Certbot: Certbot이 HSTS로 새 인증서를 설치하도록 하려고 합니다.

에 만든 2016년 07월 08일 · 4코멘트 · 출처: certbot/certbot

안녕하세요,

일부 배경:
그래서, InterWorx를 사용하고 있는데 나는이 문제가 발생하고있어 ./certbot-auto --hsts 일을하지 않습니다도 않는 ./certbot-auto certonly --standalone 일시적으로 중지 한 후 httpd 에 CentOS 7 x64 . 또한 프록시되지 않습니다. 이것은 Xen VPS에 있습니다. 또한 포트 443에 대한 telnet 가 이 서버에서 작동함을 확인했으므로 연결 문제가 없어야 합니다...

IW dev/support는 eidolonhost.com이 HSTS 사전 로드 목록을 통해 사전 로드되기 때문에 HSTS로 인해 helmsgate.eidolonhost.com에서 Certbot-auto가 실패할 수 있다고 언급했습니다. .) 하지만 LE 인증서를 통해 강제로 설치할 수 있는 답변이 있기를 바랐습니다.

관련 로그:

[root<strong i="15">@helmsgate</strong> letsencrypt]# cat letsencrypt.log
2016-07-08 00:32:50,790:DEBUG:certbot.main:Root logging level set at 30
2016-07-08 00:32:50,791:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2016-07-08 00:32:50,791:DEBUG:certbot.main:certbot version: 0.8.1
2016-07-08 00:32:50,791:DEBUG:certbot.main:Arguments: ['--hsts']
2016-07-08 00:32:50,791:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#apache,PluginEntryPoint#webroot,PluginEntryPoint#null,PluginEntryPoint#manual,PluginEntryPoint#standalone)
2016-07-08 00:32:50,801:DEBUG:certbot.plugins.selection:Requested authenticator None and installer None
2016-07-08 00:32:54,292:DEBUG:certbot.plugins.selection:Multiple candidate plugins: * apache
Description: Apache Web Server - Alpha
Interfaces: IAuthenticator, IInstaller, IPlugin
Entry point: apache = certbot_apache.configurator:ApacheConfigurator
Initialized: <certbot_apache.configurator.ApacheConfigurator object at 0x1fe7750>
Prep: True

* webroot
Description: Place files in webroot directory
Interfaces: IAuthenticator, IPlugin
Entry point: webroot = certbot.plugins.webroot:Authenticator
Initialized: <certbot.plugins.webroot.Authenticator object at 0x28da690>
Prep: True

* standalone
Description: Automatically use a temporary webserver
Interfaces: IAuthenticator, IPlugin
Entry point: standalone = certbot.plugins.standalone:Authenticator
Initialized: <certbot.plugins.standalone.Authenticator object at 0x28da390>
Prep: True
2016-07-08 00:33:15,830:DEBUG:certbot.plugins.selection:Selected authenticator <certbot.plugins.standalone.Authenticator object at 0x28da390> and installer None
2016-07-08 00:33:22,034:DEBUG:root:Sending GET request to https://acme-v01.api.letsencrypt.org/directory. args: (), kwargs: {}
2016-07-08 00:33:22,038:INFO:requests.packages.urllib3.connectionpool:Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
2016-07-08 00:33:33,034:DEBUG:certbot.main:Exiting abnormally:
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/bin/letsencrypt", line 11, in <module>
    sys.exit(main())
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py", line 744, in main
    return config.func(config, plugins)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py", line 550, in obtain_cert
    le_client = _init_le_client(config, auth, installer)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py", line 360, in _init_le_client
    acc, acme = _determine_account(config)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py", line 345, in _determine_account
    config, account_storage, tos_cb=_tos_cb)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/client.py", line 118, in register
    acme = acme_from_config_key(config, key)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/client.py", line 42, in acme_from_config_key
    return acme_client.Client(config.server, key=key, net=net)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/acme/client.py", line 63, in __init__
    self.net.get(directory).json())
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/acme/client.py", line 631, in get
    self._send_request('GET', url, **kwargs), content_type=content_type)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/acme/client.py", line 613, in _send_request
    response = self.session.request(method, url, *args, **kwargs)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/requests/sessions.py", line 468, in request
    resp = self.send(prep, **send_kwargs)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/requests/sessions.py", line 576, in send
    r = adapter.send(request, **kwargs)
  File "/root/.local/share/letsencrypt/lib/python2.7/site-packages/requests/adapters.py", line 437, in send
    raise ConnectionError(e, request=request)
ConnectionError: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError('<requests.packages.urllib3.connection.VerifiedHTTPSConnection object at 0x3303e10>: Failed to establish a new connection: [Errno -2] Name or service not known',))

편집: helmsgate.eidolonhost.com은 이제 Comodo의 유효한 SSL 인증서를 사용하고 있습니다. 적어도 SSL 인증서를 앞으로 Let's Encrypt로 교체할 수 있습니다.

Edit2: 고객 도메인(이 경우 dragonfox.net 에 대해 동일한 오류가 계속 발생하는 것으로 보입니다. 이 경우 고객은 CloudFlare를 사용하고 있지만 이것이 클라이언트가 새 SSL 인증서를 설치할 수 없는 것과 관련이 있는지 모르겠습니다.

certbot-auto more-info

출처

KeiroD

가장 유용한 댓글

@bmw ,

문제의 길을 알려주셔서 감사합니다.

서버는 acme-v01.api.letsencrypt.org 가 누구인지 몰랐습니다.

[root<strong i="10">@helmsgate</strong> ~]# curl https://acme-v01.api.letsencrypt.org/directory
curl: (6) Could not resolve host: acme-v01.api.letsencrypt.org; Name or service not known
[root<strong i="11">@helmsgate</strong> ~]# nano /etc/resolv.conf
[root<strong i="12">@helmsgate</strong> ~]# curl https://acme-v01.api.letsencrypt.org/directory
{
  "new-authz": "https://acme-v01.api.letsencrypt.org/acme/new-authz",
  "new-cert": "https://acme-v01.api.letsencrypt.org/acme/new-cert",
  "new-reg": "https://acme-v01.api.letsencrypt.org/acme/new-reg",
  "revoke-cert": "https://acme-v01.api.letsencrypt.org/acme/revoke-cert"
}[root<strong i="13">@helmsgate</strong> ~]# ^C
[root<strong i="14">@helmsgate</strong> ~]#

편집: 물론입니다. nameserver 8.8.8.8 에 /etc/resolv.conf 를 추가하자마자 Let's Encrypt의 DNS 설정을 즉시 선택하고 이제 SSL 인증서를 발급할 수 있습니다.

KeiroD 에 2016년 07월 08일

👍3

모든 4 댓글

따라서 여기서 문제는 Let's Encrypt CA가 서버에 연결할 수 없다는 것이 아니라 Certbot이 Let's Encrypt에 연결할 수 없다는 것입니다. 클라이언트가 실패하는 경우는 먼저 CA와의 연결을 설정하려고 시도하는 것입니다.

이 문제가 있는 시스템에서 curl https://acme-v01.api.letsencrypt.org/directory 를 실행하면 어떻게 됩니까?

bmw 에 2016년 07월 08일

@bmw ,

문제의 길을 알려주셔서 감사합니다.

서버는 acme-v01.api.letsencrypt.org 가 누구인지 몰랐습니다.

[root<strong i="10">@helmsgate</strong> ~]# curl https://acme-v01.api.letsencrypt.org/directory
curl: (6) Could not resolve host: acme-v01.api.letsencrypt.org; Name or service not known
[root<strong i="11">@helmsgate</strong> ~]# nano /etc/resolv.conf
[root<strong i="12">@helmsgate</strong> ~]# curl https://acme-v01.api.letsencrypt.org/directory
{
  "new-authz": "https://acme-v01.api.letsencrypt.org/acme/new-authz",
  "new-cert": "https://acme-v01.api.letsencrypt.org/acme/new-cert",
  "new-reg": "https://acme-v01.api.letsencrypt.org/acme/new-reg",
  "revoke-cert": "https://acme-v01.api.letsencrypt.org/acme/revoke-cert"
}[root<strong i="13">@helmsgate</strong> ~]# ^C
[root<strong i="14">@helmsgate</strong> ~]#

편집: 물론입니다. nameserver 8.8.8.8 에 /etc/resolv.conf 를 추가하자마자 Let's Encrypt의 DNS 설정을 즉시 선택하고 이제 SSL 인증서를 발급할 수 있습니다.

KeiroD 에 2016년 07월 08일

👍3

도움이 될 수 있어서 기쁩니다! 그러면 이 문제가 해결되었습니까?

bmw 에 2016년 07월 08일

예! 이제 IW LE 플러그인을 사용하여 고객 도메인에 대한 인증서를 발급할 수 있습니다. 여러 고객 도메인에 대해 이 동작을 재현했으며 모든 경우에 수정되었습니다.

이 문제를 종료하고 진행하겠습니다. 길을 알려주셔서 다시 한 번 감사드립니다. :)

KeiroD 에 2016년 07월 08일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Certbot: Certbot이 HSTS로 새 인증서를 설치하도록 하려고 합니다.

가장 유용한 댓글

모든 4 댓글

관련 문제