SSL Let's Encrypt - ошибка: Failed authorization procedure.

[webspilka]

Здравствуйте
Решил переехать на новый сервер
Для нового домена Let's Encrypt сработал на ура.
А вот при подключении старого домена (который работал на https на другом IP), возникла ошибка

Code: Select all

letsencrypt-vesta apartik apartik.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for apartik.com
http-01 challenge for www.apartik.com
Using the webroot path /etc/letsencrypt/webroot for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. www.apartik.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: The key authorization file from the server did not match this challenge [AH03C3yVIJI-8AT421rPLG-60MPtL2xQUarCB41Nb-0.b-K7w05BwJOGvg4VWlZF99C5h14CICoqt5-gPbmeSK8] != [AH03C3yVIJI-8AT421rPLG-60MPtL2xQUarCB41Nb-0.bVialEFXSokbIo3usG6esE2iPU1ix82ONJ6M4suXsQs], apartik.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: The key authorization file from the server did not match this challenge [nbqRV0UI73YrelMsr_I_FXMrICF6lH8nRfAQYQyw_vY.b-K7w05BwJOGvg4VWlZF99C5h14CICoqt5-gPbmeSK8] != [nbqRV0UI73YrelMsr_I_FXMrICF6lH8nRfAQYQyw_vY.bVialEFXSokbIo3usG6esE2iPU1ix82ONJ6M4suXsQs]

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: www.apartik.com
   Type:   unauthorized
   Detail: The key authorization file from the server did not match
   this challenge
   [AH03C3yVIJI-8AT421rPLG-60MPtL2xQUarCB41Nb-0.b-K7w05BwJOGvg4VWlZF99C5h14CICoqt5-gPbmeSK8]
   !=
   [AH03C3yVIJI-8AT421rPLG-60MPtL2xQUarCB41Nb-0.bVialEFXSokbIo3usG6esE2iPU1ix82ONJ6M4suXsQs]

   Domain: apartik.com
   Type:   unauthorized
   Detail: The key authorization file from the server did not match
   this challenge
   [nbqRV0UI73YrelMsr_I_FXMrICF6lH8nRfAQYQyw_vY.b-K7w05BwJOGvg4VWlZF99C5h14CICoqt5-gPbmeSK8]
   !=
   [nbqRV0UI73YrelMsr_I_FXMrICF6lH8nRfAQYQyw_vY.bVialEFXSokbIo3usG6esE2iPU1ix82ONJ6M4suXsQs]

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address.
Let's Encrypt returned an error status.  Aborting.

A запись для домена я поменял 15 часов назад, у меня домен еще вчера начал указывать на новый ip. Есть ли смысл ждать еще сутки или проблема в чем то другом?

[webspilka]

я так понимаю проблема в том что не обновлялся файл
/home/{USER}/conf/web/nginx.{DOMAIN}.conf_letsencrypt
который отвечает за выдачу
http://{DOMAIN}/well-known/acme-challenge/
после удаления этого файла и запуска
letsencrypt-vesta {user} {domain} - все заработало без ошибок

[Светозар]

К сожалению, работает только CLI, через веб форму не работает (

[Светозар]

В общем так.

2 проблемы:

Первая: Если попытать включить SSL, а потом выключить, конфиг snginx очищается лишь на половину, и nginx не перезапускается, пока мы не почистим snginx.

Вторая: Если у Вас настроены редиректы на сайте (301), то Let's Encrypt не создастся.

Обе проблемы детектятся методом тыка.

Во втором случае можно проверить так:

Создаем файл:

Code: Select all

printf "%s" thisisthecontentoffile > /home/admin/web/kolesnikov.pw/.well-known/acme-challenge/dummychallengefile

Выполняем в терминале:

Code: Select all

[e1@svetozar ~]$ curl -i http://kolesnikov.pw/.well-known/acme-challenge/dummychallengefile | cat -A
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   178  100   178    0     0   7729      0 --:--:-- --:--:-- --:--:--  8090
HTTP/1.1 301 Moved Permanently^M$
Server: nginx^M$
Date: Mon, 03 Apr 2017 09:00:51 GMT^M$
Content-Type: text/html^M$
Content-Length: 178^M$
Connection: keep-alive^M$
Keep-Alive: timeout=60^M$
Location: https://kolesnikov.pw/.well-known/acme-challenge/dummychallengefile^M$
X-Frame-Options: SAMEORIGIN^M$
X-Content-Type-Options: nosniff^M$
X-XSS-Protection: 1; mode=block^M$
Strict-Transport-Security: max-age=31536000; preload^M$
^M$
<html>^M$
<head><title>301 Moved Permanently</title></head>^M$
<body bgcolor="white">^M$
<center><h1>301 Moved Permanently</h1></center>^M$
<hr><center>nginx</center>^M$
</body>^M$
</html>^M$

Опа, а у нас 301 редирект. Из-за него и возникает проблема. Остается открытым вопрос, как решить вопрос с пере выпуском, если у меня на всех сайтах будут стоять редиректы на https, особенно если их больше 100. Скорее всего нужно мудрить с правилами nginx, но мне лень разбираться. Удачи! ))

[webspilka]

Скорее всего нужно мудрить с правилами nginx, но мне лень разбираться. Удачи! ))

Спасибо, но я уже написал что нашел проблему
нужно было просто удалить файл
/home/{USER}/conf/web/nginx.{DOMAIN}.conf_letsencrypt

[Светозар]

нужно было просто удалить файл
/home/{USER}/conf/web/nginx.{DOMAIN}.conf_letsencrypt

Это может не помочь, если сайт которые Вы добавляете имеет редирект на например https так, как при создании сертификата он обращается к http, а ответа от него не получает нужного. Пусть в этом топике будут рассмотрены все возможные варианты.