Let's Encrypt - «DNS… запрос истек, поиск CAA для…»
Я уже пару месяцев использую Let's Encrypt на нескольких доменах, и в целом он работает. Я обновлял сертификаты, и для одного из доменов я получил следующее сообщение об ошибке (в возвращенном объекте JSON по адресу issues [1] .error.detail ):
Проблема с DNS: запрос истекло время поиска CAA для [somedomain.com]
Я попытался найти ошибку, но даже Google не нашел результатов (на момент написания этой статьи). Для скептиков: да, этот домен (точно такой, как показано в сообщении об ошибке) действителен, полностью доступен и доступен для проверки связи издалека.
Однако здесь есть важное затруднительное положение (ключ), объясняющее, почему возникло это состояние. У меня были настройки этого домена на перенаправление всего трафика на HTTPS , когда я впервые попробовал продлить этот конкретный домен. Похоже, что LE попыталась получить доступ к серверу по HTTPS и потерпела неудачу. С тех пор я изменил настройки сервера, чтобы домен не перенаправлялся на HTTPS для папки acme-challenge. Проблема, похоже, в том, что LE запоминает, что предыдущий запрос был перенаправлен, и теперь не хочет получать доступ к URL-адресу HTTP. Challenge [1] .validationRecord имеет две записи, одну в [0] для HTTP и одну в [1] для HTTPS, поэтому очевидно, что LE знает, что доступ к серверу также можно получить по адресу HTTP. Более того, я могу получить доступ к файлу проверки валидации (в рассматриваемом домене) по URL-адресу, указанному в Challenge [1] .validationRecord [0] .url , все в порядке, без каких-либо проблем.
Мой вопрос is: Как мне заставить LE забыть, что я пытался запросить сертификат, когда сервер настроен на перенаправление всего трафика на HTTPS? Следовательно, как мне заставить LE использовать URL-адрес HTTP вместо этого?
Let's Encrypt не отслеживает предыдущие перенаправления. Вы можете использовать версию HTTP или HTTPs для проверки.
Ваша ошибка указывает на другую проблему
Проблема DNS: истекло время ожидания запроса при поиске CAA для [somedomain.com]
Система проверки не смогла завершить поиск DNS домена. Возможно, у поставщика DNS, которого вы используете, возникла какая-то проблема или что на маршруте между серверами Let's Encrypt и вашим сервером возникла проблема с сетью.
Это аналогичная проблема , описанная в официальном Форум сообщества LE.
Я думаю, проблема в шаге поиска DN. Нет записи CAA. Почему-то серверу доменных имен потребовалось очень много времени, чтобы ответить. Вот некоторые результаты, которые мне прислал Осирис. Он упомянул, что получение IP-адреса происходит быстро, но «предпоследний шаг часто выполняется довольно медленно». Медленность может быть причиной сбоя на этапе проверки CAA.
и
Исходя из исходной ошибки и того времени, весьма вероятно, что есть некоторые проблемы с DNS-серверами, которые вы используете, или с маршрутом к ним от Let's Центр обработки данных Encrypt вызывает тайм-ауты.
Проверьте настройки DNS, и, если поиск прошел успешно, повторите попытку отправки запроса сертификата через некоторое время.
versiondị ọgbara ọhụrụ nke ndị ahịa acme na-egosiputa ip ahụ lekwasịrị anya. Ọ na-egosi na onye ahịa ahụ na-ajụ ajụjụ dị iche iche aha sava n'oge asambodo arịrịọ usoro. Ihe nkesa ahụ gụnyere ma ọnweghị oke na sava DNS ndabara maka akụrụngwa ahụ, na ihe nkesa aha ikike nke ngalaba ị na-eji. egbochi ya na firewall ụlọ ọrụ. (Amaara m, dị egwu). Ya mere, ka aha niile (gụnyere ngalaba a) kpebiri n'ụzọ zuru oke, mgbe ndị ahịa acme gbalịrị ịkpọtụrụ ihe nkesa aha ikike ozugbo usoro ahụ dara. Emeziri nke a site na ịgbanwu firewall iji mee ka arịrịọ ahụ gafere.
Yabụ maka afọ 2018 na mgbe emechara - lelee ndekọ ahụ, ha na-agwakarị gị oge adreesị IP na-apụ ma lelee njikọta si ndị ahịa acme na adreesị ahụ. ]