• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепропетровск
  • +38(062) 210-24-93  Донецк
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 007-72-35  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

VPS. Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)

Форумы VPS Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)
info8889
13.02.2017 17:47
хостинг: есть
домен: есть
Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)
Здравствуйте. При попытке обновить сертификат для сайта (сервер на Apache):

root@vps-16163:~# ./certbot-auto renew --dry-run

получаю:

Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/souvenirua.com.conf
-------------------------------------------------------------------------------
Cert not due for renewal, but simulating renewal for dry run
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for souvenirua.com
tls-sni-01 challenge for www.souvenirua.com
Waiting for verification...
Cleaning up challenges

Attempting to renew cert from /etc/letsencrypt/renewal/souvenirua.com.conf produced an unexpected error: Failed authorization procedure. www.souvenirua.com (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested fb6b9df085422002676f38674142163b.091e6fb52bd9abe3be41f3034defd0b5.acme.invalid from 185.25.119.22:443. Received 1 certificate(s), first certificate had names "souvenirua.com, www.souvenirua.com", souvenirua.com (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested d11d027d54bb28fe1b953a7aafcff416.56463c8e902916f9e10925395cc5d573.acme.invalid from 185.25.119.22:443. Received 1 certificate(s), first certificate had names "souvenirua.com, www.souvenirua.com". Skipping.

** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates below have not been saved.)

All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/souvenirua.com/fullchain.pem (failure)
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates above have not been saved.)
1 renew failure(s), 0 parse failure(s)

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: www.souvenirua.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
fb6b9df085422002676f38674142163b.091e6fb52bd9abe3be41f3034defd0b5.acme.invalid
from 185.25.119.22:443. Received 1 certificate(s), first
certificate had names "souvenirua.com, www.souvenirua.com"

Domain: souvenirua.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
d11d027d54bb28fe1b953a7aafcff416.56463c8e902916f9e10925395cc5d573.acme.invalid
from 185.25.119.22:443. Received 1 certificate(s), first
certificate had names "souvenirua.com, www.souvenirua.com"

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address.


Подскажите пожалуйста, что не так?
toxi
13.02.2017 22:08
хостинг: есть
домен: есть
Обновление сертификата выполняется командой (для Debian/Ubuntu): /usr/local/sbin/certbot-auto renew >> /var/log/le-renew.log
Так же можно прописать в crontab команду для автообновления и поставить на запуск каждый Понедельник в 2:30 ночи
30 2 * * 1 /usr/local/sbin/certbot-auto renew >> /var/log/le-renew.log

Сейчас нет возможности посмотреть историю команд на сервере, с помощью которой я выполнял обновление сертификата, так как у меня была похожая ошибка, что и в теме указана.
info8889
14.02.2017 09:41
хостинг: есть
домен: есть
Здравствуйте. Спасибо что ответили.

Когда запускаю в каталоге "/usr/local/sbin/" команду certbot-auto renew получаю:

-bash: certbot-auto: command not found

Когда запускаю; root@vps-16163:~# ./certbot-auto renew получаю:

Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/souvenirua.com.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal

The following certs are not due for renewal yet:
/etc/letsencrypt/live/souvenirua.com/fullchain.pem (skipped)
No renewals were attempted.


И еще заметил одну серьезную проблему с сертификатом, на мобильном в гугл хром выдает:

"Сертификат безопасности сайта не является доверенным"

Проблема только в гугл хроме и только на мобильном.

Есть другие сайты, но на хостинге, с сертификатом letsencrypt, там такой проблемы нету
Прикрепленные файлы:
Дмитрий Б.
14.02.2017 12:16
хостинг: есть
домен: нет
Судя по проверке SSL Checker - SSL Certificate Verify есть проблема с корневыми сертификатами. Вы добавляли цепочку сертификатов?
info8889
14.02.2017 12:22
хостинг: есть
домен: есть
Похоже что нет. Подскажиет как это сделать?
info8889
14.02.2017 12:32
хостинг: есть
домен: есть
В /etc/letsencrypt/live/souvenirua.com вроде бы есть все файлы:
Прикрепленные файлы:
Дмитрий Б.
14.02.2017 12:40
хостинг: есть
домен: нет
Вы через ISPManager ставили? Поле "цепочка" заполняли? Часто задаваемые вопросы касательно SSL сертификатов
info8889
14.02.2017 12:53
хостинг: есть
домен: есть
Получал по ssh, certbot, ставил на ISPManager.

Зашел и обнаружил что там стоит "Самоподписанный сертификат". Наверно в этом и причина ошибки? Нужно заменит ьна существующий?
Прикрепленные файлы:
Дмитрий Б.
14.02.2017 13:25
хостинг: есть
домен: нет
Трудно сказать. Согласно проверке, стоит сертификат от Let`s Encrypt. Попробуйте переустановить его через ISPMamaner.
info8889
14.02.2017 14:05
хостинг: есть
домен: есть
Пробую добавить новый "существующий сертификат" через isp, ругается на цепочку сертификатов.

В поле "Пароль" в ISPManager при создании сертификата не нужно ничего вводить?
info8889
14.02.2017 14:23
хостинг: есть
домен: есть
Переустановил, нужно было в конце цепочки убрать абзац. Ошибка на мобильном исчезла! Спасибо Дмитрий Б.!

Осталась открытой проблема обновления сертификата.

toxi, если будет возможность, посмотрите пожалуйста как обновляли сертификат у себя
toxi
14.02.2017 19:02
хостинг: есть
домен: есть
Нашел в истории команд такую команду обновления сертификата:

Получить только сертификат:
/root/letsencrypt/letsencrypt-auto certonly --standalone >> /var/log/letsencrypt-renew.log


Обновить сертификат для явно указанных доменов on******.com.ua www.on******.com.ua
service apache2 stop && sleep 5 && /root/letsencrypt/letsencrypt-auto renew -d on******.com.ua www.on******.com.ua && service apache2 start


Обновить сертификаты для всех доменов для которых сертификаты были установлены ранее:
service apache2 stop && sleep 5 && /root/letsencrypt/letsencrypt-auto renew --standalone && sleep 3 && service apache2 start

Вроде бы из них последняя правильная. Я точно не скажу, так как выполнял эту команду два месяца назад и не очень помню, какая из них сработала команда.
Службу apache2 я останавливал потому, что letsencrypt не хотел обновлять сертификат никак. Постоянно сыпались ошибки. Только после того, как я остановил службу apache2, команда без проблем и без ошибок выполнилась и сертификат обновился.

Папка /root/letsencrypt/ - это та папка, в которую были загружены файлы letsencrypt для создания сертификата. По логам, у вас этот файл запускается из папки:
root@vps-16163:~# ./letsencrypt-auto renew --standalone


ОС Debian
info8889
15.02.2017 13:28
хостинг: есть
домен: есть
Спасибо! Как попробую - отпишусь.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города