DynDNS-Browser-Zertifikatsmeldung

john · 20. Juli 2025 um 18:07

Wer kann mir helfen? Ich habe folgendes Problem:
DynDNS-Browser-Zertifikatsmeldung: Webseiten weisen ihre Identität über Zertifikate nach, die für einen bestimmten Zeitraum gültig sind. Das Zertifikat für ****.ipv64.net:10443 ist am 19.07.2025 abgelaufen. Auf meinem pfSence-Router wird das ACME-Zertifikat von heute bis zum 18. Oktober 2025 verlängert. Ich habe alle Schritte befolgt, die Dennis auf seinem YouTube-Kanal „https://youtu.be/LQTRfPLUfsk?si=xwWWKUObzn8px0WF“ erklärt hat. Trotzdem erhalte ich immer wieder die Meldung.

Danke für alle Antworten

CalthaPalustris · 20. Juli 2025 um 20:34

Wenn das Zertifikat gestern abgelaufen ist, ist es heute nicht mehr gültig.
Die Meldung ist ja ziemlich eindeutig.

Sofern es einen Automatismus zum Update der Zertifikate gibt, prüfe, ob dieser vollständig ist und funktioniert hat:

Schritt 1: Prüfe, ob das neue Zertifikat tatsächlich vorliegt.

Liegt das neue Zertifikat nicht vor, prüfe den Automatismus, der das neue Zertifikat bereitstellen soll. Entsprechende Logfiles sollten hierzu hilfreich sein.

Liegt das neue Zertifikat vor, fahre mit Schritt 2 fort.

Schritt 2: Prüfe, ob das neue Zertifikat verwendet wird.

Wird das neue Zertifikat nicht verwendet, prüfe, warum das der Fall ist. Entsprechende Logfiles sollten hierzu hilfreich sein.

Liegt das neue Zertifikat vor, prüfe, ob dein Server es tatsächlich verwendet.
Falls nicht, prüfe die Konfiguration und lade die Konfiguration neu oder starte den Server komplett neu. (systemctl reload|restart SERVER.service)

john · 21. Juli 2025 um 11:59

Vielen Dank CalthaPalustris für Ihre Antwort.
Entschuldigung, ich kenne mich mit Zertifikaten noch nicht aus. Können Sie mir bitte helfen zu überprüfen, ob das neue Zertifikat tatsächlich verfügbar ist und verwendet wird? Ich habe keinen Server und greife von meinem Windows 11-Arbeitsplatz auf PFsense zu. Vielen Dank im Voraus für Ihre Antwort.

CalthaPalustris · 21. Juli 2025 um 12:51

Zunächst einmal darfst Du gerne duzen. Wir sind hier ja nicht vor Gericht.

Auf der pfSense unter Services / Acme / Certificates kann das Zertifikat bzw. dessen Meta-Daten gefunden werden. Anhand der Zeitstempel lässt sich feststellen, ob das Zertifikat noch aktuell oder bereits abgelaufen ist.

–

Ist das Zertifikat abgelaufen, dann deutet das auf ein Problem beim automatisierten Aktualisieren des Zertifikats hin. In diesem Fall müssen die Einstellungen geprüft werden.

In seinem Video geht Dennis die Konfiguration ab der markierten Stelle (circa Minute 9:19) durch:

https://youtu.be/LQTRfPLUfsk?t=559

Die wichtigsten Punkte dazu:

Unter Services / Acme / Settings im Reiter General muss die Option Cron Entry aktiviert sein.
Unter Services / Acme / Settings im Reiter Account keys müssen bei ACME Server die Let’s Encrypt Production Server hinterlegt sein.
Unter Services / Acme / Settings im Reiter Certificates müssen die Einstellungen zu deinem IPv64 Dyn-DNS Account und deiner Domain passen.

Ist dies nicht der Fall, sind die Einstellungen jeweils anzupassen und zu speichern.

Unter Services / Acme / Certificates sollte jetzt das aktuelle und gültige Zertifikat angezeigt werden.

–

Liegt der pfSense ein gültiges Zertifikat vor, ist jetzt zu prüfen, ob diese das Zertifikat auch verwendet.

In seinem Video geht Dennis die Konfiguration ab der markierten Stelle (circa Minute 18:18) durch:

https://youtu.be/LQTRfPLUfsk?t=1098

Die wichtigsten Punkte dazu:

Unter System / Advanced / Admin Settings muss für SSL/TLS Certificate das passende Zertifikat ausgewählt sein.
Unter System / Advanced / Admin Settings muss der zu verwendende Domain Name für die Option Alternate Hostnames hinterlegt sein.

Ist dies nicht der Fall, sind die Einstellungen jeweils anzupassen und zu speichern.

–

An diesem Punkt ist sichergestellt, dass die pfSense korrekt konfiguriert ist.

john · 21. Juli 2025 um 17:00

Danke für deine Erklärung. Ich habe alle Einstellungen, die Dennis um 9:19 und 18:18 Uhr erklärt hat, durchgesehen und umgesetzt. PfSense zeigt an, dass mein Zertifikat bis zum 19. Oktober 2025 gültig ist. Wenn ich dann im Browser auf https://pfsense dns name gehe, erhalte ich immer noch die Meldung, dass das Zertifikat abgelaufen ist. Was könnte es sonst sein?

CalthaPalustris · 21. Juli 2025 um 17:24

Du könntest einen anonymen Tab im Browser öffnen und die Seite aufrufen.
Erhältst du dort ebenfalls eine Zertifikatswarnung, so kannst du zumindest ein lokales Caching-Problem ausschließen.

–

Mir fällt auf, dass du über ___.ipv64.net:10443 auf deine pfSense zugreifst.
Ist der Zugriff über diesen Port korrekt und läuft dort ganz normal das Web-Interface der pfSense?
Hast du ggf. zusätzlich einen Reverse Proxy im Einsatz?

john · 21. Juli 2025 um 17:29

Ich habe auch einen anonymen Tab ausprobiert. Mit IP-Adresse:10443 kann ich mich bei pfSense anmelden. Ich verwende keinen Reverse-Proxy. Ich starte pfSense später neu, vielleicht hilft das.

john · 21. Juli 2025 um 18:20

Ein Neustart des pfSense-Routers hat das Problem gelöst. Danke für die Hilfe.

Dennis_Admin · 21. Juli 2025 um 19:18

Geil, Probleme lösen sich hier wieder mit einem „Neustart“. Ich liebs..

CalthaPalustris · 21. Juli 2025 um 22:52

Ich vermute der Webserver wird nicht automatisch neu geladen/ gestartet, wenn die Zertifikate rolliert werden. Vermutlich wird das gleiche Problem beim nächsten Update wieder auftreten.

john · 22. Juli 2025 um 07:53

Ich bin auf diese URL für das nächste Mal gestoßen:

Renewed certificate not applied?