18.7.4 > Neues LetsEncrypt Zertifikat nicht automatisch in HA Proxy eingebunden

[toostrong]

Hallo Zusammen,

hatte heute das Problem das ich mein Lets Encrypt Zertifikate habe erneuern lassen
aber das neue Zertifikat wurde nicht automatisch in den HA Proxy eingebunden.

Altes Zertifikat war noch im Ordner /var/etc/haproxy/ssl

Habe es dann aus /var/etc/acme-client/certs händisch zusammengebaut (CA, Key, Zertifikat)

Aber ich glaube das ist hier nicht der Sinn der Sache.
Die Konfiguration ist schon seit 17.irgendwas nicht mehr geändert worden.
Vor 3 Monaten bei der letzen Aktualisierung ging es noch automatisch.

Wurde was am Plugin geändert und hat jemand ein gleiches Verhalten bemerkt?
Habe ich was übersehen?


Herzliche Grüße

toostrong

Stay Safe!!!

[toostrong]

Auch ein manuelles ausführen von

/usr/local/opnsense/scripts/OPNsense/HAProxy/setup.sh

führt nicht zum gewünschten Ergebnis.

Mit welchen Nutzer muss dies ausgeführt werden und wie kann ich dies am besten debuggen?

[BeNe]

Bin ebenfalls auf 18.7.4 und es funktioniert hier.

hatte heute das Problem das ich mein Lets Encrypt Zertifikate habe erneuern lassen
aber das neue Zertifikat wurde nicht automatisch in den HA Proxy eingebunden.

Das Zertifikat hat sich erneuern lassen, aber steht nicht unter Public Servern zur Auswahl ?
Oder ist es schon beim verlängern gescheitert ?

[toostrong]

Das Verlängern mit Acme Client hat wunderbar funktioniert.
Das Script was aus dem neuen Zertifikat die PEM Datei erstellt die in /var/etc/haproxy/ssl liegt hat nicht funktioniert.

Ich glaube ich habe was rausgefunden woran es evtl. gelegen hat.
Nächste Automatische Erneuerung ist leider erst  wieder in 3 Monaten, so das ich es nicht mit bestimmtheit sagen kann.

In der GUI Konfiguration des HAProxy war das Zertifikat nicht mehr in der SSL Entlastung ausgewählt.
Im Konfigurationsfile war es aber noch hinterlegt, so das der HAProxy schön seinen Dienst getan hat.



Habs wieder hinzugefügt. Mal sehen ob es in 3 Monaten funktioniert.

[toostrong]

Ich glaube das Problem identifiziert zu haben.

Ich habe heute die Zertifikatsprüfung erzwungen.
Zertifikat wurde erneuert und das Certhelper Script hat das neue Zertifikat tatsächlich erneuert laut Log Datei:

Oct 19 18:18:02 xxx opnsense: /usr/local/opnsense/scripts/OPNsense/AcmeClient/certhelper.php: AcmeClient: issued/renewed certificate: xxxx.xxx
Oct 19 18:18:02 SiloSense opnsense: /usr/local/opnsense/scripts/OPNsense/AcmeClient/certhelper.php: AcmeClient: Imported Let's Encrypt X.509 certificate: xxx.xxx
Oct 19 18:18:02 xxx config[31874]: /usr/local/opnsense/scripts/OPNsense/AcmeClient/certhelper.php: AcmeClient: running restart action: HAProxy Restart

Leider war danach in der GUI im HAProxy Plugin das Zertifikat verschwunden.
Warum auch immer?



Nach erneutem hinzufügen und Neustart vom HaProxy und es ist wieder gut.
Warscheinlich bis zur nächsten Erneuerung.

Hat jemand dieses Problem schon gehabt?