Lua-resty-auto-ssl: Abgelaufene Domain wird nicht abgefangen und allow_domain wird bei Verlängerung nicht ausgeführt.

Erstellt am 11. Juli 2018  ·  7Kommentare  ·  Quelle: auto-ssl/lua-resty-auto-ssl

Zwei verwandte Probleme, die wir bei automatischen Zertifikatserneuerungen festgestellt haben:

-Auto-ssl denkt, dass eine Domain gültig ist, während das Whois zeigt, dass sie vor einigen Monaten abgelaufen ist und sich im Redemption-Status befindet.
-allow_domain scheint nicht für die automatische Verlängerung ausgeführt zu werden.

Abgelaufene Domain (wird nirgendwo aufgelöst)
WHOIS-Daten:
Ablaufdatum der Registrierung: 2018-05-22T01:19:25Z
Domänenstatus: redemptionPeriod https://icann.org/epp#redemptionPeriod

2018/07/06 17:58:11 [error] 3233#3233: *42151 [lua] lets_encrypt.lua:41: issue_cert(): auto-ssl: dehydrated failed: env HOOK_SECRET=74b9b9da3dc257b6f00948fc00b9117beab9fb356fb129a22dd6893c18a9cca3 HOOK_SERVER_PORT=8999 /usr/local/openresty/luajit/bin/resty-auto-ssl/dehydrated --cron --accept-terms --no-lock --domain www.expireddomain.com --challenge http-01 --config /etc/resty-auto-ssl/letsencrypt/config --hook /usr/local/openresty/luajit/bin/resty-auto-ssl/letsencrypt_hooks status: 256 out: # INFO: Using main config file /etc/resty-auto-ssl/letsencrypt/config
Processing www.expireddomain.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Aug 6 00:52:58 2018 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting authorization for www.expireddomain.com...
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for www.expireddomain.com authorization...
Invalid challenge: DOMAIN=www.expireddomain.com RESPONSE={
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up A for www.expireddomain.com",
"status": 400
},
"uri": "https://acme-v01.api.letsencrypt.org/acme/challenge/bP_FGFj0H6027YXEVXwUTr0hgPYU3p4ux70J03YgJcg/5508927882",
"token": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"keyAuthorization": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok.BmCf6H2DAkLb8K_367ROMmY9nfcTaEk0ovuF_zhtU1M",
"validationRecord": [
{
"url": "http://www.expireddomain.com/.well-known/acme-challenge/xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"hostname": "www.expireddomain.com",
"port": "80"
}
]

Allow_domain scheint bei automatischen Verlängerungen nicht ausgeführt zu werden
-Dies ist ein Problem, wenn eine Domain zu einem anderen Anbieter umgezogen ist und nicht mehr auf unseren Servern aufgelöst wird
-Wenn allow_domain bei automatisierten Zertifikatserneuerungen ausgeführt würde, würde dies auch das Problem der abgelaufenen Domain lösen, da unser allow_domain-Skript die DNS-Auflösung prüft. Was offensichtlich fehlschlägt, wie von letsencrypt berichtet.

picture danDanV1

Hilfreichster Kommentar

Kein Problem @edeis53
Ich wollte damit eine Pull-Anfrage stellen und die Unterstützung für abgelaufene Zertifikate löschen. Ich werde sehen, ob ich nicht dazu komme.

picture brianlund am 14. Juli 2018
👍82

Alle 7 Kommentare

Ich hatte das gleiche Problem, da wir viele Domänen durchlaufen und den folgenden Code zur Funktion renew_check_cert in der Datei replace.lua hinzugefügt haben, um die Domäne zu überprüfen, bevor sie zugelassen wird. Zusätzlich lösche ich auch abgelaufene Domains, um zu vermeiden, dass dies jedes Mal passiert.

-- Verify domain before we issue a renewal request. local allow_domain = auto_ssl_instance:get("allow_domain") if not allow_domain(domain) then ngx.log(ngx.NOTICE, "auto-ssl: domain not allowed - not renewing - ", domain) return end

brianlund picture brianlund am 11. Juli 2018

Danke @brianlund.

Wäre süß, wenn das renew_check_cert konfigurierbar wäre, um zu vermeiden, dass wir unseren eigenen Fork warten müssen.

danDanV1 picture danDanV1 am 14. Juli 2018

Kein Problem @edeis53
Ich wollte damit eine Pull-Anfrage stellen und die Unterstützung für abgelaufene Zertifikate löschen. Ich werde sehen, ob ich nicht dazu komme.

brianlund picture brianlund am 14. Juli 2018
👍82

@brianlund

Ist es möglich, Domains bei einem DNS-Fehler bei der Verlängerung zu entfernen? Details unter #173

prionkor picture prionkor am 28. Juni 2019

@prionkor geht das nicht auf Ihr Problem ein? https://github.com/GUI/lua-resty-auto-ssl/pull/128

brianlund picture brianlund am 20. Aug. 2019

Ich denke, das sollte hoffentlich in v0.13.0 zwischen der Kombination von #176 und #128 gelöst werden. Entschuldigung für die lange Verzögerung bei der Beantwortung dieses Problems! Ich werde dies also schließen, aber lassen Sie mich wissen, ob es noch offene Probleme mit dem Verhalten in der neuen Version gibt.

GUI picture GUI am 30. Sept. 2019

Jetzt installiert und getestet! vielen Dank für das Zusammenführen und Freigeben.

danDanV1 picture danDanV1 am 30. Sept. 2019
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

ronaldgetz picture ronaldgetz  ·  10Kommentare
ronaldgrn picture ronaldgrn  ·  8Kommentare
jmvbxx picture jmvbxx  ·  6Kommentare
serathius picture serathius  ·  21Kommentare
discobean picture discobean  ·  8Kommentare