Renovação de certificado LetsEncrypt comutação de DNS para http

1

Eu recentemente mudei do dns-01 para o http-01 callenge type para o letsencrypt, já que planejo assinar minhas zonas dns no futuro e, portanto, a manipulação automatizada da zona não é mais desejada. Desde que fiz essa alteração, não consigo mais renovar algumas das minhas zonas (suponho que essas zonas sejam as que eu inicialmente assinei via dns-challenge). Minhas zonas antigas (desde o primeiro uso - usando http desde o início) funcionam normalmente.

Apenas para esclarecer as coisas, estou usando o cliente desidratado do lukas2511 . Eu adicionei alguma saída de depuração para verificar se há um problema nesse script - e parece que não há. Depois de solicitar o desafio, recebo a resposta:

{
  "identifier":{
    "type":"dns",
    "value":"dennisschuerholz.de"
  },
  "status":"valid",
  "expires":"2017-04-16T11:43:43Z",
  "challenges":[
    {
      "type":"http-01",
      "status":"pending",
      "uri":"https://acme-v01.api.letsencrypt.org/acme/challenge/<some foo>/133324572",
      "token":"<some token>"
    },
    {
      "type":"tls-sni-01",
      "status":"pending",
      "uri":"https://acme-v01.api.letsencrypt.org/acme/challenge/<some foo>/133324573",
      "token":"<some token>"
    },
    {
      "type":"dns-01",
      "status":"valid",
      "uri":"https://acme-v01.api.letsencrypt.org/acme/challenge/<some foo>/133324574",
      "token":"<some token>",
      "keyAuthorization":"<some bar>",
      "validationRecord":[
        {
          "Authorities":[
            "dennisschuerholz.de.\t900\tIN\tNS\tns3.schuerholz.it.",
            "dennisschuerholz.de.\t900\tIN\tNS\tns1.schuerholz.it.",
            "dennisschuerholz.de.\t900\tIN\tNS\tns2.schuerholz.it.",
            "dennisschuerholz.de.\t900\tIN\tNS\tns.schuerholz.it."
          ],
          "hostname":"dennisschuerholz.de",
          "port":"",
          "addressesResolved":null,
          "addressUsed":""
        }
      ]
    }
  ],
  "combinations":[[0],[2],[1]]
}

Eu realmente não entendo porque o tipo de desafio dns ainda contém informações (desatualizadas) sobre o domínio e se a chave "expira" tem algo a ver com isso.

Se eu tentar responder ao desafio, o status permanecerá pendente para sempre.

{
  "type":"http-01",
  "status":"pending",
  "uri":"https://acme-v01.api.letsencrypt.org/acme/challenge/<some foo>/133324572",
  "token":"<some token>"
}

Parece que estou preso ao tipo de desafio dns e gostaria de saber por que e como revertê-lo (se possível). Acabei de usar o mesmo script e domínio no caminho de preparação ( https://acme-staging.api.letsencrypt.org/directory ), que está funcionando bem.

    
por Dennis Schürholz 19.09.2016 / 18:13

1 resposta

1

serverco da comunidade LE explicado para mim o que está acontecendo .

Once a domain has been validated, that authorisation is remembered for a period of time ( 90 days currently I believe), so requesting via a different type of challenge ( http in your case) will result in always getting a "pending" unless the script takes notice of the "status":"valid". [..] dehydrated [..] should recognise the valid status, and simply obtain a new certificate.

Eu agora forneci um patch para a minha versão desidratada, que ignora o desafio, se não for necessário.

    
por 20.09.2016 / 16:35