Проблема с Let's Encrypt!

0

1

Хотел обновить сертификат для example.com. Однако, получаю вот это:

   Domain: example.com
   Type:   unauthorized
   Detail: Invalid response from
   http://example.com/.well-known/acme-challenge/-tpfIlzQnT3iSZfZPhdmLmkd-EhoJA5ivfHFpM93xmM:
   "<!DOCTYPE html>
   <html lang="en" dir="ltr"

     xmlns:og="http://ogp.me/ns#"
     xmlns:article="http://ogp.me/ns/article#"
     xmlns:bo"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address.

На этом сервере крутятся ещё несколько доменов с https, и они успешно обновляются. Этот - ни в какую. DNS записи проверял - всё в норме, nginx тоже корректно настроен (раньше то я получал на этот домен сертификат, а теперь никак).

Решил отозвать и удалить текущий сертификат, а потом создать по-новой: та же самая ошибка.

Вот конфиг виртуального хоста nginx:

server
{
        listen *:443 ssl http2;
        listen *:443 ssl http2;
### ssl opts
        ssl on;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_dhparam /etc/nginx/dhparam.pem;
        ssl_session_timeout 5m;
        ssl_session_tickets off;
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_session_cache shared:SSL:50m;
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
        ssl_prefer_server_ciphers on;
        ssl_stapling on;
        ssl_stapling_verify on;
###
        add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
        add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
        add_header X-XSS-Protection "1; mode=block";
        add_header X-Content-Type-Options nosniff;
        add_header X-Robots-Tag none;
        add_header X-Download-Options noopen;
        add_header X-Permitted-Cross-Domain-Policies none;

        server_name example.com;
        root /var/www/example.com;
        index index.php;
        add_header Expires "Tue, 22 Sep 1974 08:00:00 GMT";
        add_header Cache-Control "must-revalidate, post-check=0, pre-check=0";

        location /.well-known/ {
               allow all;
        }

        location / {
                 try_files $uri @cache;
        }

        location @cache {
                 if ($http_cookie ~ "DRUPAL_UID" ) {
                 return 405;
                }
                 if ($request_method !~ ^(GET|HEAD)$ ) {
                 return 405;
                }
        error_page 405 = @drupal;
        add_header Expires "Tue, 22 Sep 1974 08:00:00 GMT";
        add_header Cache-Control "must-revalidate, post-check=0, pre-check=0";
        }

        location @drupal {
                 proxy_pass http://localhost:81;
                 include /etc/nginx/conf.d/proxy.conf;
        }

Прошу помощи, потому как гугление ни к чему не привело.

Ссылка

←	systemd и понимание его RuntimeDirectory и CacheDirectory

SD-карта не монтируется после форматирования

→

Временно выключи nginx и запусти certbot в режиме standalone.

m0xf ★
(18.07.18 21:39:19 MSK)

Ответ на: комментарий от m0xf 18.07.18 21:39:19 MSK

Нельзя делать. Это на продакшн сервере такая дичь.

FluffyPillow ★
(18.07.18 21:41:35 MSK) автор топика

Ссылка

Либо неназванный acme-клиент не кладёт респонс куда нужно, либо nginx настроен так что не даёт http-клиентам добраться до респонса.

У меня /.well-known/acme-challenge заведёт в nginx отдельным локейшеном которому задан alias на ту директорию в которую гадит респонсами acme-клиент

MrClon ★★★★★
(18.07.18 21:47:38 MSK)

Ссылка

А по какой причине не используется плагин для nginx, который автоматически вносит изменения в конфиг?

ritsufag ★★★★★
(18.07.18 21:48:05 MSK)

Ссылка

Зачем два раза listen *:443 ssl http2;
зачем * ?
http2 не глючит ?
по делу:
certbot certonly --standalone -d example.com --http-01-port=54321
порт соответственно надо открыть на фаере.

Deleted
(18.07.18 21:49:59 MSK)

Перевёл виртуальный хост на http, убрав все строчки отвечающие за ssl, заново запросил сертификат и всё завершилось успешно. Такое поведение впервые вижу.

FluffyPillow ★
(18.07.18 22:00:55 MSK) автор топика

Ответ на: комментарий от FluffyPillow 18.07.18 22:00:55 MSK

LE всегда запрашивает /.well-known/acme-challenge/ по http, я обычно настраиваю отдельный server {} под него.

deadNightTiger ★★★★★
(18.07.18 22:02:33 MSK)

Ответ на: комментарий от Deleted 18.07.18 21:49:59 MSK

На счёт listen, спасибо, немного затупил когда писал этот конфиг и так оставил на n времени. Всё прибрал до «listen 443 ssl http2;»

HTTP2 не глючит. Просто нет коннектов через него. Вообще.

FluffyPillow ★
(18.07.18 22:02:52 MSK) автор топика

Ссылка

Ответ на: комментарий от deadNightTiger 18.07.18 22:02:33 MSK

У меня кучка доменов обновляет сертификаты через https. Полёт нормальный. Только этот домен такие фокусы устроил.

FluffyPillow ★
(18.07.18 22:04:07 MSK) автор топика

Ответ на: комментарий от FluffyPillow 18.07.18 22:04:07 MSK

This request MUST be sent to TCP port 80 on the HTTP server.

https://ietf-wg-acme.github.io/acme/draft-ietf-acme-acme.html#rfc.section.8.3

deadNightTiger ★★★★★
(18.07.18 22:11:35 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	systemd и понимание его RuntimeDirectory и CacheDirectory

Admin

SD-карта не монтируется после форматирования

→

Похожие темы