[ACME Client] Probleme bei der Erneuerung eines Zertifikates

[Emma2]

Ich habe ein Problem mit zwei Let's-Encrypt-Zertifikaten für Websites: Sie werden erneuert, können aber nicht "importiert" werden.
Bei anderen Zertifikitan mit exakt den gleichen Einstellungen (bis auf den Namen natürlich) funktioniert es tadellos.
Im Protokoll steht dann:

Code Select Expand

2025-05-20T00:00:17 opnsense AcmeClient: failed to import certificate: www.my-failing-url.de
2025-05-20T00:00:17 opnsense AcmeClient: unable to import certificate www.my-failing-url.de, file not found: /var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/cert.pem
2025-05-20T00:00:17 opnsense AcmeClient: successfully issued/renewed certificate: www.my-failing-url.de
2025-05-20T00:00:15 opnsense AcmeClient: AcmeClient: The shell command returned exit code '0': '/usr/local/sbin/acme.sh --renew --syslog 6 --log-level 1 --server 'letsencrypt' --webroot /var/etc/acme-client/challenges --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/5aa7b9d1a23c91.56093114' --certpath '/var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/cert.pem' --keypath '/var/etc/acme-client/keys/5aa7b9d1a23c91.56093114/private.key' --capath '/var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/chain.pem' --fullchainpath '/var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/fullchain.pem' --domain 'www.my-failing-url.de' --days '1' --keylength '4096' --accountconf '/var/etc/acme-client/accounts/5aa7b7170e8c73.36911464_prod/account.conf''
2025-05-20T00:00:03 opnsense AcmeClient: using challenge type: <my working validation>
2025-05-20T00:00:03 opnsense AcmeClient: using IPv4 address: <my external IP>
2025-05-20T00:00:02 opnsense AcmeClient: account is registered: <my account>
2025-05-20T00:00:02 opnsense AcmeClient: using CA: letsencrypt
2025-05-20T00:00:02 opnsense AcmeClient: renew certificate: www.my-failing-url.de
2025-05-20T00:00:02 opnsense AcmeClient: certificate must be issued/renewed: www.my-failing-url.de

Was geht da schief? Ich finde nicht, wo ich etwas falsch gemacht habe... zumal es ja mit anderen URLs problemlos funktioniert.
In /var/etc/acme-client/cert-home/<subdir> stehen auch die neu erstellten Zertifikate drin, sie werden also "nur" nicht importiert.

[Emma2]

Oh, hat da niemand eine Idee zu? :-(

[viragomann]

Idee ja, aber leider kein Rezept.

Ich würde einfach die Zertifikatskonfiguration löschen und neu erstellen, und es anschließend nochmals versuchen.

Dein Log sagt nicht viel. Der Renew läuft ohne Fehler durch, aber anschließend wird das Zertifikat im gesetzten Pfad nicht gefunden. Möglicherweise hat sich da was "verschoben".
Du kannst manuell überprüfen, ob es da vorhanden ist, oder vielleicht in einem anderen Verzeichnis liegt.

Wenn du es aber noch troubleshooten möchtest, kannst du den Log-Level in den Settings auf Debug setzen und nochmals einen Renew versuchen.

[Emma2]

Danke fürs Kümmern.

Die neuen Zertifikate SIND tatäschlich in den angegebenen Verzeichnissen, aber anscheinnd können sie nicht von dort ins Zielverzeichnis kopiert werden. Was könnte sich denn da "verschoben" haben? Irgendwelche Rechte vielleicht? Ein kurzer Blick mit "ls -l" zeigt allerdings die gleichen Rechte wie auf den Verzeichnissen, auf denen es nach wie vor funktioniert. Und die Konfigurationen der funktionierenden und nicht funktionierenden Zertifikate sind meines Erachtens auch gleich. Seltsam, oder?