web-dev-qa-db-ja.com

CERTBOT-AUTO RENEWに失敗しました - クライアントは十分な承認を欠いています - なぜ?

それで、それは私が同じサーバー上の複数のドメインにcertbot-auto certificateを置く数年です(Apache 2.2 - Debian 7)。しかし、今日私は私のcrontabが証明書を更新しなかったのを見たので、私はSSHでそれをFlowerさんと一緒にやろうとしました:

./certbot-auto renew
 _

これがエラーステートメントです。

    Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/www.domain1.fr.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert is due for renewal, auto-renewing...
Plugins selected: Authenticator Apache, Installer Apache
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for domain2.fr
http-01 challenge for domain1.fr
http-01 challenge for www.domain2.fr
http-01 challenge for www.domain1.fr
Waiting for verification...
Cleaning up challenges
Attempting to renew cert (www.domain1.fr) from /etc/letsencrypt/renewal/www.domain1.fr.conf produced an unexpected error: Failed authorization procedure. domain2.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://domain2.fr/.well-known/acme-challenge/Zip1x0730t7J0iJii67jS95Fli2eLhPA12SgXGzR6P8 [151.80.100.117]: 503, www.domain1.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.domain1.fr/.well-known/acme-challenge/hoy1fNZkCyBkK2kA7gQhhW8QpWiCk7K00kFHsxNcZgc [151.80.100.117]: 503, domain1.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://domain1.fr/.well-known/acme-challenge/LvfaVWC1VzbOehKgFvJe1gNd3tsEWUH3eBDan1-q8Oo [151.80.100.117]: 503, www.domain2.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.domain2.fr/.well-known/acme-challenge/fOAwU_IAvKW7AC9nAFNZ6InVHrYB9VmuB9tGvEGpU2c [151.80.100.117]: 503. Skipping.
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/www.domain1.fr/fullchain.pem (failure)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/www.domain1.fr/fullchain.pem (failure)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: domain2.fr
   Type:   unauthorized
   Detail: Invalid response from
   http://domain2.fr/.well-known/acme-challenge/Zip1x0730t7J0iJii67jS95Fli2eLhPA12SgXGzR6P8
   [151.80.100.117]: 503

   Domain: www.domain1.fr
   Type:   unauthorized
   Detail: Invalid response from
   http://www.domain1.fr/.well-known/acme-challenge/hoy1fNZkCyBkK2kA7gQhhW8QpWiCk7K00kFHsxNcZgc
   [151.80.100.117]: 503

   Domain: domain1.fr
   Type:   unauthorized
   Detail: Invalid response from
   http://domain1.fr/.well-known/acme-challenge/LvfaVWC1VzbOehKgFvJe1gNd3tsEWUH3eBDan1-q8Oo
   [151.80.100.117]: 503

   Domain: www.domain2.fr
   Type:   unauthorized
   Detail: Invalid response from
   http://www.domain2.fr/.well-known/acme-challenge/fOAwU_IAvKW7AC9nAFNZ6InVHrYB9VmuB9tGvEGpU2c
   [151.80.100.117]: 503

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 _

私はVhost構成またはサーバー構成について何も変更しませんでしたので、CertBotがもう更新するための自動化がない理由がわかりません。

編集 :

すべてのドメインには、右IPを持つADNSレコードがあります。

私の /.well-known/フォルダは現在0777の権利にあります。

certbot
7
Alain.D

私はAlternAtivソリューションを見つけましたが、私は問題を解決しませんでした。

私はあなたのようなトリックをしました ここ :次のコマンドを使用しました:

./certbot-auto certonly -d www.domain1.fr -d domain1.fr -d domain2.fr -d www.domain2.fr
 _

私の証明書が再び働いています。

だから問題(私は思う)がcertbot-auto renew各ウェブサイトのWebRootを一致させます。

あなたの助けとあなたの時間のための@Martin Zeitlerありがとうございました。

3
Alain.D

私たちの場合、私たちのDNSはうまく機能していましたが、まだlacks sufficient authorizationエラーを受けていました。

最後にリソースに遭遇しましょう: https://webdock.io/en/docs/webdock-control-panel/common-certbot-errors

それは照明を走らせた:

certbot rollback

に続く:

certbot renew

そして私たちはついに証明書を更新することができました。

私たちは真剣に真剣に新しいVMとすべてのものを移行し、その問題を解決した後、その問題を解決した後、証明書がついに期限切れにしていて、私たちがクランチモードであったので)。

多分これは何らかの悲しみを誰かに救うでしょう。

1
Joshua Burns

NGINX-CERTBOTソリューションを使用してこれを試してください

Sudo add-apt-repository ppa:certbot/certbot
Sudo apt install python-certbot-nginx
Sudo certbot --nginx -d xxx.xxx.com
 _

https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-18-04

0
Phillip Kigenyi