Zwei verwandte Probleme, die wir bei automatischen Zertifikatserneuerungen festgestellt haben:
-Auto-ssl denkt, dass eine Domain gültig ist, während das Whois zeigt, dass sie vor einigen Monaten abgelaufen ist und sich im Redemption-Status befindet.
-allow_domain scheint nicht für die automatische Verlängerung ausgeführt zu werden.
Abgelaufene Domain (wird nirgendwo aufgelöst)
WHOIS-Daten:
Ablaufdatum der Registrierung: 2018-05-22T01:19:25Z
Domänenstatus: redemptionPeriod https://icann.org/epp#redemptionPeriod
2018/07/06 17:58:11 [error] 3233#3233: *42151 [lua] lets_encrypt.lua:41: issue_cert(): auto-ssl: dehydrated failed: env HOOK_SECRET=74b9b9da3dc257b6f00948fc00b9117beab9fb356fb129a22dd6893c18a9cca3 HOOK_SERVER_PORT=8999 /usr/local/openresty/luajit/bin/resty-auto-ssl/dehydrated --cron --accept-terms --no-lock --domain www.expireddomain.com --challenge http-01 --config /etc/resty-auto-ssl/letsencrypt/config --hook /usr/local/openresty/luajit/bin/resty-auto-ssl/letsencrypt_hooks status: 256 out: # INFO: Using main config file /etc/resty-auto-ssl/letsencrypt/config
Processing www.expireddomain.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Aug 6 00:52:58 2018 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting authorization for www.expireddomain.com...
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for www.expireddomain.com authorization...
Invalid challenge: DOMAIN=www.expireddomain.com RESPONSE={
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up A for www.expireddomain.com",
"status": 400
},
"uri": "https://acme-v01.api.letsencrypt.org/acme/challenge/bP_FGFj0H6027YXEVXwUTr0hgPYU3p4ux70J03YgJcg/5508927882",
"token": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"keyAuthorization": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok.BmCf6H2DAkLb8K_367ROMmY9nfcTaEk0ovuF_zhtU1M",
"validationRecord": [
{
"url": "http://www.expireddomain.com/.well-known/acme-challenge/xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"hostname": "www.expireddomain.com",
"port": "80"
}
]
Allow_domain scheint bei automatischen Verlängerungen nicht ausgeführt zu werden
-Dies ist ein Problem, wenn eine Domain zu einem anderen Anbieter umgezogen ist und nicht mehr auf unseren Servern aufgelöst wird
-Wenn allow_domain bei automatisierten Zertifikatserneuerungen ausgeführt würde, würde dies auch das Problem der abgelaufenen Domain lösen, da unser allow_domain-Skript die DNS-Auflösung prüft. Was offensichtlich fehlschlägt, wie von letsencrypt berichtet.
Ich hatte das gleiche Problem, da wir viele Domänen durchlaufen und den folgenden Code zur Funktion renew_check_cert in der Datei replace.lua hinzugefügt haben, um die Domäne zu überprüfen, bevor sie zugelassen wird. Zusätzlich lösche ich auch abgelaufene Domains, um zu vermeiden, dass dies jedes Mal passiert.
-- Verify domain before we issue a renewal request.
local allow_domain = auto_ssl_instance:get("allow_domain")
if not allow_domain(domain) then
ngx.log(ngx.NOTICE, "auto-ssl: domain not allowed - not renewing - ", domain)
return
end
Danke @brianlund.
Wäre süß, wenn das renew_check_cert konfigurierbar wäre, um zu vermeiden, dass wir unseren eigenen Fork warten müssen.
Kein Problem @edeis53
Ich wollte damit eine Pull-Anfrage stellen und die Unterstützung für abgelaufene Zertifikate löschen. Ich werde sehen, ob ich nicht dazu komme.
@brianlund
Ist es möglich, Domains bei einem DNS-Fehler bei der Verlängerung zu entfernen? Details unter #173
@prionkor geht das nicht auf Ihr Problem ein? https://github.com/GUI/lua-resty-auto-ssl/pull/128
Ich denke, das sollte hoffentlich in v0.13.0 zwischen der Kombination von #176 und #128 gelöst werden. Entschuldigung für die lange Verzögerung bei der Beantwortung dieses Problems! Ich werde dies also schließen, aber lassen Sie mich wissen, ob es noch offene Probleme mit dem Verhalten in der neuen Version gibt.
Jetzt installiert und getestet! vielen Dank für das Zusammenführen und Freigeben.
Hilfreichster Kommentar
Kein Problem @edeis53
Ich wollte damit eine Pull-Anfrage stellen und die Unterstützung für abgelaufene Zertifikate löschen. Ich werde sehen, ob ich nicht dazu komme.