Wie behebe ich eine Fehlermeldung „Zertifikat abgelaufen“ für das Let's- Encrypt-Zertifikat auf meiner EC2-Instance?

Letzte Aktualisierung: 15.02.2022

Ich kann von meiner Amazon Elastic Compute Cloud (Amazon EC2)-Instance, die über ein Let's Encrypt-Zertifikat verfügt, keine Verbindung zu einer Remote-URL herstellen. Oder ich erhalte die Fehlermeldung, dass mein Let's-Encrypt-Zertifikat abgelaufen ist. Was kann ich tun, um das Problem zu beheben?

Kurzbeschreibung

Bei einigen EC2-Instances treten aufgrund einer abgelaufenen Let's-Encrypt-übergreifenden DST-Root-CA X3 abgelaufene Zertifikatsfehler auf. Instances, auf denen die folgenden Betriebssysteme ausgeführt werden, können möglicherweise keine Verbindung zu Servern mithilfe von Let's-Encrypt-Zertifikaten herstellen. Diese Betriebssysteme sind möglicherweise auch nach dem 30. September 2021 nicht in der Lage, auf die Let's-Encrypt-Endpunkte zuzugreifen, um Zertifikate auszustellen oder zu erneuern:

  • CentOS und RHEL 7 oder niedriger
  • Amazon Linux und Amazon Linux 2
  • Ubuntu 16.04 oder niedriger
  • Debian 8 oder niedriger

Aus Kompatibilitätsgründen verwenden Let's-Encrypt-Zertifikate standardmäßig eine Zertifikatskette, die vom DST Root CA X3-Zertifikat, das am 30. September 2021 abgelaufen ist, überschrieben wird.

Mit OpenSSL 1.0.2 wird die nicht vertrauenswürdige Kette immer bevorzugt. Dies bedeutet, dass das abgelaufene Zertifikat gesehen wird und die gesamte Kette als abgelaufen misstraut wird. Server mit der betroffenen Version von OpenSSL und dem DST-Root-CA-X3-Zertifikat in ihrem Stammspeicher können keine Let's-Encrypt-Zertifikate ausstellen oder erneuern. Betroffene Server können auch nicht auf Server zugreifen, die sie verwenden.

Auflösung

Dieses Problem wurde in Ubuntu 16.04 mit einer kürzlich veröffentlichten Version des OpenSSL-Pakets behoben. Amazon Linux und Red Hat haben außerdem neue CA-Zertifikatspakete herausgebracht, die das ablaufende Zertifikat verweigern.

Paketaktualisierungen

Ubuntu 16.04: Aktualisieren Sie OpenSSL auf Version 1.0.2g-1ubuntu4.20 oder neuer.

Amazon Linux und Amazon Linux 2: Amazon-Linux-Instances können neu gestartet werden, damit das aktualisierte CA-Zertifikatspaket automatisch übernommen wird. Wenn bestehende Instanzen aktualisiert werden müssen, können Sie CA-Zertifikate durch Ausführung des folgenden Befehls aktualisieren:

sudo yum update ca-certificates

Hinweis: Wenn Sie ein AMI mit einer gesperrten Repository-GUID wie Elastic Beanstalk verwenden, können Sie ein aktualisiertes CA-Zertifikatspaket mit den folgenden Befehlen installieren:

Amazon Linux 1

sudo yum install https://cdn.amazonlinux.com/patch/ca-certificates-update-2021-09-30/ca-certificates-2018.2.22-65.1.24.amzn1.noarch.rpm

Amazon Linux 2

sudo yum install https://cdn.amazonlinux.com/patch/ca-certificates-update-2021-09-30/ca-certificates-2021.2.50-72.amzn2.0.1.noarch.rpm

Red Hat und CentOS 7: Aktualisieren Sie das CA-Zertifikatspaket auf 2021.2.50-72.el7_9 oder höher.

Hinweis: Ubuntu-Versionen unter 16.04 sind Ende der Lebensdauer. Ein manueller Eingriff ist möglicherweise möglich, wird aber nicht unterstützt.

Manuelle Fehlerbehebung für Amazon-Linux-basierte Systeme

Es empfiehlt sich, vorhandene Instances mit dem obigen Befehl yum zu aktualisieren. Verwenden Sie zur Änderung des bestehenden Systems stattdessen die folgenden Befehle:

Amazon Linux 1

sudo sed -i'' '/Alias: DST Root CA X3/,/No Rejected Uses./d' /usr/share/pki/ca-trust-source/ca-bundle.trust.crt
sudo update-ca-trust

Amazon Linux 2

sudo sed -i'' '/DST Root CA X3/,/\[p11-kit-object-v1\]/d' /usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit 
sudo update-ca-trust

Manuelle Behebung für Red Hat-basierte Systeme

1.    Sichern Sie den vorhandenen Root-Speicher:

cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup

2.    Fügen Sie das Zertifikat zum Verweigerungslisten-Verzeichnis hinzu:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

3.    Aktualisieren Sie den Root-Speicher:

sudo update-ca-trust extract

4.    Überprüfen Sie das Entfernen der Zertifikate:

diff ~/ca-bundle.crt-backup /etc/pki/tls/certs/ca-bundle.crt

War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?