Vlákno názorů k článku
Let's Encrypt definitivně vypíná validační metodu tls-sni-01 od L. - Jo, tahle změna mě docela potrápila. Zkoušel jsem...

  • Článek je starý, nové názory již nelze přidávat.
  • 28. 1. 2019 10:49

    L. (neregistrovaný)

    Jo, tahle změna mě docela potrápila. Zkoušel jsem přejít na http validaci, ale ta mě pořád nechtěla fungovat:

    - Dry run certbota mi házel z LE chybu 404

    - Ovšem v logu Apache žádný pokus o validaci nebyl

    - Když jsem validační URL testoval ze svého počítače (v úplně jiné síti), tak fungovalo naprosto v pořádku a v logu pokus byl

    - Na serveru není žádný relevantní firewall

    Schválně kdo si tipne, kde byla chyba? Já tím strávil přes hodinu :-D

  • 28. 1. 2019 11:22

    Přezdívka: * (neregistrovaný)

    Neni to tim ze certbot spousti vlastni HTTP server pro overeni? Nevim ted pri jake konfiguraci, ale urcite to umi a vysvetlovalo by to chybejici log v apache.

  • 29. 1. 2019 8:44

    M4n (neregistrovaný)

    To ale dělá pořád. Rozdíl je v tom ověření – při ACME TLS-SNI-01 se používal jednorázový self-signed certifikát s nějakou ověřovací hodnotou uvnitř. Teď až se asi používá jen ta URL s touto hodnotou. Ale fyzicky ten soubor při použití certbotu podle mě nevzniká.

  • 29. 1. 2019 20:09

    L.
    Stříbrný podporovatel

    Ten soubor opravdu fyzicky vzniká na disku v nějakém pracovním souboru certbotu. Až tak daleko jsem se při ladění toho problému dostal, že jsem všechno tohle prověřoval :)

    Problém s vlastním serverem tam nebyl, certbot používal Apache.

    Protože na to už asi nikdo další neodpoví, tak sem dám řešení: Mohlo za to všemi milované IPv6. Ta doména měla korektně nastavené DNS pro IPv4. Nicméně registrátor domény (u kterého mám DNS) přidal i záznam pro IPv6, který ale ukazoval na jeho parkovací server a já si toho nevšiml.

    Když jsem to zkoušel od sebe, používalo se IPv4 a všechno šlapalo. LE ale použilo IPv6 a šlo na server poskytovatele, kde samozřejmě ověřovací kód nenašlo. A já proto v logu nic neviděl. Přišel jsem na to tak, že jsem to zkusil ještě z jiného počítače, který taky preferoval IPv6. Tak jsem zjistil, že tam to nefunguje a dostal i komplet znění té 404 odpovědi ze kterého bylo poznat, že je z jiného serveru (LE ho nedávalo). A už jsem byl doma. Takže jsem si alespoň na serveru korektně nakonfiguroval IPv6 :-) Ale nezkusit to z jiného serveru, asi bych tápal hodně dlouho.