Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • Русский
  • Українська
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  Vodafone
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

VPS. Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)

Форумы VPS Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)

info8889
3 года
0
Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)

Здравствуйте. При попытке обновить сертификат для сайта (сервер на Apache):
root@vps-16163:~# ./certbot-auto renew --dry-run
получаю:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/souvenirua.com.conf
-------------------------------------------------------------------------------
Cert not due for renewal, but simulating renewal for dry run
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for souvenirua.com
tls-sni-01 challenge for www.souvenirua.com
Waiting for verification...
Cleaning up challenges
Attempting to renew cert from /etc/letsencrypt/renewal/souvenirua.com.conf produced an unexpected error: Failed authorization procedure. www.souvenirua.com (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested fb6b9df085422002676f38674142163b.091e6fb52bd9abe3be41f3034defd0b5.acme.invalid from 185.25.119.22:443. Received 1 certificate(s), first certificate had names "souvenirua.com, www.souvenirua.com", souvenirua.com (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested d11d027d54bb28fe1b953a7aafcff416.56463c8e902916f9e10925395cc5d573.acme.invalid from 185.25.119.22:443. Received 1 certificate(s), first certificate had names "souvenirua.com, www.souvenirua.com". Skipping.
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates below have not been saved.)
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/souvenirua.com/fullchain.pem (failure)
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates above have not been saved.)
1 renew failure(s), 0 parse failure(s)
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: www.souvenirua.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
fb6b9df085422002676f38674142163b.091e6fb52bd9abe3be41f3034defd0b5.acme.invalid
from 185.25.119.22:443. Received 1 certificate(s), first
certificate had names "souvenirua.com, www.souvenirua.com"
Domain: souvenirua.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
d11d027d54bb28fe1b953a7aafcff416.56463c8e902916f9e10925395cc5d573.acme.invalid
from 185.25.119.22:443. Received 1 certificate(s), first
certificate had names "souvenirua.com, www.souvenirua.com"
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address.

Подскажите пожалуйста, что не так?

toxi
3 года
0

Обновление сертификата выполняется командой (для Debian/Ubuntu): /usr/local/sbin/certbot-auto renew >> /var/log/le-renew.log
Так же можно прописать в crontab команду для автообновления и поставить на запуск каждый Понедельник в 2:30 ночи

30 2 * * 1 /usr/local/sbin/certbot-auto renew >> /var/log/le-renew.log

Сейчас нет возможности посмотреть историю команд на сервере, с помощью которой я выполнял обновление сертификата, так как у меня была похожая ошибка, что и в теме указана.

info8889
3 года
0

Здравствуйте. Спасибо что ответили.
Когда запускаю в каталоге "/usr/local/sbin/" команду certbot-auto renew получаю:
-bash: certbot-auto: command not found
Когда запускаю; root@vps-16163:~# ./certbot-auto renew получаю:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/souvenirua.com.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal
The following certs are not due for renewal yet:
/etc/letsencrypt/live/souvenirua.com/fullchain.pem (skipped)
No renewals were attempted.

И еще заметил одну серьезную проблему с сертификатом, на мобильном в гугл хром выдает:
"Сертификат безопасности сайта не является доверенным"
Проблема только в гугл хроме и только на мобильном.
Есть другие сайты, но на хостинге, с сертификатом letsencrypt, там такой проблемы нету

Прикрепленные файлы:
Дмитрий Б.
3 года
0

Судя по проверке SSL Checker - SSL Certificate Verify есть проблема с корневыми сертификатами. Вы добавляли цепочку сертификатов?

info8889
3 года
0

Похоже что нет. Подскажиет как это сделать?

info8889
3 года
0

В /etc/letsencrypt/live/souvenirua.com вроде бы есть все файлы:

Прикрепленные файлы:
Дмитрий Б.
3 года
0

Вы через ISPManager ставили? Поле "цепочка" заполняли? Часто задаваемые вопросы касательно SSL сертификатов

info8889
3 года
0

Получал по ssh, certbot, ставил на ISPManager.
Зашел и обнаружил что там стоит "Самоподписанный сертификат". Наверно в этом и причина ошибки? Нужно заменит ьна существующий?

Прикрепленные файлы:
Дмитрий Б.
3 года
0

Трудно сказать. Согласно проверке, стоит сертификат от Let`s Encrypt. Попробуйте переустановить его через ISPMamaner.

info8889
3 года
0

Пробую добавить новый "существующий сертификат" через isp, ругается на цепочку сертификатов.
В поле "Пароль" в ISPManager при создании сертификата не нужно ничего вводить?

info8889
3 года
0

Переустановил, нужно было в конце цепочки убрать абзац. Ошибка на мобильном исчезла! Спасибо Дмитрий Б.!
Осталась открытой проблема обновления сертификата.
toxi, если будет возможность, посмотрите пожалуйста как обновляли сертификат у себя

toxi
3 года
0

Нашел в истории команд такую команду обновления сертификата:
Получить только сертификат:

/root/letsencrypt/letsencrypt-auto certonly --standalone >> /var/log/letsencrypt-renew.log

Обновить сертификат для явно указанных доменов on******.com.ua www.on******.com.ua
service apache2 stop && sleep 5 && /root/letsencrypt/letsencrypt-auto renew -d on******.com.ua www.on******.com.ua && service apache2 start

Обновить сертификаты для всех доменов для которых сертификаты были установлены ранее:
service apache2 stop && sleep 5 && /root/letsencrypt/letsencrypt-auto renew --standalone && sleep 3 && service apache2 start

Вроде бы из них последняя правильная. Я точно не скажу, так как выполнял эту команду два месяца назад и не очень помню, какая из них сработала команда.
Службу apache2 я останавливал потому, что letsencrypt не хотел обновлять сертификат никак. Постоянно сыпались ошибки. Только после того, как я остановил службу apache2, команда без проблем и без ошибок выполнилась и сертификат обновился.
Папка /root/letsencrypt/ - это та папка, в которую были загружены файлы letsencrypt для создания сертификата. По логам, у вас этот файл запускается из папки:
root@vps-16163:~# ./letsencrypt-auto renew --standalone

ОС Debian

info8889
3 года
0

Спасибо! Как попробую - отпишусь.

Участвовать в общении на этом форуме могут только зарегистрированные пользователи.