Показано с 1 по 7 из 7

Тема: Не работает продление сертификата Let's Encrypt

  1. #1
    Junior Member
    Регистрация
    02.10.2018
    Сообщений
    3

    По умолчанию Не работает продление сертификата Let's Encrypt

    На сервере есть несколько сгенерированных и работающих SSL-сертификатов для разных доменов. Один из них направлен на другой ip. С ним и возникают постоянные проблемы. Если кратко, первый раз он не продлился методом по умолчанию, тогда я выпустил новый сертификаи и выбрал проверку через DNS, теперь подходят к концу вторые три месяца его работы, я в полном спокойствии ждал, что уж txt-записи никуда не денутся.. оказывается, каждые три месяца нужно прописывать новые. Вот это номер. Но это первый вопрос.

    А второй такой:

    https://yadi.sk/d/OJDZfqFMtz_gjA

    Сертификат работает, а журнал к нему нет. Иконки, что он сгенерен Lets Encrypt тоже нет, хотя это так. В уведомлениях ошибка заканчивается на дате 26 сентября: https://yadi.sk/d/aSJ7IqSWDDeZ4Q

    То есть за неделю до истечения он стал пытаться обновиться, два дня оповещал и забил. Ну допустим... но сейчас я никакими способами не могу заново запустить его продление (сделать новый я могу быстро, это сейчас не решение).

    Пробовал продлить из панели, пробовал из консоли по документации: https://doc.ispsystem.ru/index.php/%...B0.D1.82.D0.B0

    Никакие команды с использованием mgrctl типа "/usr/local/mgr5/sbin/mgrctl -m ispmgr letsencrypt.check.update force_update=yes, cert_name=<api.domain.ru_le2>, user_name=<domainuser>" не помогают, выполняются без ошибок, статус сертификата в панели не меняется.

    Вопрос 1. Как принудить обновить этот сертификат (не выпустить новый, а обновить срок действия текущего)
    Вопрос 2. Как, если это возможно, автоматизировать обновление сертификата для поддомена, направленного на другой IP (сейчас могу только поставить почтовое оповещение на крон и оперативно перед окончанием вносить новые txt-записи, но хотелось бы все автоматом)

  2. #2
    Support team Аватар для usaafko
    Регистрация
    06.10.2013
    Сообщений
    2,351

    По умолчанию

    Вопрос 1. Как принудить обновить этот сертификат (не выпустить новый, а обновить срок действия текущего)
    У вас этот сертификат не будет автоматически обрабатываться, т.к. панель сняла с него пометку LE. Тут нужно пускать новый

    Вопрос 2. Как, если это возможно, автоматизировать обновление сертификата для поддомена, направленного на другой IP (сейчас могу только поставить почтовое оповещение на крон и оперативно перед окончанием вносить новые txt-записи, но хотелось бы все автоматом)
    Сам домен расположен на других NS серверах? Панель должна менять TXT запись, но делает это локально или на привязанном к панели DNSmanager

    Если у вас сайт расположен на другом сервере, возможно проще использовать certbot, т.к. LE модуль панели предполагает, что сайт установлен локально

  3. #3
    Junior Member
    Регистрация
    02.10.2018
    Сообщений
    3

    По умолчанию

    Спасибо за ответ.

    Есть домен: domain.ru, есть поддомен api.domain.ru. Домен находится на сервере, но DNS у него внешние (у провайдера). Выпуск сертификата способом по умолчанию для него проблем не вызвает. Поддомен же направлен на другой ip (прописана А-запись). Для него при выпуске способом по умолчанию возникает ошибка 403. Логика есть.

    А чего я не могу понять, это почему при обновлении нужно каждый раз менять txt-записи, а не подтверждать старые. А главное, почему после неудачной попытки продления сертификата "панель сняла с него пометку LE". Что случилось за неделю до истечения. Это основная причина, почему за пару дней до окончания я не смог принудительно перезапустить проверку и продлить сертификат.

  4. #4
    Support team Аватар для usaafko
    Регистрация
    06.10.2013
    Сообщений
    2,351

    По умолчанию

    А чего я не могу понять, это почему при обновлении нужно каждый раз менять txt-записи, а не подтверждать старые.
    LE генерирует новые ключи для домена каждый раз при запросе сертификата, поэтому способ больше подходит, если у вас домен делегирован на сервер с ISPmanager - тогда все пройдет автоматом

  5. #5
    Support team Аватар для usaafko
    Регистрация
    06.10.2013
    Сообщений
    2,351

    По умолчанию

    А главное, почему после неудачной попытки продления сертификата "панель сняла с него пометку LE". Что случилось за неделю до истечения. Это основная причина, почему за пару дней до окончания я не смог принудительно перезапустить проверку и продлить сертификат.
    Схема такая:
    Если в течение суток после заказа сертификата проверка владения доменом не увенчается успехом то, как и в случае с проверкой через HTTP, попытки выпуска сертификата будут окончательно прекращены.

  6. #6
    Junior Member
    Регистрация
    02.10.2018
    Сообщений
    3

    По умолчанию

    Спасибо!

    Цитата Сообщение от usaafko Посмотреть сообщение
    LE генерирует новые ключи для домена каждый раз при запросе сертификата, поэтому способ больше подходит, если у вас домен делегирован на сервер с ISPmanager - тогда все пройдет автоматом
    То есть, если даже продление сертификата окажется успешным, то прописанные сторонними разработчиками ключи для api на их сервере все равно придется менять каждые три месяца? Я был уверен, что при успешном продлении сертификат, ключ и цепочка остаются прежними

    Если на одном сервере для некотрых доменов использовать управление сертификатами с помощью панели, а для некоторых certbot, это поможет? Конфликтов не возникнет?

    Цитата Сообщение от usaafko Посмотреть сообщение
    Схема такая:
    Если в течение суток после заказа сертификата проверка владения доменом не увенчается успехом то, как и в случае с проверкой через HTTP, попытки выпуска сертификата будут окончательно прекращены.
    Схему я уже прощупал)) Вопрос не в том, какая она, а в том, почему она такая. То есть в чем логика, что после неудачного подтверждения домена панель снимает значок LE, а не просто прекращает попытки. А вдруг не был он в тот момент доступен? Мало ли что. Вот лично мне это помешало после окончания попыток принудить ее запустить этот процесс еще раз, что решило бы мою проблему. Пусть сутки за неелю до окончания попыталась, не удалось. Зачем LE снимать?

  7. #7
    Support team Аватар для usaafko
    Регистрация
    06.10.2013
    Сообщений
    2,351

    По умолчанию

    Вот лично мне это помешало после окончания попыток принудить ее запустить этот процесс еще раз, что решило бы мою проблему. Пусть сутки за неелю до окончания попыталась, не удалось. Зачем LE снимать?
    У LE есть еще лимит на количество запросов - они могут заблокировать ваш домен от получения сертификатов на неделю. Поэтому панель пытается выпустить сертификат только сутки, чтобы у вас потом не было проблем с выпуском

    Я был уверен, что при успешном продлении сертификат, ключ и цепочка остаются прежними
    Цепочка точно остается прежней, а вот ключ не проверял. Речь о ключах именно для выпуска нового сертификата, которые кладутся в файлы или прописываются в домен

    Если на одном сервере для некотрых доменов использовать управление сертификатами с помощью панели, а для некоторых certbot, это поможет? Конфликтов не возникнет?
    Возможен конфликт, если вы будете пересохранять настройки www-домена из панели. Если не будете - тогда certbot будет подменять сертификат автоматом и не будет мешать панели. Но лучше будет запускать certbot там же, где расположен поддомен api.domain.ru иначе возникнут такие же проблемы с проверкой

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •