Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

VPS. Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)

Форумы VPS Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)
info8889
13.02.2017
хостинг: есть
домен: есть
Проблема с обновлением LetsEnsrypt на VPS (Failed authorization procedure)
Здравствуйте. При попытке обновить сертификат для сайта (сервер на Apache):

root@vps-16163:~# ./certbot-auto renew --dry-run

получаю:

Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/souvenirua.com.conf
-------------------------------------------------------------------------------
Cert not due for renewal, but simulating renewal for dry run
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for souvenirua.com
tls-sni-01 challenge for www.souvenirua.com
Waiting for verification...
Cleaning up challenges

Attempting to renew cert from /etc/letsencrypt/renewal/souvenirua.com.conf produced an unexpected error: Failed authorization procedure. www.souvenirua.com (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested fb6b9df085422002676f38674142163b.091e6fb52bd9abe3be41f3034defd0b5.acme.invalid from 185.25.119.22:443. Received 1 certificate(s), first certificate had names "souvenirua.com, www.souvenirua.com", souvenirua.com (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested d11d027d54bb28fe1b953a7aafcff416.56463c8e902916f9e10925395cc5d573.acme.invalid from 185.25.119.22:443. Received 1 certificate(s), first certificate had names "souvenirua.com, www.souvenirua.com". Skipping.

** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates below have not been saved.)

All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/souvenirua.com/fullchain.pem (failure)
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates above have not been saved.)
1 renew failure(s), 0 parse failure(s)

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: www.souvenirua.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
fb6b9df085422002676f38674142163b.091e6fb52bd9abe3be41f3034defd0b5.acme.invalid
from 185.25.119.22:443. Received 1 certificate(s), first
certificate had names "souvenirua.com, www.souvenirua.com"

Domain: souvenirua.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
d11d027d54bb28fe1b953a7aafcff416.56463c8e902916f9e10925395cc5d573.acme.invalid
from 185.25.119.22:443. Received 1 certificate(s), first
certificate had names "souvenirua.com, www.souvenirua.com"

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address.


Подскажите пожалуйста, что не так?
toxi
13.02.2017
хостинг: есть
домен: есть
Обновление сертификата выполняется командой (для Debian/Ubuntu): /usr/local/sbin/certbot-auto renew >> /var/log/le-renew.log
Так же можно прописать в crontab команду для автообновления и поставить на запуск каждый Понедельник в 2:30 ночи
30 2 * * 1 /usr/local/sbin/certbot-auto renew >> /var/log/le-renew.log

Сейчас нет возможности посмотреть историю команд на сервере, с помощью которой я выполнял обновление сертификата, так как у меня была похожая ошибка, что и в теме указана.
info8889
14.02.2017
хостинг: есть
домен: есть
Здравствуйте. Спасибо что ответили.

Когда запускаю в каталоге "/usr/local/sbin/" команду certbot-auto renew получаю:

-bash: certbot-auto: command not found

Когда запускаю; root@vps-16163:~# ./certbot-auto renew получаю:

Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/souvenirua.com.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal

The following certs are not due for renewal yet:
/etc/letsencrypt/live/souvenirua.com/fullchain.pem (skipped)
No renewals were attempted.


И еще заметил одну серьезную проблему с сертификатом, на мобильном в гугл хром выдает:

"Сертификат безопасности сайта не является доверенным"

Проблема только в гугл хроме и только на мобильном.

Есть другие сайты, но на хостинге, с сертификатом letsencrypt, там такой проблемы нету
Прикрепленные файлы:
Дмитрий Б.
14.02.2017
хостинг: есть
домен: нет
Судя по проверке SSL Checker - SSL Certificate Verify есть проблема с корневыми сертификатами. Вы добавляли цепочку сертификатов?
info8889
14.02.2017
хостинг: есть
домен: есть
Похоже что нет. Подскажиет как это сделать?
info8889
14.02.2017
хостинг: есть
домен: есть
В /etc/letsencrypt/live/souvenirua.com вроде бы есть все файлы:
Прикрепленные файлы:
Дмитрий Б.
14.02.2017
хостинг: есть
домен: нет
Вы через ISPManager ставили? Поле "цепочка" заполняли? Часто задаваемые вопросы касательно SSL сертификатов
info8889
14.02.2017
хостинг: есть
домен: есть
Получал по ssh, certbot, ставил на ISPManager.

Зашел и обнаружил что там стоит "Самоподписанный сертификат". Наверно в этом и причина ошибки? Нужно заменит ьна существующий?
Прикрепленные файлы:
Дмитрий Б.
14.02.2017
хостинг: есть
домен: нет
Трудно сказать. Согласно проверке, стоит сертификат от Let`s Encrypt. Попробуйте переустановить его через ISPMamaner.
info8889
14.02.2017
хостинг: есть
домен: есть
Пробую добавить новый "существующий сертификат" через isp, ругается на цепочку сертификатов.

В поле "Пароль" в ISPManager при создании сертификата не нужно ничего вводить?
info8889
14.02.2017
хостинг: есть
домен: есть
Переустановил, нужно было в конце цепочки убрать абзац. Ошибка на мобильном исчезла! Спасибо Дмитрий Б.!

Осталась открытой проблема обновления сертификата.

toxi, если будет возможность, посмотрите пожалуйста как обновляли сертификат у себя
toxi
14.02.2017
хостинг: есть
домен: есть
Нашел в истории команд такую команду обновления сертификата:

Получить только сертификат:
/root/letsencrypt/letsencrypt-auto certonly --standalone >> /var/log/letsencrypt-renew.log


Обновить сертификат для явно указанных доменов on******.com.ua www.on******.com.ua
service apache2 stop && sleep 5 && /root/letsencrypt/letsencrypt-auto renew -d on******.com.ua www.on******.com.ua && service apache2 start


Обновить сертификаты для всех доменов для которых сертификаты были установлены ранее:
service apache2 stop && sleep 5 && /root/letsencrypt/letsencrypt-auto renew --standalone && sleep 3 && service apache2 start

Вроде бы из них последняя правильная. Я точно не скажу, так как выполнял эту команду два месяца назад и не очень помню, какая из них сработала команда.
Службу apache2 я останавливал потому, что letsencrypt не хотел обновлять сертификат никак. Постоянно сыпались ошибки. Только после того, как я остановил службу apache2, команда без проблем и без ошибок выполнилась и сертификат обновился.

Папка /root/letsencrypt/ - это та папка, в которую были загружены файлы letsencrypt для создания сертификата. По логам, у вас этот файл запускается из папки:
root@vps-16163:~# ./letsencrypt-auto renew --standalone


ОС Debian
info8889
15.02.2017
хостинг: есть
домен: есть
Спасибо! Как попробую - отпишусь.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Горячая линия
(044)
392 74 33
другие города