[Eisfair] Letsencrypt-Zertifikat abgelaufen :-(

[Uwe Kunze]

Hi Marcus,

da ich auf dem betroffenen eis leider keine Paketaktualisierungen mehr
machen kann (die Basis ist zu alt, ein Update würde wesentliche
Funktionalitäten kaputtmachen), habe ich folgendes gemacht:

Auf einem ganz neuen, frisch installieren eis1 (in einer VM) habe ich
die benötigten Pakete installiert.

Die erste Zertifikationsanfrage ging schief (die Zertifikatskette für
das erstellte Zertifikat war unvollständig) ... dabei hatte ich Deinen
Hinweis (ignore-list) vergessen.

Die zweite Anfrage hat dann ein gültiges Zertifikat gezaubert :-) !!

Danach habe ich den kompletten Ordner (/var/certs) auf die alte Maschine
kopiert (dabei ein paar Symlinks aktualisiert)... funktioniert !

Ohne Deinen Hinweis (ignore-List, s.u.) scheint also ein
funktionierendes Zertifikat-Update aktuell nicht möglich zu sein ...
evtl. ist das auch für andere User von Interesse.


Danke und schönen Sonntag noch.
Gruß Uwe


>> auf einem eis, der länger als 90 Tage nicht mehr online war, kann ich
>> das Zertifikat nicht (mehr) erneuern.
>>
>> "ERROR: Problem connecting to server (get for
>> https://acme-v02.api.letsencrypt.org/directory; curl returned with 60)"
>>
>> Das in der /etc/dehydrated/config angegebene Verzeichnis gibt es also
>> scheinbar bei Letsencrypt nicht mehr :-(
>>
>> Was kann ich jetzt tun ?
>> Wie bekomme ich jetzt (für die alte Domain) ein neues Zertifikat ?
>> Bin für jeden Tipp dankbar.
> 
> Ich glaube eher, dass das mit falschen Root-Zertifikaten zusammenhängt,
> nachdem es dort eine Änderung bezgl. des ISRG oot X1 gegeben hat.
> 
> Bitte prügele das base-certificate Paket drüber, schau, ob das certs-Paket
> aktuell ist und ergänze in der
> Datei /var/certs/ssl/certs-request-ignore-list die folgenden Zeilen:
> 
> r3
> isrg_root_x1
> isrg_root_x2
> 
> Danach versuche das letsencrypt -Zertifikat zu erneuern.