Lua-resty-auto-ssl: Домен с истекшим сроком действия не перехватывается, а allow_domain не запускается при продлении.

Созданный на 11 июл. 2018  ·  7Комментарии  ·  Источник: auto-ssl/lua-resty-auto-ssl

Две связанные проблемы, с которыми мы столкнулись при автоматическом обновлении сертификатов:

-Auto-ssl считает, что домен действителен, тогда как whois показывает, что срок его действия истек несколько месяцев назад и он находится в статусе выкупа.
-allow_domain не работает для автоматического продления.

Просроченный домен (нигде не разрешается)
ВОЗМОЖНЫЕ данные:
Дата истечения срока действия реестра: 2018-05-22T01:19:25Z
Статус домена: redemptionPeriod https://icann.org/epp#redemptionPeriod

2018/07/06 17:58:11 [error] 3233#3233: *42151 [lua] lets_encrypt.lua:41: issue_cert(): auto-ssl: dehydrated failed: env HOOK_SECRET=74b9b9da3dc257b6f00948fc00b9117beab9fb356fb129a22dd6893c18a9cca3 HOOK_SERVER_PORT=8999 /usr/local/openresty/luajit/bin/resty-auto-ssl/dehydrated --cron --accept-terms --no-lock --domain www.expireddomain.com --challenge http-01 --config /etc/resty-auto-ssl/letsencrypt/config --hook /usr/local/openresty/luajit/bin/resty-auto-ssl/letsencrypt_hooks status: 256 out: # INFO: Using main config file /etc/resty-auto-ssl/letsencrypt/config
Processing www.expireddomain.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Aug 6 00:52:58 2018 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting authorization for www.expireddomain.com...
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for www.expireddomain.com authorization...
Invalid challenge: DOMAIN=www.expireddomain.com RESPONSE={
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up A for www.expireddomain.com",
"status": 400
},
"uri": "https://acme-v01.api.letsencrypt.org/acme/challenge/bP_FGFj0H6027YXEVXwUTr0hgPYU3p4ux70J03YgJcg/5508927882",
"token": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"keyAuthorization": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok.BmCf6H2DAkLb8K_367ROMmY9nfcTaEk0ovuF_zhtU1M",
"validationRecord": [
{
"url": "http://www.expireddomain.com/.well-known/acme-challenge/xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"hostname": "www.expireddomain.com",
"port": "80"
}
]

Allow_domain не работает при автоматическом продлении
-Это проблема, когда домен перешел к другому провайдеру и больше не резолвится к нашим серверам
-Если бы allow_domain запускался при автоматическом обновлении сертификатов, это также решило бы проблему просроченного домена, потому что наш скрипт allow_domain проверяет разрешение DNS. Что, очевидно, терпит неудачу, как сообщает letsencrypt.

picture danDanV1

Самый полезный комментарий

Нет проблем @edeis53
Я хотел сделать запрос на вытягивание с этим и поддержкой удаления сертификатов с истекшим сроком действия, я посмотрю, не смогу ли я это сделать.

picture brianlund 14 июл. 2018
👍82

Все 7 Комментарий

У меня была та же проблема, поскольку мы просматриваем множество доменов, и я добавил приведенный ниже код в функцию renew_check_cert в файле upgrade.lua, чтобы проверить домен, прежде чем разрешать его. Кроме того, я также удаляю домены с истекшим сроком действия, чтобы это не происходило каждый раз.

-- Verify domain before we issue a renewal request. local allow_domain = auto_ssl_instance:get("allow_domain") if not allow_domain(domain) then ngx.log(ngx.NOTICE, "auto-ssl: domain not allowed - not renewing - ", domain) return end

brianlund picture brianlund 11 июл. 2018

Спасибо @brianlund.

Было бы здорово, если бы renew_check_cert можно было настроить, чтобы избежать необходимости поддерживать собственный форк.

danDanV1 picture danDanV1 14 июл. 2018

Нет проблем @edeis53
Я хотел сделать запрос на вытягивание с этим и поддержкой удаления сертификатов с истекшим сроком действия, я посмотрю, не смогу ли я это сделать.

brianlund picture brianlund 14 июл. 2018
👍82

@брайанлунд

Можно ли удалить домены из-за ошибки DNS при продлении? Подробности в #173

prionkor picture prionkor 28 июн. 2019

@prionkor , разве это не решает вашу проблему? https://github.com/GUI/lua-resty-auto-ssl/pull/128

brianlund picture brianlund 20 авг. 2019

Я думаю, что это должно быть решено в версии 0.13.0 между комбинацией #176 и #128. Извините за долгую задержку с решением этого вопроса! Поэтому я собираюсь закрыть это, но дайте мне знать, остались ли какие-либо нерешенные проблемы с поведением в новом выпуске.

GUI picture GUI 30 сент. 2019

Установил и сейчас тестирую! Большое спасибо за слияние и выпуск.

danDanV1 picture danDanV1 30 сент. 2019
Была ли эта страница полезной?
0 / 5 - 0 рейтинги

Смежные вопросы

byrnedo picture byrnedo  ·  16Комментарии
serathius picture serathius  ·  21Комментарии
domharrington picture domharrington  ·  7Комментарии
discobean picture discobean  ·  8Комментарии
brendon picture brendon  ·  9Комментарии