freak-on-silicon
Goto Top

Horizon LetsEncrypt Renewal CIPHER MISMATCH

Servus;

Bin wiedermal am Verzweifeln...

VMWare Horizon.
zwei Connection Server
ein Security Server
alles Server 2016

Zertifikat über letsencrypt mit win-acme.

Bin jetzt beim 6. Renewal und habe ein Problem
Wenn ich das neue Zertifikat austausche, bekomme ich im Chrome "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" bzw im Firefox "SSL_ERROR_NO_CYPHER_OVERLAP".

Ich habe alles so gemacht wie immer, keine Ahnung was ich falsch mache.
Die Server wurden neugestartet. Sobald ich wieder das alte Zertifikat einspiele, funktioniert wieder alles problemlos.

Habe mich zu tote gegoogelt, und da kommen eigentlich immer die zwei selben "Lösungen".
1. Das neue Zertifikat von "C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates" nehmen, das mache ich immer schon so
2. Das Zertifikat beim Importieren exportierbar machen, sprich den Haken setzen, das mache ich auch immer schon.

Ich habe noch mit ssllabs.com/ssltest/ getestet, mit dem alten Zertifikat alles in Ordnung.
Beim neuen kommt nur "Assessment failed: Failed to communicate with the secure server".
DAS finde ich sehr interessant, leider kann ich damit nichts anfangen.

Weiß leider nicht weiter und das alte Zertifikat läuft morgen aus.

Mfg

Content-Key: 6390948855

Url: https://administrator.de/contentid/6390948855

Printed on: February 23, 2024 at 08:02 o'clock

Member: Dani
Dani Mar 16, 2023 updated at 11:33:43 (UTC)
Goto Top
Moin,
zwei Connection Server
welche Version ist im Einsatz?

ein Security Server
Welche Version ist im Einsatz?

Wenn ich das neue Zertifikat austausche, bekomme ich im Chrome "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" bzw im Firefox "SSL_ERROR_NO_CYPHER_OVERLAP".
Beide Browser auf der neusten verfügbaren Version?
Tritt das Problem auch auf, wenn du den Private Mode des Browser nutzt?

Die Server wurden neugestartet. Sobald ich wieder das alte Zertifikat einspiele, funktioniert wieder alles problemlos.
  • Hast du die Attribute beider SSL-Zertifikate nebeneinander gelegt und abgeglichen. Gibt es Unterschiede und wenn ja welche?
  • Wenn du das alte Zertifikat wieder einspielst, die Server neu startest, funktioniert der Test über ssllabs.com/ssltest/ auch?


Gruß,
Dani
Member: Freak-On-Silicon
Freak-On-Silicon Mar 16, 2023 updated at 11:40:21 (UTC)
Goto Top
Zitat von @Dani:

Moin,
zwei Connection Server
welche Version ist im Einsatz?

ein Security Server
Welche Version ist im Einsatz?

Alle drei 7.13.1
Wenn ich das neue Zertifikat austausche, bekomme ich im Chrome "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" bzw im Firefox "SSL_ERROR_NO_CYPHER_OVERLAP".
Beide Browser auf der neusten verfügbaren Version?
Ja
Tritt das Problem auch auf, wenn du den Private Mode des Browser nutzt?
Ja
Die Server wurden neugestartet. Sobald ich wieder das alte Zertifikat einspiele, funktioniert wieder alles problemlos.
* Hast du die Attribute beider SSL-Zertifikate nebeneinander gelegt und abgeglichen. Gibt es Unterschiede und wenn ja welche?
Ja hab ich, mir ist nichts aufgefallen.
* Wenn du das alte Zertifikat wieder einspielst, die Server neu startest, funktioniert der Test über ssllabs.com/ssltest/ auch?
Ja


Gruß,
Dani

Danke
Lukas
Member: Dani
Dani Mar 16, 2023 at 11:54:00 (UTC)
Goto Top
Moin,
Alle drei 7.13.1
huch... ich hoffe die Migration auf 8er ist in Planung oder sogar bereits in der Umsetzung.

Ja hab ich, mir ist nichts aufgefallen.
Du kannst noch folgende Dinge mit dem neuen Zertifikat prüfen:
  • Lauscht der Service auf Port 80 und 443?
  • Was steht nach dem Tausch bzw. Neustart des Security Server in dessen Logfile? Wo diese liegen, kann ich dir nicht sagen. Ich habe schon seit Jahren kein Security Server mehr in der Hand gehabt. Wir nutzen überall das UAG.
  • Könnten die NTFS Berechtigungen nicht mehr stimmen?

Gruß,
Dani
Member: Freak-On-Silicon
Freak-On-Silicon Mar 16, 2023 at 12:12:32 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Alle drei 7.13.1
huch... ich hoffe die Migration auf 8er ist in Planung oder sogar bereits in der Umsetzung.
Nein, nur auf 7.13.2. Dann lassen wir das auslaufen, ist nicht mehr bezahlbar.
Ja hab ich, mir ist nichts aufgefallen.
Du kannst noch folgende Dinge mit dem neuen Zertifikat prüfen:
  • Lauscht der Service auf Port 80 und 443?
  • Was steht nach dem Tausch bzw. Neustart des Security Server in dessen Logfile? Wo diese liegen, kann ich dir nicht sagen. Ich habe schon seit Jahren kein Security Server mehr in der Hand gehabt. Wir nutzen überall das UAG.
  • Könnten die NTFS Berechtigungen nicht mehr stimmen?
Hmm, werde ich versuchen zu überprüfen.

Gruß,
Dani
Member: Dani
Dani Mar 16, 2023 at 12:58:25 (UTC)
Goto Top
Moin,
Nein, nur auf 7.13.2. Dann lassen wir das auslaufen, ist nicht mehr bezahlbar.
die neuen Lizenzen sind nur noch als Abo verfügbar. Dann verteilt sich die Kosten doch problemlos. face-wink


Gruß,
Dani
Member: Freak-On-Silicon
Freak-On-Silicon Mar 16, 2023 at 13:12:14 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Nein, nur auf 7.13.2. Dann lassen wir das auslaufen, ist nicht mehr bezahlbar.
die neuen Lizenzen sind nur noch als Abo verfügbar. Dann verteilt sich die Kosten doch problemlos. face-wink


Gruß,
Dani

Jo, sind aber trotzdem, ich glaub 7500€, da sind mindestens 6500 zu viel face-big-smile
Member: Freak-On-Silicon
Solution Freak-On-Silicon Mar 16, 2023 at 13:55:35 (UTC)
Goto Top
Jetzt funktionierts....
Hab ein weiteres Renewal angestoßen und habe jetzt nicht das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " genommen sondern das was win-acme im store installiert.

Dieses hab ich dann exportiert und bei den anderen Servern importiert.

Was sehr sehr eigenartig ist, denn die 5 mal zuvor musste ich eben das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " nehmen...
Member: Dani
Dani Mar 16, 2023 at 14:14:41 (UTC)
Goto Top
Moin,
Hab ein weiteres Renewal angestoßen und habe jetzt nicht das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " genommen sondern das was win-acme im store installiert.
und worin unterscheiden sich die Zertifikate nun?!

Dieses hab ich dann exportiert und bei den anderen Servern importiert.
Du tauschst manuell alle 75 Tage das SSL-Zertifikat aus? Uff...


Gruß,
Dani
Member: Freak-On-Silicon
Freak-On-Silicon Mar 16, 2023 at 14:26:19 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Hab ein weiteres Renewal angestoßen und habe jetzt nicht das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " genommen sondern das was win-acme im store installiert.
und worin unterscheiden sich die Zertifikate nun?!
Hab ich (noch) nicht geschaut, bin jetzt mal froh dass ich nach etlichen Stunden das geschafft habe, im Urlaub....
Dieses hab ich dann exportiert und bei den anderen Servern importiert.
Du tauschst manuell alle 75 Tage das SSL-Zertifikat aus? Uff...
Klingt bescheuert, ist es auch....

Gruß,
Dani