9
Horizon LetsEncrypt Renewal CIPHER MISMATCH
Servus;
Bin wiedermal am Verzweifeln...
VMWare Horizon.
zwei Connection Server
ein Security Server
alles Server 2016
Zertifikat über letsencrypt mit win-acme.
Bin jetzt beim 6. Renewal und habe ein Problem
Wenn ich das neue Zertifikat austausche, bekomme ich im Chrome "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" bzw im Firefox "SSL_ERROR_NO_CYPHER_OVERLAP".
Ich habe alles so gemacht wie immer, keine Ahnung was ich falsch mache.
Die Server wurden neugestartet. Sobald ich wieder das alte Zertifikat einspiele, funktioniert wieder alles problemlos.
Habe mich zu tote gegoogelt, und da kommen eigentlich immer die zwei selben "Lösungen".
1. Das neue Zertifikat von "C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates" nehmen, das mache ich immer schon so
2. Das Zertifikat beim Importieren exportierbar machen, sprich den Haken setzen, das mache ich auch immer schon.
Ich habe noch mit ssllabs.com/ssltest/ getestet, mit dem alten Zertifikat alles in Ordnung.
Beim neuen kommt nur "Assessment failed: Failed to communicate with the secure server".
DAS finde ich sehr interessant, leider kann ich damit nichts anfangen.
Weiß leider nicht weiter und das alte Zertifikat läuft morgen aus.
Mfg
Bin wiedermal am Verzweifeln...
VMWare Horizon.
zwei Connection Server
ein Security Server
alles Server 2016
Zertifikat über letsencrypt mit win-acme.
Bin jetzt beim 6. Renewal und habe ein Problem
Wenn ich das neue Zertifikat austausche, bekomme ich im Chrome "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" bzw im Firefox "SSL_ERROR_NO_CYPHER_OVERLAP".
Ich habe alles so gemacht wie immer, keine Ahnung was ich falsch mache.
Die Server wurden neugestartet. Sobald ich wieder das alte Zertifikat einspiele, funktioniert wieder alles problemlos.
Habe mich zu tote gegoogelt, und da kommen eigentlich immer die zwei selben "Lösungen".
1. Das neue Zertifikat von "C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates" nehmen, das mache ich immer schon so
2. Das Zertifikat beim Importieren exportierbar machen, sprich den Haken setzen, das mache ich auch immer schon.
Ich habe noch mit ssllabs.com/ssltest/ getestet, mit dem alten Zertifikat alles in Ordnung.
Beim neuen kommt nur "Assessment failed: Failed to communicate with the secure server".
DAS finde ich sehr interessant, leider kann ich damit nichts anfangen.
Weiß leider nicht weiter und das alte Zertifikat läuft morgen aus.
Mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6390948855
Url: https://administrator.de/contentid/6390948855
Printed on: May 20, 2024 at 19:05 o'clock
9 Comments
Latest comment
Moin,
Tritt das Problem auch auf, wenn du den Private Mode des Browser nutzt?
Gruß,
Dani
zwei Connection Server
welche Version ist im Einsatz?ein Security Server
Welche Version ist im Einsatz?Wenn ich das neue Zertifikat austausche, bekomme ich im Chrome "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" bzw im Firefox "SSL_ERROR_NO_CYPHER_OVERLAP".
Beide Browser auf der neusten verfügbaren Version?Tritt das Problem auch auf, wenn du den Private Mode des Browser nutzt?
Die Server wurden neugestartet. Sobald ich wieder das alte Zertifikat einspiele, funktioniert wieder alles problemlos.
- Hast du die Attribute beider SSL-Zertifikate nebeneinander gelegt und abgeglichen. Gibt es Unterschiede und wenn ja welche?
- Wenn du das alte Zertifikat wieder einspielst, die Server neu startest, funktioniert der Test über ssllabs.com/ssltest/ auch?
Gruß,
Dani
1
Zitat von @Dani:
Moin,
Alle drei 7.13.1Moin,
zwei Connection Server
welche Version ist im Einsatz?ein Security Server
Welche Version ist im Einsatz?Wenn ich das neue Zertifikat austausche, bekomme ich im Chrome "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" bzw im Firefox "SSL_ERROR_NO_CYPHER_OVERLAP".
Beide Browser auf der neusten verfügbaren Version?Tritt das Problem auch auf, wenn du den Private Mode des Browser nutzt?
JaDie Server wurden neugestartet. Sobald ich wieder das alte Zertifikat einspiele, funktioniert wieder alles problemlos.
* Hast du die Attribute beider SSL-Zertifikate nebeneinander gelegt und abgeglichen. Gibt es Unterschiede und wenn ja welche?* Wenn du das alte Zertifikat wieder einspielst, die Server neu startest, funktioniert der Test über ssllabs.com/ssltest/ auch?
JaGruß,
Dani
Danke
Lukas
Moin,
Gruß,
Dani
Alle drei 7.13.1
huch... ich hoffe die Migration auf 8er ist in Planung oder sogar bereits in der Umsetzung.Ja hab ich, mir ist nichts aufgefallen.
Du kannst noch folgende Dinge mit dem neuen Zertifikat prüfen:- Lauscht der Service auf Port 80 und 443?
- Was steht nach dem Tausch bzw. Neustart des Security Server in dessen Logfile? Wo diese liegen, kann ich dir nicht sagen. Ich habe schon seit Jahren kein Security Server mehr in der Hand gehabt. Wir nutzen überall das UAG.
- Könnten die NTFS Berechtigungen nicht mehr stimmen?
Gruß,
Dani
Zitat von @Dani:
Moin,
Nein, nur auf 7.13.2. Dann lassen wir das auslaufen, ist nicht mehr bezahlbar.Moin,
Alle drei 7.13.1
huch... ich hoffe die Migration auf 8er ist in Planung oder sogar bereits in der Umsetzung.Ja hab ich, mir ist nichts aufgefallen.
Du kannst noch folgende Dinge mit dem neuen Zertifikat prüfen:- Lauscht der Service auf Port 80 und 443?
- Was steht nach dem Tausch bzw. Neustart des Security Server in dessen Logfile? Wo diese liegen, kann ich dir nicht sagen. Ich habe schon seit Jahren kein Security Server mehr in der Hand gehabt. Wir nutzen überall das UAG.
- Könnten die NTFS Berechtigungen nicht mehr stimmen?
Gruß,
Dani
Moin,
Gruß,
Dani
Nein, nur auf 7.13.2. Dann lassen wir das auslaufen, ist nicht mehr bezahlbar.
die neuen Lizenzen sind nur noch als Abo verfügbar. Dann verteilt sich die Kosten doch problemlos. Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Nein, nur auf 7.13.2. Dann lassen wir das auslaufen, ist nicht mehr bezahlbar.
die neuen Lizenzen sind nur noch als Abo verfügbar. Dann verteilt sich die Kosten doch problemlos. Gruß,
Dani
Jo, sind aber trotzdem, ich glaub 7500€, da sind mindestens 6500 zu viel
Jetzt funktionierts....
Hab ein weiteres Renewal angestoßen und habe jetzt nicht das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " genommen sondern das was win-acme im store installiert.
Dieses hab ich dann exportiert und bei den anderen Servern importiert.
Was sehr sehr eigenartig ist, denn die 5 mal zuvor musste ich eben das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " nehmen...
Hab ein weiteres Renewal angestoßen und habe jetzt nicht das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " genommen sondern das was win-acme im store installiert.
Dieses hab ich dann exportiert und bei den anderen Servern importiert.
Was sehr sehr eigenartig ist, denn die 5 mal zuvor musste ich eben das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " nehmen...
Moin,
Gruß,
Dani
Hab ein weiteres Renewal angestoßen und habe jetzt nicht das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " genommen sondern das was win-acme im store installiert.
und worin unterscheiden sich die Zertifikate nun?!Dieses hab ich dann exportiert und bei den anderen Servern importiert.
Du tauschst manuell alle 75 Tage das SSL-Zertifikat aus? Uff...Gruß,
Dani
Zitat von @Dani:
Moin,
Hab ich (noch) nicht geschaut, bin jetzt mal froh dass ich nach etlichen Stunden das geschafft habe, im Urlaub....Moin,
Hab ein weiteres Renewal angestoßen und habe jetzt nicht das Zertifikat von " C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates " genommen sondern das was win-acme im store installiert.
und worin unterscheiden sich die Zertifikate nun?!Dieses hab ich dann exportiert und bei den anderen Servern importiert.
Du tauschst manuell alle 75 Tage das SSL-Zertifikat aus? Uff...Gruß,
Dani
