Letsencrypt certbot - certificado errado retornado

Navegue suas respostas
0

Estou tentando instalar um certificado em um sistema ubuntu 16.04 executando o apache. 

super@fulton:~$ sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Which names would you like to activate HTTPS for?
-------------------------------------------------------------------------------
1: fulton.geek.nz
-------------------------------------------------------------------------------
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for fulton.geek.nz
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. fulton.geek.nz (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge. Requested dee657b32542a5344ac78e1c213268c6.7a4ba1bb64bebec8e35cb74fa42693a6.acme.invalid from 114.23.222.208:443. Received 1 certificate(s), first certificate had names "fulton.geek.nz"

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: fulton.geek.nz
   Type:   unauthorized
   Detail: Incorrect validation certificate for tls-sni-01 challenge.
   Requested
   dee657b32542a5344ac78e1c213268c6.7a4ba1bb64bebec8e35cb74fa42693a6.acme.invalid
   from 114.23.222.208:443. Received 1 certificate(s), first
   certificate had names "fulton.geek.nz"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

O que parece estar acontecendo é que o desafio letencrypt está recebendo o certificado snakeoil padrão de volta, e não o que ele espera. Eu sei que está recebendo o certificado snakeoil porque eu o substituí por um com um dn diferente e o nome relatado mudou.

Alguma idéia de como descobrir o que está errado?

    
por Russell Fulton 14.09.2017 / 22:09

1 resposta

0

Ainda não sei exatamente o que deu errado com o certbot, mas ficou bem claro que o apache estava respondendo ao desafio sni em vez de ao certbot, mesmo quando eu encerrei o apache antes de executar o certbot. Estava sempre correndo depois. A solução era simples "sudo certbot certonly --standalone" com o apache desligado. Eu então instalei o certificado manualmente.

Eu estou supondo que o certbot de alguma forma conseguiu iniciar o apache (eu sei que ele faz um apache2ctl configtest talvez que inicie o apache no meu sistema). Se o apache estiver em execução, quando o certbot tentar iniciar algo que escuta na porta 443, ele falhará.

Se é isso que está acontecendo, seria de esperar que a falha fosse detectada e reportada! Estranho.

Aqui é um link para um bom post sobre outras coisas que causam essa mensagem

    
por 15.09.2017 / 05:48

Tags

De repente, "não há conexões disponíveis" no windows 7 sp1 O histórico de arquivos está configurado, mas não faz backup (a pasta está vazia)