fdroid
@fdroid
press any key

Почему certbot не может обновить сертификат?

Debian 8, nginx в качестве прокси. Проксирует два домена на два веб-приложения, одно находится на этой же машине, другое - на физически другой. Сертификаты от LE получает Certbot. Белый статический IP, 80 и 443 порты, A-записи, всё это есть и работает. Более того, для обоих доменов успешно получены сертификаты от LE командой
sudo ./path/to/certbot-auto --nginx
Следующая задача - настроить автоматическое обновление. В Debian 8 это делается добавлением соответствующей команды в cron, но сначала на сайте Certbot предложено проверить обновление в тестовом режиме командой
sudo ./path/to/certbot-auto renew --dry-run
Казалось бы, какие могут быть проблемы, если сертификаты успешно получены и нужно только обновить, пусть и в тестовом режиме? Но не тут-то было - для обоих доменов попытка завершается ошибкой:
Domain: tut.my.domain
   Type:   connection
   Detail: Fetching
   http://tut.my.domain/.well-known/acme-challenge/4586QqpTV_5hQPD4q2tYDqvQqpTV_5hQPqvQqpTV_5h:
   Timeout during connect (likely firewall problem)

С Debian 8 в роли проксирующего nginx я не сталкивался, возможно, что-то упускаю, но likely firewall problem - этого не может быть, т.к. 1) сертификаты уже получены 2) 80 и 443 открыты и слушаются.
Гуглил, но, в основном, у людей проблемы с этой ошибкой связаны в принципе с получением сертификата, а не с обновлением уже имеющегося, поэтому ничего толкового не нагуглилось.
  • Вопрос задан
  • 158 просмотров
Пригласить эксперта
Ответы на вопрос 2
chupasaurus
@chupasaurus
Сею рефлекторное, злое, временное
Certbot-auto - это инсталлятор, а не сам certbot!
Создайте директорию /etc/letsencrypt/challenges, которую nginx сможет читать
Конфиг для nginx универсальный:
server {
  server_name some.domain;
  ...
  location /.well-known/acme-challenge {
    root /etc/letsencrypt/challenges;
  }
}
Дальше необходимо править конфиги доменов в /etc/letsencrypt по части webroot, заменяя его на путь до созданной директории.
certbot renew будет вам обновлять.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Social Systems Москва
от 50 000 до 100 000 руб.
WebRover Самара
от 50 000 до 100 000 руб.
Social Systems Москва
от 80 000 до 160 000 руб.