Dua masalah terkait yang kami alami untuk pembaruan sertifikat otomatis:
-Auto-ssl menganggap bahwa suatu domain valid, sedangkan whois menunjukkan bahwa domain tersebut kedaluwarsa beberapa bulan yang lalu dan dalam status penukaran.
-allow_domain tampaknya tidak berjalan untuk pembaruan otomatis.
Domain kedaluwarsa (tidak diselesaikan di mana pun)
data WHOIS:
Tanggal Kedaluwarsa Registri: 22-05-2018T01:19:25Z
Status Domain: redemptionPeriod https://icann.org/epp#redemptionPeriod
2018/07/06 17:58:11 [error] 3233#3233: *42151 [lua] lets_encrypt.lua:41: issue_cert(): auto-ssl: dehydrated failed: env HOOK_SECRET=74b9b9da3dc257b6f00948fc00b9117beab9fb356fb129a22dd6893c18a9cca3 HOOK_SERVER_PORT=8999 /usr/local/openresty/luajit/bin/resty-auto-ssl/dehydrated --cron --accept-terms --no-lock --domain www.expireddomain.com --challenge http-01 --config /etc/resty-auto-ssl/letsencrypt/config --hook /usr/local/openresty/luajit/bin/resty-auto-ssl/letsencrypt_hooks status: 256 out: # INFO: Using main config file /etc/resty-auto-ssl/letsencrypt/config
Processing www.expireddomain.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Aug 6 00:52:58 2018 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting authorization for www.expireddomain.com...
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for www.expireddomain.com authorization...
Invalid challenge: DOMAIN=www.expireddomain.com RESPONSE={
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up A for www.expireddomain.com",
"status": 400
},
"uri": "https://acme-v01.api.letsencrypt.org/acme/challenge/bP_FGFj0H6027YXEVXwUTr0hgPYU3p4ux70J03YgJcg/5508927882",
"token": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"keyAuthorization": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok.BmCf6H2DAkLb8K_367ROMmY9nfcTaEk0ovuF_zhtU1M",
"validationRecord": [
{
"url": "http://www.expireddomain.com/.well-known/acme-challenge/xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"hostname": "www.expireddomain.com",
"port": "80"
}
]
Allow_domain tampaknya tidak berjalan pada perpanjangan otomatis
-Ini adalah masalah ketika domain telah dipindahkan ke penyedia lain dan tidak lagi diselesaikan ke server kami
-Jika allow_domain dijalankan pada pembaruan sertifikat otomatis, itu juga akan memecahkan masalah domain yang kedaluwarsa, karena skrip allow_domain kami memeriksa resolusi DNS. Yang jelas gagal, seperti dilansir letsencrypt.
Saya memiliki masalah yang sama saat kami melewati banyak domain dan menambahkan kode di bawah ini ke fungsi renew_check_cert di pembaruan.lua untuk memeriksa domain sebelum mengizinkannya. Selain itu saya juga menghapus domain yang kadaluarsa untuk menghindari hal itu terjadi setiap saat.
-- Verify domain before we issue a renewal request.
local allow_domain = auto_ssl_instance:get("allow_domain")
if not allow_domain(domain) then
ngx.log(ngx.NOTICE, "auto-ssl: domain not allowed - not renewing - ", domain)
return
end
Terima kasih @brianlund.
Akan lebih baik jika pembaruan_check_cert dapat dikonfigurasi untuk menghindari keharusan memelihara garpu kita sendiri.
Tidak masalah @edeis53
Saya bermaksud membuat permintaan tarik dengan ini dan menghapus dukungan sertifikat yang kedaluwarsa, saya akan melihat apakah saya tidak dapat menyiasatinya.
@brianlund
Apakah mungkin untuk menghapus domain pada kesalahan DNS saat diperbarui? Detail di #173
@prionkor apakah ini tidak mengatasi masalah Anda? https://github.com/GUI/lua-resty-auto-ssl/pull/128
Saya pikir ini diharapkan dapat diselesaikan di v0.13.0 antara kombinasi #176 dan #128. Maaf atas keterlambatan yang lama dalam menangani ini! Jadi saya akan menutup ini, tetapi beri tahu saya jika masih ada masalah yang belum terselesaikan dengan perilaku dalam rilis baru.
Dipasang dan diuji sekarang! terima kasih banyak untuk menggabungkan dan melepaskan.
Komentar yang paling membantu
Tidak masalah @edeis53
Saya bermaksud membuat permintaan tarik dengan ini dan menghapus dukungan sertifikat yang kedaluwarsa, saya akan melihat apakah saya tidak dapat menyiasatinya.