<p>certbot adiciona acme-challenge à configuração errada, se o nome de domínio não estiver em minúsculas</p>

Criado em 17 fev. 2019 · 3Comentários · Fonte: certbot/certbot

Debian 9.6
Eu instalei o Certbot com gerenciador de pacotes do sistema operacional
certbot 0.28.0
nginx
tinha este host em minha configuração em /etc/nginx/conf.d/RussianChurchVancouver.ca.conf :

server {
  listen       80;
  server_name  RussianChurchVancouver.ca www.RussianChurchVancouver.ca;
...

Executei o certbot e certs não foram criados porque o certbot falhou:

root<strong i="18">@deb96</strong>:/var/www/RussianChurchVancouver.ca/web# certbot -m [email protected] --agree-tos --nginx -d RussianChurchVancouver.ca -d www.RussianChurchVancouver.ca
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for russianchurchvancouver.ca
http-01 challenge for www.russianchurchvancouver.ca
nginx: [warn] conflicting server name "www.russianchurchvancouver.ca" on 0.0.0.0:80, ignored
nginx: [warn] conflicting server name "russianchurchvancouver.ca" on 0.0.0.0:80, ignored
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. russianchurchvancouver.ca (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://russianchurchvancouver.ca/.well-known/acme-challenge/b4vlj_zIdB4H_a94FlltJWx2JBGBDS_ihAFWrpJSl5U: "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>nginx</center>\r\n", www.russianchurchvancouver.ca (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.russianchurchvancouver.ca/.well-known/acme-challenge/B8e0i1p0jhjNtfV1Dd36rlE8eh4K2bpefVvABc6Na48: "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>nginx</center>\r\n"

Durante a solução de problemas, descobri que certbot adicionando acme-challenge a este arquivo de configuração:

Writing nginx conf tree to /etc/nginx/conf.d/default.conf

qual é o bug. é por isso que eu tenho conflicting server name no log (certbot criou situação quando eu tenho russianchurchvancouver.ca tanto em default.conf quanto em RussianChurchVancouver.ca.conf
Esperado, que adicionaria acme-challenge a este arquivo:

/etc/nginx/conf.d/RussianChurchVancouver.ca.conf

Neste ponto, comecei a suspeitar, que certbot faz isso porque meus domínios no arquivo de configuração não são minúsculos.
Então, eu os coloquei em minúsculas:

  server_name  russianchurchvancouver.ca www.russianchurchvancouver.ca;

e certbot funcionou corretamente:

root<strong i="37">@deb96</strong>:/etc/nginx/conf.d# certbot -m [email protected] --agree-tos --nginx -d russianchurchvancouver.ca,www.russianchurchvancouver.ca
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for www.russianchurchvancouver.ca
http-01 challenge for russianchurchvancouver.ca
Waiting for verification...
Cleaning up challenges
Deploying Certificate to VirtualHost /etc/nginx/conf.d/RussianChurchVancouver.ca.conf
Deploying Certificate to VirtualHost /etc/nginx/conf.d/RussianChurchVancouver.ca.conf
...
Congratulations! You have successfully enabled https://russianchurchvancouver.ca
and https://www.russianchurchvancouver.ca

nginx ui / ux bug has pr unplanned

Fonte

SlavikCA

👍1

Todos 3 comentários

Obrigado por relatar, com certeza é um bug! Você está certo, a correção por agora é certificar-se de combinar o caso com o que está escrito nos arquivos de configuração.

ohemorange em 21 fev. 2019

👍1

Fizemos muitas alterações no Certbot desde que esse problema foi aberto. Se você ainda tiver esse problema com uma versão atualizada do Certbot, pode adicionar um comentário informando-nos? Isso nos ajuda a ver melhor quais problemas ainda afetam nossos usuários. Se não houver atividade nos próximos 30 dias, este problema será encerrado automaticamente.