Baru-baru ini saya mulai menggunakan sertifikat SSL Let's Encrypt untuk situs saya cPanelTips.com. Mari kita hadapi itu, Let's Encrypt telah mengubah cara kita menginstal sertifikat SSL.
Dahulu ketika Anda harus mengisi data perusahaan dan pribadi Anda, membuat kode CSR, dan kemudian mengirimkannya ke registrar SSL, hingga akhirnya menunggu perangkat kode CRT sekarang hilang.
Let's Encrypt adalah cara mudah dan cepat untuk menginstal sertifikat SSL untuk server cPanel dan Linux biasa. Dalam kasus saya, Sertifikat SSL ini diinstal pada CentOS 7.x 64 bit dan berfungsi dengan baik hingga tanggal jatuh tempo pembaruan SSL muncul.
Namun, ketika waktu memperbarui sertifikat ssl Let's Encrypt akan segera tiba, saya melihat sesuatu yang aneh saat menjalankan opsi 'perbarui' menggunakan perintah 'certbot'. Lihat di bawah.
[[email protected]:~]/usr/bin/certbot renew Saving debug log to /var/log/letsencrypt/letsencrypt.log Cert is due for renewal, auto-renewing... Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org Renewing an existing certificate Performing the following challenges: http-01 challenge for nixcp.com Waiting for verification... Cleaning up challenges Attempting to renew cert from /etc/letsencrypt/renewal/nixcp.com.conf produced an unexpected error: Failed authorization procedure. nixcp.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://nixcp.com/.well-known/acme-challenge/qtxjYi0a3FYNWpvqW-WTyZZzj848Yr0J6Sfx-75xDrg
Kesalahannya jelas:
Klien tidak memiliki otorisasi yang memadai ::Tanggapan tidak valid dari http://nixcp.com/.well-known/acme-challenge/
Pada proses perpanjangan yang sama, saya juga melihat kesalahan lain di situs web lain yang saya kelola:
All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/mysecondsite.com/fullchain.pem (failure) 1 renew failure(s), 0 parse failure(s) IMPORTANT NOTES: - The following errors were reported by the server: Domain: mysecondsite.com Type: unauthorized Detail: Invalid response from http://mysecondsite.com/.well-known/acme-challenge/YjP9PAcIEANeX50kZJ9vJ-lARkryYs7yFSLhKBU9Y_M: 404 Not Found To fix these errors, please make sure that your domain name was entered correctly and the DNS A record(s) for that domain contain(s) the right IP address. The A records were configured ok at the DNS server, and the first thing that came to my mind was that certbot was trying to connect to http://, instead of https://.
Saya telah mengonfigurasi kedua domain tersebut untuk menggunakan pengalihan 301 dari http ke https, saya menguji curl yang berjalan ini terhadap http untuk melihat apakah ada masalah dengan pengalihan 301, tetapi sejauh yang saya lihat bukan itu masalahnya.
curl -I http://nixcp.com/.well-known/acme-challenge/
Mengembalikan status 301 redirect OK, lalu mengapa certbot tidak dapat mencapai URL final?
Saya tidak tahu, tetapi ada sesuatu yang berhasil. Saya membuat pengecualian untuk pengalihan 301 dari http ke https, dan itu membuat proses perpanjangan certbot berjalan tanpa masalah untuk kedua domain.
Ini adalah kode yang saya gunakan untuk mengarahkan 301 semua dari http ke https kecuali untuk direktori .well-known yang digunakan oleh Let's Encrypt:
server {
listen 80;
server_name www.nixcp.com nixcp.com;
# Redirect all requests to https
location / {
return 301 https://nixcp.com$request_uri;
}
# This rule excludes the .well-known directory from the 301 redirect.
location /.well-known {
root /var/www/nixcp.com;
}
} Membiarkan direktori .well-known dapat diakses menggunakan http adalah kunci untuk menjalankan proses pembaruan certbot tanpa masalah. Setelah itu, saya memastikan diri bahwa direktori verifikasi yang digunakan oleh certbot memang dibuat:
mkdir -p /var/www/caneltips.com/.well-known/acme-challenge
Setelah itu saya jalankan lagi perintah pembaharuan, dan ini hasilnya:
Itu diperbarui OK untuk periode 3 bulan lagi!
Mari Enkripsi:Klien tidak memiliki otorisasi yang memadai ::Respons tidak valid terakhir diubah:5 April 2017 oleh Esteban Borges