Letsencrypt certbot - Falsches Zertifikat zurückgegeben

926
Russell Fulton

Ich versuche, ein Zertifikat auf einem Ubuntu 16.04-System zu installieren, auf dem Apache ausgeführt wird.

super @ fulton: ~ $ sudo certbot --apache Debug-Protokoll wird in /var/log/letsencrypt/letsencrypt.log gespeichert  Für welche Namen möchten Sie HTTPS aktivieren? -------------------------------------------------- ----------------------------- 1: fulton.geek.nz -------------------------------------------------- ----------------------------- Wählen Sie die entsprechenden Zahlen durch Kommas und / oder Leerzeichen getrennt aus oder lassen Sie die Eingabe Leer, um alle angezeigten Optionen auszuwählen (Geben Sie 'c' ein, um den Vorgang abzubrechen):  Ein neues Zertifikat erhalten Durchführen der folgenden Herausforderungen: tls-sni-01 Herausforderung für fulton.geek.nz Warten auf Überprüfung... Herausforderungen bereinigen Fehlerhaftes Autorisierungsverfahren fulton.geek.nz (tls-sni-01): urn: acme: error: unauthorized :: Der Client verfügt nicht über ausreichende Autorisierung :: Falsches Validierungszertifikat für die Anforderung tls-sni-01. Angefordert dee657b32542a5344ac78e1c213268c6.7a4ba1bb64bebec8e35cb74fa42693a6.acme.invalid aus 114.23.222.208:443. 1 Zertifikat (e) erhalten, erstes Zertifikat hatte Namen "fulton.geek.nz"  WICHTIGE NOTIZEN: - Die folgenden Fehler wurden vom Server gemeldet:  Domäne: fulton.geek.nz Typ: nicht autorisiert Detail: Falsches Validierungszertifikat für die Herausforderung tls-sni-01. Beantragt dee657b32542a5344ac78e1c213268c6.7a4ba1bb64bebec8e35cb74fa42693a6.acme.invalid von 114.23.222.208:443. Erhielt zuerst 1 Zertifikat (e) Zertifikat hatte Namen "fulton.geek.nz"  Um diese Fehler zu beheben, stellen Sie bitte sicher, dass Ihr Domainname war richtig eingegeben und die DNS-A / AAAA-Einträge für diese Domäne enthalten die richtige IP-Adresse.

Es scheint so, als ob die Letencrypt-Herausforderung das Standard-Snakeoil-Zertifikat zurückerhält und nicht das, was es erwartet. Ich weiß, dass es das snakeoil cert ist, weil ich es mit einem anderen DN ersetzt habe und der gemeldete Name geändert wurde.

Irgendwelche Ideen, um herauszufinden, was falsch ist?

0

1 Antwort auf die Frage

0
Russell Fulton

Ich weiß immer noch nicht genau, was mit certbot schief gelaufen ist, aber es war ziemlich klar, dass Apache die sni-Herausforderung und nicht Certbot beantwortete, selbst wenn ich Apache vor dem Ausführen von certbot heruntergefahren hatte. Es lief immer danach. Die Lösung war einfach "sudo certbot certonly - standalone" mit heruntergefahrenem Apache. Ich habe dann das Zertifikat von Hand installiert.

Ich vermute, dass certbot es irgendwie geschafft hat, Apache zu starten (ich weiß, dass es einen macht apache2ctl configtest, der Apache auf meinem System startet). Wenn Apache ausgeführt wird, schlägt der Versuch fehl, wenn certbot etwas startet, das auf Port 443 wartet.

Wenn dies der Fall ist, würde man erwarten, dass der Fehler erkannt und gemeldet wird! Seltsam.

Hier ist ein Link zu einem guten Beitrag zu anderen Dingen, die diese Nachricht verursachen

Verwandte Probleme