Добрый день,
При обновлении сертификатов Let's Encrypt получаю вот такую ошибку ( внизу кусок лога с ошибкой из /opt/webdir/temp/site_cert*/status).
Раньше обновлялось без проблем, а сейчас не хочет.
О системе: Версия 7.3.0, Коробка (VMbitrix)
При перегенерации в каталоге /home/bitrix/dehydrated/certs/ вижу, что появляются три файла (причем владелец root:root) :
cert-****.pem
cer-****.csr
privkey-***.pem
Как починить ?
Код |
---|
TASK [web : create certificates] ***********************************************
fatal: [server1]: FAILED! => {"changed": true, "cmd": "/home/bitrix/dehydrated/dehydrated -c --force > /home/bitrix/dehydrated_update.log 2>&1", "delta": "0:
00:06.420016", "end": "2019-01-09 15:43:03.662013", "failed": true, "rc": 1, "start": "2019-01-09 15:42:57.241997", "stderr": "", "stdout": "", "stdout_lines
": [], "warnings": []}
NO MORE HOSTS LEFT *************************************************************
to retry, use: --limit @/etc/ansible/web.retry
PLAY RECAP *********************************************************************
server1 : ok=25 changed=10 unreachable=0 failed=1
[root@b24 site_certificate_7716513263]#
|
P.S.
В логе /home/bitrix/dehydrated_update.log вот такая ошибка:
Код |
---|
ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:connection",
"detail": "Fetching http://*******.ru/.well-known/acme-challenge/QdAT8hRZKsoXPkOaEinPki4PZ_B9l5_esfjM4zlztGs: Connection refused",
"status": 400 |
Судя по всему, при проверке идет попытка обартиться к сайту по http, а по http сайт не отвечает, только по https...Замкнутый круг, блин
P.P.S (решение)
Как водится, сам спросил - сам ответил )))
Проблема была действительно в том, что:
1. Стал обновлять сертификат, когда он уже протух.
2. При обновлении сертификата идет проверка на доступность сайта по http, однако, сайт по http был не доступен, что приводило к ошибке при генерации сертификатов.
Проблема с доступностью по http разрешилась на фаерволе, где просто был разрешен доступ только по https (443 порту) к сайту. После чего сертификаты успешно обновились и установились.