Lua-resty-auto-ssl: 期限切れのドメインがキャッチされておらず、allow_domainが更新時に実行されていません。

作成日 2018年07月11日  ·  7コメント  ·  ソース: auto-ssl/lua-resty-auto-ssl

自動証明書更新で発生している2つの関連する問題:

-Auto-sslはドメインが有効であると見なしますが、whoisはドメインが数か月前に期限切れになり、償還ステータスにあることを示しています。
-allow_domainは、自動更新のために実行されていないようです。

期限切れのドメイン(どこでも解決されない)
WHOISデータ:
レジストリの有効期限:2018-05-22T01:19:25Z
ドメインステータス:redemptionPeriod https://icann.org/epp#redemptionPeriod

2018/07/06 17:58:11 [error] 3233#3233: *42151 [lua] lets_encrypt.lua:41: issue_cert(): auto-ssl: dehydrated failed: env HOOK_SECRET=74b9b9da3dc257b6f00948fc00b9117beab9fb356fb129a22dd6893c18a9cca3 HOOK_SERVER_PORT=8999 /usr/local/openresty/luajit/bin/resty-auto-ssl/dehydrated --cron --accept-terms --no-lock --domain www.expireddomain.com --challenge http-01 --config /etc/resty-auto-ssl/letsencrypt/config --hook /usr/local/openresty/luajit/bin/resty-auto-ssl/letsencrypt_hooks status: 256 out: # INFO: Using main config file /etc/resty-auto-ssl/letsencrypt/config
Processing www.expireddomain.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Aug 6 00:52:58 2018 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting authorization for www.expireddomain.com...
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for www.expireddomain.com authorization...
Invalid challenge: DOMAIN=www.expireddomain.com RESPONSE={
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up A for www.expireddomain.com",
"status": 400
},
"uri": "https://acme-v01.api.letsencrypt.org/acme/challenge/bP_FGFj0H6027YXEVXwUTr0hgPYU3p4ux70J03YgJcg/5508927882",
"token": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"keyAuthorization": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok.BmCf6H2DAkLb8K_367ROMmY9nfcTaEk0ovuF_zhtU1M",
"validationRecord": [
{
"url": "http://www.expireddomain.com/.well-known/acme-challenge/xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"hostname": "www.expireddomain.com",
"port": "80"
}
]

Allow_domainは自動更新で実行されていないようです
-これは、ドメインが別のプロバイダーに移動し、サーバーで解決されなくなった場合の問題です。
-allow_domainが自動証明書更新で実行された場合、allow_domainスクリプトがDNS解決をチェックするため、期限切れドメインの問題も解決されます。 これは明らかに失敗します。letsencryptによって報告されています。

picture danDanV1

最も参考になるコメント

問題ありません@edeis53
私はこれと期限切れの証明書の削除サポートを使用してプルリクエストを行うつもりでしたが、それを回避できないかどうかを確認します。

picture brianlund 2018年07月14日
👍82

全てのコメント7件

多くのドメインを調べて、renewal.luaの関数renew_check_certに以下のコードを追加して、許可する前にドメインをチェックするのと同じ問題が発生しました。 さらに、期限切れのドメインも削除して、毎回発生しないようにします。

-- Verify domain before we issue a renewal request. local allow_domain = auto_ssl_instance:get("allow_domain") if not allow_domain(domain) then ngx.log(ngx.NOTICE, "auto-ssl: domain not allowed - not renewing - ", domain) return end

brianlund picture brianlund 2018年07月11日

@brianlundに感謝します。

renew_check_certが構成可能であり、独自のフォークを維持する必要がない場合は、すばらしいでしょう。

danDanV1 picture danDanV1 2018年07月14日

問題ありません@edeis53
私はこれと期限切れの証明書の削除サポートを使用してプルリクエストを行うつもりでしたが、それを回避できないかどうかを確認します。

brianlund picture brianlund 2018年07月14日
👍82

@brianlund

更新時にDNSエラーでドメインを削除することは可能ですか? 詳細は#173

prionkor picture prionkor 2019年06月28日

@prionkorはあなたの問題に対処していませんか? https://github.com/GUI/lua-resty-auto-ssl/pull/128

brianlund picture brianlund 2019年08月20日

これは、v0.13.0で#176と#128の組み合わせの間で解決されるはずだと思います。 これに対処するのに長い遅れをお詫びします! それで、これを閉じますが、新しいリリースの動作にまだ未解決の問題があるかどうかを知らせてください。

GUI picture GUI 2019年09月30日

今すぐインストールしてテストします! マージとリリースに感謝します。

danDanV1 picture danDanV1 2019年09月30日
このページは役に立ちましたか?
0 / 5 - 0 評価

関連する問題

byrnedo picture byrnedo  ·  16コメント
arya6000 picture arya6000  ·  11コメント
discobean picture discobean  ·  8コメント
ronaldgetz picture ronaldgetz  ·  10コメント
kshnurov picture kshnurov  ·  3コメント