腾讯云 `API` 服务 `Let's Encrypt` 证书 `Renew` 失败
zealzz · zealzhangz · 2018-11-13 19:20:28 +08:00 · 4931 次点击这是一个创建于 2186 天前的主题,其中的信息可能已经有所发展或是发生改变。
一年多了之前 Renew 都是正常的,就在双十一当天 Renew 一直失败,各位 V 友有遇到这种情况吗?有思路的给个提示,下面是部分信息。
- 子域
api.xxxx.xx,域名在阿里云管理,DNS配的A记录 - 使用的
standalone模式,Renew前已经把本地的Nginx关闭了。80、443 端口没被占用 - 把服务器重启后
Renew也是一样的错 - 网上也看到一些类似情况,但也解决不了
部分错误日志如下:
{
"identifier": {
"type": "dns",
"value": "api.xxxx.xx"
},
"status": "invalid",
"expires": "2018-11-18T15:33:56Z",
"challenges": [
{
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:ietf:params:acme:error:connection",
"detail": "Fetching http://api.xxxx.xx/.well-known/acme-challenge/xxxxxxxx: Error getting validation data",
"status": 400
},
"url": "https://acme-v02.api.letsencrypt.org/acme/challenge/jgMy9WxHILHaUScF9joUpdXZ7uCRDSM2mabGDDn_22k/9189513629",
"token": "xxxxxxxx",
"validationRecord": [
{
"url": "http://api.xxxx.xx/.well-known/acme-challenge/xxxxxxxx",
"hostname": "api.xxxx.xx",
"port": "80",
"addressesResolved": [
"xx.xxx.xx.xx"
],
"addressUsed": "xx.xxx.xx.xx"
}
]
}
]
}
2018-11-11 23:35:02,624:DEBUG:certbot.reporter:Reporting to user: The following errors were reported by the server:
Attempting to renew cert (api.xxxx.xx) from /etc/letsencrypt/renewal/api.xxxx.xx.conf produced an unexpected error: Failed authorization procedure. api.xxxx.xx ( http-01): urn:ietf:params:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://api.xxxx.xx/.well-known/acme-challenge/k9NoezsP97OBAnv0hP_a6jbV_9OKhFey5QOqt9ON2nk: Error getting validation data. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/api.xxxx.xx/fullchain.pem (failure)
第 1 条附言 · 2018-11-14 12:49:17 +08:00
- V 友果然厉害!找到真正原因了:备案的原因。
- 因为主域名是在阿里云备案的,还需要再腾讯云接入备案。否则
Letsecrypt Server再使用 HTTP 协议验证的时候会被腾讯云墙。当前也发现一个绕过墙方法,使用tls-sni renew证书。 - 但是因为安全问题:
TLS-SNI-01 is deprecated, and will stop working soon.,但是现在至少还能用,再用一段时间,实在不行就只能接入备案了。
 |
1
Cherishxxyy 2018-11-13 20:40:03 +08:00
根据你的描述判断,你用的是 Let's Encrypt 的 SSL 证书,使用的是阿里云的域名,不知道用的是哪家的服务器,但是该问题可能出在你的 DNS or SSL 证书 or Nginx 配置,这个和腾讯云没多大关系吧。。。
|
 |
2
Dk2014 2018-11-13 20:46:48 +08:00
acme 命令呢,不清楚你这到底是用哪个模式
|
 |
3
ahu 2018-11-13 21:03:58 +08:00 via Android
不知道双十一当天腾讯的 dns 挂了吗?那怎么能成功!
|
 |
4
ywgx 2018-11-13 21:06:02 +08:00 via iPhone
和良心云无关
|
 |
5
zealzz OP @Cherishxxyy 虚拟机是腾讯云的,实在找不到问题,给腾讯云提了个工单,日志作为附件。小哥给我接了个日志的报错图。我想说我又不瞎能看到啊,感觉也应该和云关系不大,防火墙啥的也没开。真是蛋疼。接下来只能来研究工具的文档了,看看能不能 debug 一下。
|
 |
9
danc 2018-11-13 22:36:59 +08:00
升级 acme,apt update && apt upgrade,关闭 nginx 其他占用 80 和 443 端口的服务,service nginx stop
|
 |
10
BOYPT 2018-11-14 00:02:13 +08:00
你自己从第三方访问 http://api.xxxx.xx/能正确返回吗?也有可能你这个域名没备案,被腾讯云墙了。
|
|
11
zealzz OP @BOYPT 主域名在阿里云备案了,虚拟机在腾讯云上,证书过期之前访问一直是正常的。我明天吧 https 去掉看看 http 是否能正常访问。
|
 |
13
zwh2698 2018-11-14 05:59:16 +08:00 via Android
删掉,重新申请,就可以
|
|
14
zealzz OP @BOYPT 大胸弟,正解。的确是因为备案的原因。因为被腾讯云墙了所以 Letsencrypt 无法验证证书。发现一个方法 使用 tls-sni 可以绕过腾讯云的墙。
|
Select Language