Net::err_cert_date_invalid

UCS - Univention Corporate Server
#1

Guten Morgen,

leider kommt bei mir die im Betreff stehende Fehlermeldung, wenn ich den Webserver aufrufe (von außen).
Von “innen” kommt diese Meldung: NET::ERR_CERT_AUTHORITY_INVALID. Ich kann aber in Chrome auf “trotzdem verbinden” klicken, und komme auf die Website. Von außen geht das nicht. Da kommt nur ein “Teil” der Website, also nur die Menüpunkte ohne Grafik und so.
Die Uhrzeit und das Datum stimmen aber überein.
Ich habe Letsencrypt installiert (die App)
Was kann ich tun?

Nacheinem Erneuern des Certifikats

Befehl:
(root@ucs-web:/usr/share/univention-letsencrypt# ./refresh-cert-cron)

sehe ich diese Meldung im Log:

Refreshing certificate for following domains:
xxxxxxxxxxxxxxxxxxxxxxxx
Parsing account key…
Parsing CSR…
Found domains: xxxxxxxxxxxxxxxxxxxxxxxx
Getting directory…
Directory found!
Registering account…
Already registered!
Creating new order…
Order created!
Verifying xxxxxxxxxxxxxxxxxxxxxxxx…
Traceback (most recent call last):
File “/usr/share/univention-letsencrypt/acme_tiny.py”, line 198, in
main(sys.argv[1:])
File “/usr/share/univention-letsencrypt/acme_tiny.py”, line 194, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca, disable_check=args.disable_check$
File “/usr/share/univention-letsencrypt/acme_tiny.py”, line 149, in get_crt
raise ValueError(“Challenge did not pass for {0}: {1}”.format(domain, authorization))
ValueError: Challenge did not pass for xxxxxxxxxxxxxxxxxxxxxxxx: {u’status’: u’invalid’, u’challenges’: [{u’status’: u’invalid’,$
Setting letsencrypt/status
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//apache2
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//dovecot
run-parts: executing /etc/univention/letsencrypt/post-refresh.d//postfix

Und beim Aufrufen der Seite kommt das in Chrome:
Dieser Server konnte nicht beweisen, dass er xxxxxxxxxxxxxxxxxxxxxxxx ist. Sein Sicherheitszertifikat ist vor 6 Tagen abgelaufen. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der deine Verbindung abfängt. Die Uhr deines Computers ist momentan auf Montag, 27. März 2023 eingestellt. Ist das richtig? Wenn nicht, korrigiere die Uhrzeit deines Systems und aktualisiere dann diese Seite.

Vielen Dank und liebe Grüße
Stefan

#2

Moin,

Die App versucht Zertifikate mit dem ACME-Protokoll zu beziehen, erklärt ist das z.B. hier: Mit Let's Encrypt einfach HTTPS in UCS konfigurieren

Die Fehlermeldung deutet darauf hin, dass die Challenge, die Let’s Encrypt stellt, von UCS nicht erfüllt werden konnte. - Ich vermute, dass der Server bzw. die zur Erfüllung der Challenge notwendige Ressource nicht von Let’s Encrypt erreicht werden kann, steht der Server öffentlich unter der entsprechenden Domain zur Verfügung?

Noch ein Tipp: Bevor es ins Rate Limiting von LE geht würde ich während des Troubleshootings den Haken bei “Verwende Let‘s Encrypt Test-CA” setzen.

Gruß
Jan-Luca

#3

…habe gerade nochmal auf die Fehlermeldung in der Überschrift geschaut, in UCS muss natürlich die richtige Uhrzeit/Datum hinterlegt sein, stimmt date bzw. date -u?

#4

Guten Morgen, Ja, habe einfach nochmal probiert. Jetzt gehts. :slight_smile: Viele Dank und Grüße
Stefan

Mastodon