Directorio de artículos
1. Actualizar error de certificado
-
Descripción del problema
Al actualizar el certificado SSL, se produce un error de demasiadas autorizaciones fallidas -
Análisis de causa
El nombre de dominio que se actualizará actualmente tiene demasiadas fallas de activación en una hora y llevará un tiempo verificarlo.
Nota: Consejos oficiales: https://letsencrypt.org/docs/rate-limits/
De hecho, lo más importante es que usamos certbot para solicitar demasiados certificados gratuitos, se recomienda solicitar un certificado pan-domain
2. Let's Encrypt aplicación de certificado SSL pan-dominio
Aquí todavía usamos Certbot para emitir.
Documentación del sitio web oficial: https://certbot.eff.org/docs/using.html
- El método de instalación que usa directamente la página de inicio del sitio web oficial no puede usar la última API de Let's Encrypt v2, agregue parámetros aquí
--server https://acme-v02.api.letsencrypt.org/directory
- El comando ahora es:
certbot certonly --standalone -d *.example.com --server https://acme-v02.api.letsencrypt.org/directory
- Indicador de resultado:
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
- El motivo es que no hay verificación de DNS y es necesario agregar parámetros:
--preferred-challenges dns
- Después de revisar los documentos oficiales, descubrí que el nombre de dominio genérico necesita verificación dns-01. El documento establece que el método de verificación se puede verificar automáticamente, pero se debe instalar un complemento y el proveedor de servicios DNS es el siguiente proveedor de servicios:
cloudflare
cloudxns
digitalocean
dnsimple
dnsmadeeasy
google
luadns
nsone
rfc2136
route53
- Utilizo análisis gratuitos, no hay API para verificar automáticamente, así que agregue parámetros:
--manual
- Para resumir, el comando final es:
certbot certonly --preferred-challenges dns --manual -d *.example.com --server https://acme-v02.api.letsencrypt.org/directory
Solicitud para agregar un registro TXT al emitir el certificado
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Requesting a certificate for *.aattec.com
Performing the following challenges:
dns-01 challenge for aattec.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.aattec.com with the following value:
1q3iA_qE3i7ytfNU-xSs0x4mhfij4TXuoXXlxbrQDMQ
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Analice el registro TXT en la interfaz de administración de nombres de dominio, espere unos cinco minutos para que surta efecto y luego presione Entrar
Solo espera a que se complete la emisión
Waiting for verification...
Resetting dropped connection: acme-v02.api.letsencrypt.org
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/aattec.com-0001/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/aattec.com-0001/privkey.pem
Your certificate will expire on 2023-06-12. To obtain a new or
tweaked version of this certificate in the future, simply run
certbot again. To non-interactively renew *all* of your
certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le