SSL сертификат Let’s Encrypt

изучи форматирование ЛОРа

Извиняюсь.Спасибо. Почитаю

1)отключи временно фаервол в корневой директории nginx создай файл index.html или 1.html с любым содержанием.

2)релоадни nginx

3)проверь открывается ли файл из локалки

4)если открывается пробрось порт

5)проверь открывается ли файл из внешки

6)если открывается и все равно ошибка кидай вывод при создании сертификата

И нахрена ты меняешь у сертификата путь?

чем не устраивает так?

certbot certonly --nginx -d xxx.example.ru

1. да у меня roundcube по дефолту открывается 2. + 3. открывается и на 80 и на 443 4. пробросил 5. Открывается только по 443 , 80 не реагирует никак 6. Серт не создаётся

Говорит : Saving debug log to /var/log/letsencrypt/letsencrypt.log Could not choose appropriate plugin: The requested nginx plugin does not appear to be installed The requested nginx plugin does not appear to be installed

Гугол говорит что надо мол генерить как я по мануалу выше генерил , но решение не предлагают (

The requested nginx plugin does not appear to be installed

Что бы это могло означать?)

Плагин поставил, но ошибка вся та же

Timeout during connect (likely firewall problem)

Перед машиной точно нет других фаерволов?

Только pfsense , но https пробрасывается же

80 открывается в LAN? может у тебя там 301 на https стоит тыж конфиг nginx не скинул.

Только pfsense

если в локалке открывается, значит hairpin тоже надо на порт 80 сделать

Сверху конфиг nginx же есть. Дублирую

nginx.conf

user nginx;
worker_processes 1;
pid /var/run/nginx.pid;

events {
    worker_connections 1024;
}

http {
    include /etc/nginx/conf-enabled/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

sites-availeble/00-default.conf

#
# Note: This file must be loaded before other virtual host config files,
#
# HTTP
server {
    # Listen on ipv4
    listen 80;

    # Listen on ipv6.
    # Note: this setting listens on both ipv4 and ipv6 with Nginx release
    #       shipped in some Linux/BSD distributions.
    #listen [::]:80;

    server_name _;

    # Redirect all insecure http:// requests to https://
    return 301 https://$host$request_uri;
}

sites-availeble/00-default-ssl.conf

#
# Note: This file must be loaded before other virtual host config files,
#
# HTTPS
server {
    listen 443;
    server_name _;

    root /var/www/html;
    index index.php index.html;

    include /etc/nginx/templates/misc.tmpl;
    include /etc/nginx/templates/ssl.tmpl;
    include /etc/nginx/templates/iredadmin.tmpl;
    include /etc/nginx/templates/roundcube.tmpl;
    include /etc/nginx/templates/sogo.tmpl;
    include /etc/nginx/templates/netdata.tmpl;
    include /etc/nginx/templates/php-catchall.tmpl;
    include /etc/nginx/templates/stub_status.tmpl;
}

return 301 https://$host$request_uri;

а я о чем

а стоп внимание не обратил на путь, у тебя 80 не слушается ващет, точно полный скинул? ты перезагружал nginx вообще?

зачем так делать?

server_name _;

делай так

server_name example.com;

Какая разница, если используется плагин для nginx?

полный конфиг скинул , nginx ребутал. и виртуалку тож полностью ребутал

это стандартный конфиг. Заменил на домен, всё равно ошибка сохраняется. Какие ещё логи приложить или какие шаги проделать?

http пробрось.

чтоб потом меньше головной было при нескольких virtualhost'ax

пересмотрел еще раз пути и словил кек

твоя проблема либо в этом тут

2. • 3. открывается и на 80 и на 443

точно? там не в обоих случаях прописан https

либо ты не пробросил порт

пытался, не пробрасывается

внутри локальной сети я могу зайти через http:// и https:// , а извне только через https . Возможно что проблема в pfsense и он не может пробросить 80 порт , но это бред какой то

Для начала посмотрите долетают ли пакеты на 80-й порт до pfsense. Хоть по большому счету и глупость, но возможно пров блокирует.

К сожалению на счётчике не вижу чтобы что то долетало , само правило прикладываю в скрине : https://ibb.co/bHNgwDk

Короче, проблема была в PFSENSE , её я порешал , глюк с пробросом . НО , теперь вылазит новая ошибка ))))

Detail: CAA record for mail.domain.com prevents issuance

Гугол приводит статьи только о том , что эта запись новая и бла бла . Лекарство как то не приводит никто . Как бороться ?)

DNS на винде 2008R2 , была попытка сделать так :

в DNS добавляем TXT запись

mail.domain.ru 7200 IN CAA 0 issue «'letsencrypt.org'»

но всё тщетно..

Короче, проблема была в PFSENSE , её я порешал , глюк с пробросом

Давайте назвать вещи правильно. Не «глюк» или «проблема в pfsense» а «кривые руки».

Detail: CAA record for mail.domain.com prevents issuance

У вас на dns сервере прописана[ы] CAA запись[и] letsencrypt.org там не присутствует. CAA запись не является обязательной, скорее как некая «эфемерная» доп защита к которой CA должны «прислушиваться», но даже при 128 никто же не гарантирует не выдачу, а уж при 0 так вообще на «мое усмотрение».

Лекарство как то не приводит никто

«Лекарство» приведено в тысячях статей, видимо у вас «гугл не оттуда растет».

Приведите пожалуйста тогда статью каким образом обойти эту ошибку , видимо гугл не оттуда растёт

Для начала на юх снесите ваши попытки добавления CAA записей (если только ранее там не было других добавленных от других CA). Они не являются обязательными. И так тяжело погуглить про настройку certbot + LE ? Повторю их тысячи.

DNS на винде 2008R2
DNS добавляем TXT запись
mail.domain.ru 7200 IN CAA 0 issue «'letsencrypt.org'»

Вот пипец как не удивлен, что не робит. У вас столько ошибок в слове «юх».
В вашем случае не надо издеваться над стюардессой, снесите CAA
PS Сорри отвлекся и не запостил это сообщение раньше, оно должно быть выше моего предыдущего ответа. Но все об одном и том же.

Снесли, но сертификат не генерится с ошибкой на CAA . Каким образом сгенерировать тогда ? По мануалам вводишь команду

certbot certonly --nginx -d mail.domain.ru

и всё генерится , а тут ошибка

Не успел исправить
PSS
1.
Сравните выхлопы

host -t CAA ya.ru 8.8.8.8
и
host -t CAA mail.domain.ru 8.8.8.8

Ну и хорошо. Если вы только что снесли записи, и при этом только перед этим пробовали запускать certbot, то предполагаю вам надо подождать пока TTL не истечет.

Хорошо , подождём, только проблема в том, что ещё ДО того как добавляли САА , ошибка была точно такая же

Посмотрите ещё

host -t CAA domain.ru 8.8.8.8

У нас вообще CAA никогда не было и слышим про эту запись впервые . Ошибка всё равно сохраняется, такое ощущение что без этой CAA записи не обойтись

Неа, я не поленился проверить. Все робит. Правда у меня не вариант nginx а dns-rfc2136, но роли это по большому счету как раз не играет для dns-rfc2136 чуть больше заморочек.

нууу тогда почему ошибку эту вываливает )

Вы проверили
host -t CAA domain.ru 8.8.8.8

host -t CAA domain.ru 8.8.8.8
Именно так, без всяких mail2

PS Ну и если все хорошо и записей нет, повторюсь, смотрите по своему TTL и только по истечении срока пробуйте ещё раз.
И если не заработает покажите полный выхлоп cretbot ( напоминаю про запуск с --dryrun)

результат тот же как и с mail

как сказал anc

покажите полный выхлоп certbot

засунь в [code=python] [/code], а не ссылку на картинку

certbot certonly --nginx -d xxx.example.ru --dry-run

там побольше информации нет?

/var/log/letsencrypt/letsencrypt.log

https://pastebin.com/DM91mHiS]