.
Ich habe gerade ein - für mein Verständnis - seltsames Verhalten festgestellt:
Wenn ich ein (Web-)Zertifikat erneuere, dann wird dies zunächst nicht automatisch ausgeliefert, sondern ich muss zunächst im HAProxy in den Öffentlichen Diensten beim HTTPS-Dienst dieses Zertifikat entfernen und dann neu einfügen.
Ist das "by design"? Oder ist das einstellbar? Ich dachte, dass immer das aktuelle Zertifikat dieses Namens verwendet würde. Aber irgendwie scheint der HAProxy (oder wer sonst?) das Zertifikat zu "cachen". Kann das sein?

superwinni2 · March 03, 2020, 04:19:56 PM

Nachdem man das Zertifikat erneuert hat, muss man den HAProxy Dienst neustarten.
Ob dies nun durch ändern der Config oder normales (automatisches) neustarten passiert ist egal.
Bei LetsEncrypt gibt es dafür extra die "Automation"

Emma2 · March 03, 2020, 04:49:10 PM

Danke, superwinni, für die Erläuterung.

Dann ist das ja tatsächlich definiertes Verhalten und war mir bisher nur nicht aufgefallen, weil ich vermutlich die opnSense dann auch mal neu gestartet hatte.

Ich lege also bei "Let's Encrypt" in der "Automation" ein "Restart HAProxy" als "Run Command" an.
Dann trage ich diesen Befehl bei jedem Zertifikat in die "Automations" ein?
Probiere ich aus. Nochmals: Danke!

p.s.: Ist wohl auch schon beschrieben, hatte das nur nicht gefunden... https://forum.opnsense.org/index.php?topic=15263.0

superwinni2 · March 03, 2020, 05:05:22 PM

Gerne ;)

Genau richtig erkannt und hoffentlich umgesetzt ;D
Sobald dann LetsEncrypt ein neues Zertifikat "aktiviert", wird automatisch der HAProxy neugestartet und so werden dann die Zertifikate "gefunden"

[Gelöst] Falsches Zertifikat ausgeliefert: by design.

Emma2

March 03, 2020, 03:46:02 PM Last Edit: March 03, 2020, 04:52:38 PM by Emma2

superwinni2

March 03, 2020, 04:19:56 PM #1

Emma2

March 03, 2020, 04:49:10 PM #2

superwinni2

March 03, 2020, 05:05:22 PM #3