acme.sh Zertifikat wurde nicht automatisch verlängert

[Ghost108]

Mein Zertifikat, welches damals via acme.sh erstellt wurde, ist heute abgelaufen und wurde nicht verlängert.
Das acme.sh log zeigt:



Wo liegt der Fehler?

 

[ctrlaltdelete]

Schau mal im Ordner ecc von wann das letzte Zertifikat ist, bei mir wurde es nicht deployed, ich habe es dann manuel deployed und jetzt läuft es wieder.

 

[Ghost108]

19.06.
hätte mich auch gewundert. im log steht ja auch "skip"
mich wundert es ebenfalls, das als renewal time für 2023-10-16 angezeigt wird. das ist in einem Monat

 

[ctrlaltdelete]

Welchen User nutzt acme.sh und hat dieser Admin Rechte?

 

[Ghost108]

einen extra user mit admin Rechten.
wie gesagt: das Erstellen des Zertifikats hatte ja tadellos geklappt.

 

[ctrlaltdelete]

2FA aktiviert?

 

[Benares]

Schau auch mal im ecc-Verzeichnis in die zug. .conf-Datei, was da bei den Datums-Feldern steht.

 

[Ghost108]

sorry, welche Datei??

 

[Benares]

Da wo die .cer-Datei liegt gibt es eine namensgleiche .conf-Datei.

 

[Ghost108]

stimmt!
und darin enthalten steht z.B.:

Le_CertCreateTimeStr='2023-08-18T00:49:20Z'
Le_NextRenewTimeStr='2023-10-16T00:49:20Z'

 

[Benares]

Deshalb erneuert er nicht, da er glaubt, das Zertifikat sei noch gültig.
Und die .cer-Datei ist nicht vom 18.08.23?

Lass das Script einfach nochmal mit "--force" laufen und achte auf die Ausgabe.

 

[Ghost108]

doch die cert Datei ist vom 18.08.
Welcher Befehl wäre das genau?

 

[Benares]

Oben schriebst du doch die sei vom 16.06.?
Vermutlich fehlt nur das Deploy an den Server.

 

[Ghost108]

das war das Datum vom Ordner.
auch 16.06 wäre nicht aktuell

 

[Benares]

Warum sollte das aktuell sein? Es geschieht ja nur alle 2-3 Monate was.

 

[Ghost108]

okay lange Rede kurzer Sinn: Die Frage bleibt:
Zertifikat ist heute abgelaufen und wurde nicht automatisch verlängert.
wieso und was kann ich machen?

 

[Benares]

und was kann ich machen?

Es deployen.

Hier mal ein Script von mir als Beispiel, das das Zertifikat an meine beiden DSen deployed. Wenn man nur eine hat, muss man das nur einmal händisch anstossen. acme.sh merkt sich den letzten Deploy in seiner .conf-Datei und macht den beim nächsten Mal automatisch mit.

#!/bin/sh
export DOMAIN=example.com
export SYNO_Certificate="*.$DOMAIN"
echo "Deploying $DOMAIN ..."
export SYNO_Hostname="DS1522"
echo "Deploying $SYNO_Certificate to $SYNO_Hostname ..."
acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm
export SYNO_Hostname="DS415"
echo "Deploying $SYNO_Certificate to $SYNO_Hostname ..."
acme.sh --deploy -d $DOMAIN -d *.$DOMAIN --deploy-hook synology_dsm

 

[Ghost108]

so, habe jetzt noch mal alle cert ordner im acme ordner entfernt und ein neues zert erstellt und deployed.
aber was ich nicht verstehe.

Lt. DSM läuft das Cert am 16.12.2023 aus
in der .conf Datei steht nun:

Le_CertCreateTime='1694953597'
Le_CertCreateTimeStr='2023-09-17T12:26:37Z'
Le_NextRenewTimeStr='2023-11-15T12:26:37Z'
Le_NextRenewTime='1700051197'

Warum steht hier 2023-11-15?

 

[Benares]

Weil das Zertifikat ~4 Wochen vor Ablauf erneuert wird. Der Job selbst läuft jeden Tag, tut aber nichts, solange Le_NextRenewTimeStr nicht erreicht ist.

 

[Ghost108]

okay, dann müsste das cert sich ja einen Monat vor Ablauf erneuern. ich beobachte