Lets Encrypt Root Zertifikat Wechsel macht Probleme

Hallo Leute,

Heute Nacht dürfte es einen Wechsel des Root Zertifikats gegeben haben seitdem zicken bei uns die IOS Geräte rum.

https://armann-systems.com/news/wichtig-fuer-admins-zertifikatswechsel-b ...

Hat jemand eine Idee wie man das am einfachsten lösen kann?

LG Jojo

Content-Key: 1325883551

Url: https://administrator.de/contentid/1325883551

Ausgedruckt am: 23.10.2021 um 17:10 Uhr

Mitglied: em-pie
em-pie 30.09.2021 um 07:52:35 Uhr
Goto Top
Moin,

solange die Clients die (neuen) Root-Zertifikate nicht kennen…

Heise hat da bereits ein wenig was zu geschrieben:
https://www.heise.de/news/Let-s-Encrypt-Zertifikate-Ruckler-am-30-Septem ...

Gruß
em-pie
Mitglied: jojo0411
jojo0411 30.09.2021 um 08:06:24 Uhr
Goto Top
Danke für die Info.

Wenn ich den SSL Test mache dann bekomme ich das Ergebnis:

Chain issues Not trusted as supplied

Ich nutze Certify the Web für die Aktualisierung. Dort heißt es nur das man die neueste Version benötigt und dann einen Renew durchführen muss.

Das hat aber nicht geholfen.

LG Alex
Mitglied: jojo0411
jojo0411 30.09.2021 um 08:27:51 Uhr
Goto Top
Ok, wenn ich das Mailkonto lösche und wieder anlege kann ich in diesem Zuge dem Zertifikat vertrauen. Dann funktioniert es wieder.

Aber wie kann ich jetzt an die 100 Geräte mit dem Zertifikat versorgen?
Mitglied: LordGurke
LordGurke 30.09.2021 um 09:28:20 Uhr
Goto Top
Das darfst du dann alle drei Monate, wenn sich dein LE-Zertifikat erneuert, wiederholen. Würde ich nicht als Lösung bezeichnen...

Dein Problem ist eher, dass du falsche Zwischenzertifikate ("Chain") auslieferst.
Diese werden normalerweise passend mit den Zertifikaten erzeugt, aber vielleicht musst du hier händisch tätig werden. Könnte z.B. sein, dass das bei dir auf dem Server mal händisch konfiguriert wurde und jetzt händisch aktualisiert werden muss...
Mitglied: LauneBaer
LauneBaer 30.09.2021 um 09:40:29 Uhr
Goto Top
Hier steht noch ein bisschen was dazu von Certify the Web: Klick mich!

Wir nutzen das ebenfalls für unseren Exchange und der Wechsel hat (scheinbar) problemlos funktioniert. (sonst hätte ich schon mehr Geschrei gehört ;) )
Mitglied: jojo0411
jojo0411 30.09.2021 um 09:54:54 Uhr
Goto Top
Also ich denke das Zertifikat am Server ist richtig. Im Webmail wird schon ISRG Root X1 als Aussteller angezeigt. Es scheint nur so das manche IOS Geräte das nicht installiert haben.

Es tritt auch nicht bei allen auf.
Mitglied: LordGurke
Lösung LordGurke 30.09.2021 um 10:18:44 Uhr
Goto Top
Kannst du einmal den kompletten vom Server gelieferten Chain testen, z.B. mit https://www.ssllabs.com/ssltest/ ?
Falls da im Chain Zertifikate stehen, die nicht passen, wird dir das entsprechend markiert.
Dann weiß man zumindest, ob es auf dem Server richtig konfiguriert ist.
Mitglied: jojo0411
Lösung jojo0411 30.09.2021 um 10:32:29 Uhr
Goto Top
Ok, das Problem war die Chain. Wurde im Zertifikat richtig angezeigt der Test war aber negativ.

Server Neustart hat das Problem gelöst.

Vielen Dank für die zahlreiche Unterstützung.
Mitglied: kgborn
kgborn 30.09.2021 um 16:09:33 Uhr
Goto Top
Problem bei vielen Fällen war, dass die Zertifikateaktualisierung nicht reicht, der Server muss neu gestartet werden, damit die Zertifikatekette neu aufgebaut wird. Zudem spukt noch Sophos UTM mit rein. Ich habe kurz was zusammengefasst - vielleicht hilft es.

Let’s Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021)
Mitglied: Maiki38
Maiki38 30.09.2021 aktualisiert um 17:33:25 Uhr
Goto Top
hallo

Ich haben mehrere Domains die ich mit Lets Encrypt Zertifikat

https://www.kniep.eu
https://www.unser-malteser.de
https://www.joecker.eu

Seite heute Morgen werden in IOS 15 Browser (Firefox, Safari) die Zertifikate als nicht sicher angezeigt. mit der App inspect konnte ich den Zertifikat Pfad anschauen und dort noch das alte DST Root CA X3
whatsapp image 2021-09-30 at 16.57.56.
angezeigt. Auf den Windows Geräten dagegen keine Probleme
unbenannt-4
.
Habe alle tips befolgt. Habe vergessen zu sagen das ich die Zertifikate mit Certbot herstelle und Apache als Webserver auf einen Windows Server Betreibe.

Konfiguration:

Apache Version Apache/2.4.47 (Win64) OpenSSL/1.1.1k PHP/7.3.28
Apache API Version 20120211
Server Administrator webmaster@unser-malteser.de
Hostname:Port www.unser-malteser.de:443
Max Requests Per Child: 0 - Keep Alive: on - Max Per Connection: 100
Timeouts Connection: 300 - Keep-Alive: 5
Virtual Server Yes
Server Root D:/apachefriends/Xampp/apache
Loaded Modules core mod_win32 mpm_winnt http_core mod_so mod_access_compat mod_actions mod_alias mod_allowmethods mod_asis mod_auth_basic mod_authn_core mod_authn_file mod_authz_core mod_authz_groupfile mod_authz_host mod_authz_user mod_autoindex mod_cgi mod_dav_lock mod_deflate mod_dir mod_env mod_filter mod_headers mod_include mod_info mod_isapi mod_log_config mod_cache_disk mod_md mod_mime mod_negotiation mod_proxy mod_proxy_ajp mod_rewrite mod_setenvif mod_socache_shmcb mod_ssl mod_status mod_version mod_vhost_alias mod_php7
Mitglied: 0xFFFF
0xFFFF 01.10.2021 aktualisiert um 07:14:31 Uhr
Goto Top
Hello,

gestern hatte ich hier 4 BlödPhones 12 rumliegen, die alle vom gleichen Server Ihre Mails abrufen.

Zwei von Vieren mochten das Zertifikat(LE) nicht mehr. Die anderen Zwei haben einfach weiter gemacht wie zuvor.

Alle 4 Devices gleicher Updatestand (iOS15) und gleiche Mailabrufapp.
Wie geht denn sowas!?

Habe kurzer Hand das Zertifikat erneuert und die Sache war gegessen. /shrug

Grüße
65k

Edita meinte ich solle noch folgendes hinzufügen:
der Server muss neu gestartet werden
War hier nicht nötig.
Heiß diskutierte Beiträge
question
ASUS H110M-A - TPM-Funktion im BIOS? gelöst SarekHLVor 1 TagFrageCPU, RAM, Mainboards15 Kommentare

Hallo zusammen, weiß jemand sicher, ob das ASUS H110M-A/M.2 eine TPM-Funktion/Emulation im BIOS hat? Hier ist das Board ganz unten als Win11-kompatibel aufgeführt, aber während ...

question
Sfp 100Mbit Switch gesuchtjonasgrafeVor 1 TagFrageSwitche und Hubs16 Kommentare

Hi zusammen, Bei uns der Firma ist heute Nacht ein Einsteckmodul (Lwl SC) von einem Siemens Scalance Switch gestorben. Über diese Module besteht eine Verbindung ...

question
PC zeigt kein Bild mehrben1300Vor 22 StundenFrageHardware12 Kommentare

Hallo zusammen, mein PC geht zwar noch an (LED leuchten und Lüfter laufen), aber ich erhalte kein Bild mehr. Mainboard: MSI B450M Mortar Max Mainboard ...

question
PfSense nach Änderung von "Block private networks and loopback addresses" nicht mehr erreichbarvafk18Vor 1 TagFrageRouter & Routing5 Kommentare

Ich habe an meiner pfSense am entfernten Standort in den WAN-Einstellungen den Haken bei "Block private networks and loopback addresses" gelöscht. Nach dem Bestätigen war ...

question
Browserverhalten bei nicht offizieller TLD im privaten NetzSiegfried36Vor 15 StundenFrageDNS14 Kommentare

Moin, ich hoffe ihr könnt mir helfen Licht ins Dunkel zu bringen. So ganz verstehe ich diesen ganzen Zusammenhang nicht. Ich will in meinem internen ...

question
Jeder druckjob (auf WTS) soll im eventvwr.msc vermerkt werdenManuManu2021Vor 1 TagFrageMicrosoft2 Kommentare

Hallo, die User arbeiten mit TS Server und versenden via Warenwirtschaft mittels Datei/Drucken/Tobit-Faxware-Drucker einzelne Briefe. (ca. 2000 pro monat ausgehend, kein Newsletter) Manchmal funktioniert der ...

question
Prüfen ob Befehl in Variable true zurück gibt gelöst zuzuelqVor 1 TagFrageBatch & Shell7 Kommentare

Hallo liebe Gemeinde, sonst stiller Leser nun Fragender (Powershellbeginner). Steinigt mich bitte nicht, aber ich habe mir die gestrige Nacht um die Ohren geschlagen, und ...

question
Juniper SRX210 (HE2) mit VDSL2 MPIM Firmware Update+UpgradeJuniperVor 1 TagFrageFirewall7 Kommentare

Hallo Zusammen! Vielleicht kann mich hier jemand unterstützen, eine (neue, wenn auch bereits ausgelaufene) Juniper SRX210HE2 mit einer integrierten VDSL2-A MPIM Card im Slot "interface ...