Lua-resty-auto-ssl: El dominio caducado no se captura y allow_domain no se ejecuta en la renovación.
Dos problemas relacionados que hemos estado experimentando para las renovaciones automáticas de certificados:
-Auto-ssl piensa que un dominio es válido, mientras que whois muestra que expiró hace varios meses y está en estado de redención.
-allow_domain no parece ejecutarse para la renovación automática.
Dominio caducado (no se resuelve en ningún lado)
Datos de WHOIS:
Fecha de vencimiento del registro: 2018-05-22T01:19:25Z
Estado del dominio: redemptionPeriod https://icann.org/epp#redemptionPeriod
2018/07/06 17:58:11 [error] 3233#3233: *42151 [lua] lets_encrypt.lua:41: issue_cert(): auto-ssl: dehydrated failed: env HOOK_SECRET=74b9b9da3dc257b6f00948fc00b9117beab9fb356fb129a22dd6893c18a9cca3 HOOK_SERVER_PORT=8999 /usr/local/openresty/luajit/bin/resty-auto-ssl/dehydrated --cron --accept-terms --no-lock --domain www.expireddomain.com --challenge http-01 --config /etc/resty-auto-ssl/letsencrypt/config --hook /usr/local/openresty/luajit/bin/resty-auto-ssl/letsencrypt_hooks status: 256 out: # INFO: Using main config file /etc/resty-auto-ssl/letsencrypt/config
Processing www.expireddomain.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Aug 6 00:52:58 2018 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting authorization for www.expireddomain.com...
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for www.expireddomain.com authorization...
Invalid challenge: DOMAIN=www.expireddomain.com RESPONSE={
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up A for www.expireddomain.com",
"status": 400
},
"uri": "https://acme-v01.api.letsencrypt.org/acme/challenge/bP_FGFj0H6027YXEVXwUTr0hgPYU3p4ux70J03YgJcg/5508927882",
"token": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"keyAuthorization": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok.BmCf6H2DAkLb8K_367ROMmY9nfcTaEk0ovuF_zhtU1M",
"validationRecord": [
{
"url": "http://www.expireddomain.com/.well-known/acme-challenge/xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"hostname": "www.expireddomain.com",
"port": "80"
}
]
Allow_domain no parece ejecutarse en renovaciones automáticas
-Este es un problema cuando un dominio se ha movido a otro proveedor y ya no se resuelve en nuestros servidores.
-Si allow_domain se ejecutó en renovaciones automáticas de certificados, también resolvería el problema del dominio caducado, porque nuestro script allow_domain verifica la resolución de DNS. Lo que obviamente falla, según lo informado por letsencrypt.
danDanV1
Todos 7 comentarios
Tuve el mismo problema a medida que pasamos por muchos dominios y agregué el siguiente código a la función renew_check_cert en renew.lua para verificar el dominio antes de permitirlo. Además, también elimino dominios caducados para evitar que suceda siempre.
-- Verify domain before we issue a renewal request.
local allow_domain = auto_ssl_instance:get("allow_domain")
if not allow_domain(domain) then
ngx.log(ngx.NOTICE, "auto-ssl: domain not allowed - not renewing - ", domain)
return
end
brianlund
en 11 jul. 2018
Gracias @brianlund.
Sería bueno si renew_check_cert fuera configurable para evitar tener que mantener nuestra propia bifurcación.
danDanV1
en 14 jul. 2018
No hay problema @edeis53
He tenido la intención de hacer una solicitud de extracción con esto y el soporte de eliminación de certificados caducados, veré si puedo solucionarlo.
brianlund
en 14 jul. 2018
@brianlund
¿Es posible eliminar dominios por error de DNS al renovar? Detalles en #173
prionkor
en 28 jun. 2019
@prionkor , ¿esto no soluciona su problema? https://github.com/GUI/lua-resty-auto-ssl/pull/128
brianlund
en 20 ago. 2019
Creo que esto debería resolverse en v0.13.0 entre la combinación de #176 y #128. ¡Perdón por la gran demora en abordar esto! Así que voy a cerrar esto, pero avíseme si todavía hay problemas pendientes con el comportamiento en la nueva versión.
GUI
en 30 sept. 2019
¡Instalado y probando ahora! muchas gracias por fusionar y liberar.
danDanV1
en 30 sept. 2019
Temas relacionados
stackrainbow
·
20Comentarios
arya6000
·
11Comentarios
ronaldgrn
·
8Comentarios
jasonbouffard
·
6Comentarios
serathius
·
21Comentarios
Comentario más útil
No hay problema @edeis53
He tenido la intención de hacer una solicitud de extracción con esto y el soporte de eliminación de certificados caducados, veré si puedo solucionarlo.