Warum erhalte ich einen „Zertifikat abgelaufen“-Fehler für das Let's- Encrypt-Zertifikat auf meiner EC2-Instance?

Letzte Aktualisierung: 01.10.2021

Ich kann keine Verbindung zu einer Remote-URL von meiner Amazon Elastic Compute Cloud (Amazon EC2)-Instance herstellen, die über ein Let's-Encrypt-Zertifikat verfügt. Oder ich erhalte die Fehlermeldung, dass mein Let's-Encrypt-Zertifikat abgelaufen ist. Was kann ich tun, um das Problem zu beheben?

Kurzbeschreibung

Bei einigen EC2-Instances treten aufgrund einer abgelaufenen Let's-Encrypt-übergreifenden DST-Root-CA X3 abgelaufene Zertifikatsfehler auf. Instances, auf denen die folgenden Betriebssysteme ausgeführt werden, können möglicherweise keine Verbindung zu Servern mithilfe von Let's-Encrypt-Zertifikaten herstellen. Diese Betriebssysteme sind möglicherweise auch nach dem 30. September 2021 nicht in der Lage, auf die Let's-Encrypt-Endpunkte zuzugreifen, um Zertifikate auszustellen oder zu erneuern:

  • CentOS und RHEL 7 oder niedriger
  • Amazon Linux und Amazon Linux 2
  • Ubuntu 16.04 oder niedriger
  • Debian 8 oder niedriger

Aus Kompatibilitätsgründen verwenden Let's-Encrypt-Zertifikate standardmäßig eine Zertifikatskette, die vom DST Root CA X3-Zertifikat, das am 30. September 2021 abgelaufen ist, überschrieben wird.

Mit OpenSSL 1.0.2 wird die nicht vertrauenswürdige Kette immer bevorzugt. Dies bedeutet, dass das abgelaufene Zertifikat gesehen wird und die gesamte Kette als abgelaufen misstraut wird. Server mit der betroffenen Version von OpenSSL und dem DST-Root-CA-X3-Zertifikat in ihrem Stammspeicher können keine Let's-Encrypt-Zertifikate ausstellen oder erneuern. Betroffene Server können auch nicht auf Server zugreifen, die sie verwenden.

Auflösung

Dieses Problem wurde in Ubuntu 16.04 mit einer kürzlich veröffentlichten Version des OpenSSL-Pakets behoben. Amazon Linux und Red Hat haben außerdem neue CA-Zertifikatspakete veröffentlicht, die das ablaufende Zertifikat verweigern.

Paketaktualisierungen

Ubuntu 16.04: Aktualisieren Sie OpenSSL auf Version 1.0.2g-1ubuntu4.20 oder neuer.

Amazon Linux und Amazon Linux 2: Amazon-Linux-Instances können neu gestartet werden, um das aktualisierte CA-Zertifikatspaket automatisch anzuwenden. Sollten bestehende Instances aktualisiert werden müssen, können Kunden CA-Zertifikate aktualisieren, indem sie Folgendes ausführen:

sudo yum update ca-certificates

Hinweis: Für Kunden, die ein AMI mit einer GUID für ein gesperrtes Repository verwenden, wie Elastic Beanstalk, können Sie das aktualisierte CA-Zertifikatspaket mithilfe der folgenden Befehle installieren:

Amazon Linux 1

sudo yum install https://cdn.amazonlinux.com/patch/ca-certificates-update-2021-09-30/ca-certificates-2018.2.22-65.1.24.amzn1.noarch.rpm

Amazon Linux 2

sudo yum install https://cdn.amazonlinux.com/patch/ca-certificates-update-2021-09-30/ca-certificates-2021.2.50-72.amzn2.0.1.noarch.rpm

Red Hat und CentOS 7: Aktualisieren Sie das CA-Zertifikatspaket auf 2021.2.50-72.el7_9 oder höher.

Hinweis: Ubuntu-Versionen unter 16.04 sind Ende der Lebensdauer. Ein manueller Eingriff ist möglicherweise möglich, wird aber nicht unterstützt.

Manuelle Behebung für Amazon-Linux-basierte Systeme

Wir empfehlen, bestehende Instances mit dem obigen yum-Befehl zu aktualisieren. Wenn Sie es aus irgendeinem Grund vorziehen, das System an Ort und Stelle zu modifizieren, verwenden Sie stattdessen die folgenden Befehle:

Amazon Linux 1

sudo sed -i'' '/Alias: DST Root CA X3/,/No Rejected Uses./d' /usr/share/pki/ca-trust-source/ca-bundle.trust.crt
sudo update-ca-trust

Amazon Linux 2

sudo sed -i'' '/DST Root CA X3/,/\[p11-kit-object-v1\]/d' /usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit 
sudo update-ca-trust

Manuelle Behebung für Red Hat-basierte Systeme

1.    Sichern Sie den vorhandenen Root-Speicher:

cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup

2.    Fügen Sie das Zertifikat zum Verweigerungslisten-Verzeichnis hinzu:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

3.    Aktualisieren Sie den Root-Speicher:

sudo update-ca-trust extract

4.    Überprüfen Sie das Entfernen der Zertifikate:

diff ~/ca-bundle.crt-backup /etc/pki/tls/certs/ca-bundle.crt

War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?