Plötzlich probleme mut ACME + HAProxy

pixel24

Hallo zusammen,

ich habe plötzlich Probleme mit den Zertifikaten (LE) bzw. dessen Nutzung im HA-Proxy. Das System jetzt jetzt lange Zeit Problemlos funktioniert und ich komme nicht dahinter was das Problem ist.

Ich nutze die Version 2.5.2-RELEASE (amd64) bereits seit sie raus kam.

Zum Problem. Die pfSense hat die feste IP WAN-IP: 10.11.12.13 (exemplarisch). Unsere externe Maildomain nennen wir einfach mal firma.de.

Hinter der pfSense nutze ich diverse Hosts über HTTPS mittels HA-Proxy:

• Nextcloud
• Pascom
• Kopano

Also habe ich auf dem externen Webserver die entsprechenden A-Records gesetzt:

• gw.firma.de
• cloud.firma.de
• pbx.firma.de

alle auf die WAN-IP: 10.11.12.13. In der pfsense entsprechend die Zertifikate konfiguriert:

Das Zertifikat habe ich heute auch mal verlängert. Entsprechend aktuell liegt die Datei im webftp.

Im HA-Proxy leite ich alles was für gw.firma.de per HTTPS rein kommt auf den entsprechenden internen Host durch und statte es mit dem o.g. Zertifikat aus.

Rufe ich nun im Firefox https://gw.firma.de auf wird das Zertifikat auch korrekt angezeigt. Aufgrund dieser Tatsache ging ich davon aus das Problem liegt irgendwo anders.

Hinter der pfSense befinden sich mehrere UCS-Server die diverse Dienste anbieten. Mein Problem das dann plötzlich diverse Anwendungen alle den gleichen Fehler ausgeben.

Alle mobilen Geräte (iOS und Android) sowie meine Nextcloud-Desktop-App (die nicht auf gw.firma.de sondern auf cloud.firma.de zugreift) melden plötzlich dass das Zertifikat ungültig wäre.

Kann das an der pfSense liegen oder eher wo anders? Ich wüsste nicht wo ich noch suchen soll.

Beste Grüße
pixel

Rico

https://forum.netgate.com/topic/166269/heads-up-dst-root-ca-x3-expiration-september-2021

-Rico

pixel24

Thanks for the info. My CA manager:

Check the CA manager and make sure you see the ISRG Root X1 ACME CA and a copy of the R3 CA which shows the ISRG Root X1 CA as its issuer. Any current cert should have shown this for a while.

The "SRG Root X1 ACME CA" is present. Which is the "copy of the R3 CA" ?

Find the old copy of the R3 CA which should be shown as expiring on Wed, 29 Sep 2021 (exact time/date will vary by time zone) and delete this CA entry

I have deleted these.

Check the CA list and find any ACME certs which now show external for the issuer

Should this be displayed here:

In the ACME package, manually renew the certificates noted in the previous step

This is what I have done

Confirm that all the ACME certs in the cert manager now show the correct R3 or equivalent CA as their issuer, and that the certificate count for that CA is correct on the CA manager tab.

I don't understand. Does it work for me in the Certificate Manager?

JeGr

@pixel24 Erstmal deutsch bleiben hier, dann verstehen das alle einfacher. :)

Um auf Nummer sicher zu gehen:

• Im Cert Manager unter CA(!) alle Acme Certs raus (also alle X1, R3)
• Dann im Acme Package jedes Zertifikat einmal re-newen lassen
• Wieder in den Cert Manager reinschauen unter CA: da sollten jetzt nur noch 2 drin sein, die aktuellen X1 und R3
• In den Reiter Certificates im Cert-Manager reinsehen: da sollte bei allen ACME Zerts dann als "Aussteller" das Acme R3 drinstehen.

Dann am Ende natürlich noch HAproxy neu starten, damit die Zerts auch in Speicher geladen werden.

Das sollte es tun.

Cheers
\jens

pixel24

@jegr said in Plötzlich probleme mut ACME + HAProxy:

Erstmal deutsch bleiben hier, dann verstehen das alle einfacher. :)

Oh sorry. Dachte wenn eine Antwort in englisch kommt soll man auch damit antworten.

Sieht soweit gut aus und funktioniert.

JeGr

@pixel24 said in Plötzlich probleme mut ACME + HAProxy:

Oh sorry. Dachte wenn eine Antwort in englisch kommt soll man auch damit antworten.

Nicht wenn du im Deutschen Forenteil bist ;) Zumal Rico ja nur den Link auf die engl. Sektion gepostet hat und nichts in englisch dazugeschrieben hatte :D

Aber wenns dann jetzt erstmal läuft ist das fein