Erneuerung Letsencrypt Zertifikat

ramsys

Member
Hallo zusammen, ich benötige mal eure Hilfe:

Ein Mailserver (mail.server.com) mit Debian 9 ist in ISPConfig (3.1.11) als Website angelegt. Darüber wird das Let’s Encrypt Zertifikat erzeugt. Die Symlink-Kette "Dovecot > Postfix > Website > Letsencrypt Live > Letsencrypt Archive" funktioniert seit je her einwandfrei.

Seit heute melden die Mail-Clients ein ungültiges Zertifikat. Tatsächlich gibt es unter "Letsencrypt Archive" ein Zertifikat "cert1.pem" mit Datum vom 09.01., welches heute abgelaufen wäre. Es gibt aber auch ein zweites Zertifikat "cert2.pem" mit Datum vom 11.03. Die Symlinks aus "Letsencrypt Live" zeigen eindeutig auf das am 11.03 erneuerte Zertifikat.

Ein "openssl s_client -connect mail.server.com:993" antwortet mit "Verification error: certificate has expired" bzw. "notAfter=Apr 9 13:29:16 2018 GMT". Also auf das Zertifikat vom 09.01.

Wir haben nun unter "/etc/letsencrypt/archive|live|renewal" sämtliche Einträge dieser Domain umbenannt und in ISPConfig ein neues Zertifikat per Letsencrypt erstellen lassen. Die Erstellung erfolgte ohne Fehler und das Zertifikat liegt unter "/etc/letsencrypt/archive" mit Datum von heute. Die gesamte Sysmlink-Kette verweist nun auch auf dieses Zertifikat.

Per "openssl x509 -text -noout -in /etc/letsencrypt/archive/mail.server.com/cert1.pem" wird die Gültigkeit bis zum 09.07. bestätigt. Trotzdem gibt ein "openssl s_client -connect mail.server.com:993" immer noch das alte ungültige Zertifikat aus.

Die automatische Aktualisierung (am 11.03.) sowie die manuelle (10.04.) funktionieren einwandfrei. Offensichtlich zeigt der Mailserver hier aber ein ganz anderes Zertifikat, da das ursprüngliche vom 09.01. ja vor der manuellen Aktualisierung von heute entfernt wurde. Wir haben nach diesem Muster mehrere Mailserver und dieses Problem noch nie gehabt.

Hat jemand eine Idee?
 

ramsys

Member
Okay, ein Neustart der Dienste hat das Problem gelöst.

Dennoch merkwürdig, da dieses Verhalten bisher noch nie aufgetaucht ist und eine Erneuerung der Zertifikate auch ohne Neustart funktionierte. Hat sich da etwas in der letzten Zeit geändert? Gibt es eigentlich von ISPConfig nach einer Erneuerung einen automatischen Reload von Apache? Kann man das ggf. auch für Dovecot bzw. Postfix integrieren?
 

Werbung

Top