这是一个创建于 1575 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前网站 dns 在华为,最近证书快到期了,由于用的泛域名证书,所以只能用 dns 验证,但是证书更新修改 dns TXT 记录,Let's encrypt 总是验证失败。
现在不清楚 Let's encrypt 的规则是不是变了,要求同时增加两个 TXT 记录。我再只保留 2 个修改后 TXT 记录情况下,用 dig 只能看到一个记录值。
为此我以为是更新 dns 的缓存问题,等待 10 分钟到 6 小时不等,多次测试。都是更新失败。
网站刚从其他云迁移过来不到半年吧,上一次更新证书就在华为云,虽然验证失败多次,最后还是通过了。这次不管怎么重试都不行了。
证书还有不到 30 天到期,使用的命令没有变化,有没有朋友遇到类似的问题呢?
现在不清楚 Let's encrypt 的规则是不是变了,要求同时增加两个 TXT 记录。我再只保留 2 个修改后 TXT 记录情况下,用 dig 只能看到一个记录值。
为此我以为是更新 dns 的缓存问题,等待 10 分钟到 6 小时不等,多次测试。都是更新失败。
网站刚从其他云迁移过来不到半年吧,上一次更新证书就在华为云,虽然验证失败多次,最后还是通过了。这次不管怎么重试都不行了。
证书还有不到 30 天到期,使用的命令没有变化,有没有朋友遇到类似的问题呢?
 |
1
mason961125 2020-07-11 19:01:10 +08:00 via iPhone
emmm 用的阿里,API 自动验证没有问题,手动验证没试过。
|
 |
2
zimonianhua 2020-07-11 19:08:26 +08:00 via Android
同用华为 dns 解析,前几天过域名验证,一直提示 txt 记录错误。换回 dnspod 正常。
|
 |
3
wsly47 2020-07-11 19:42:38 +08:00
ping ocsp.int-x3.letsencrypt.org 试试,不行的话 hosts 添加
23.32.3.72 ocsp.int-x3.letsencrypt.org https://www.landiannews.com/archives/72082.html |
 |
4
cnfczn OP 多谢楼上各位大佬的帮助,今天不在家没法测试,先谢过大家了!!
|
|
5
cnfczn OP @wsly47 这个问题有点邪门了,我用的 certbot 更新证书,/var/log/letsencrypt/目录的日志看了,没有 ocsp 的请求,有请求 https://acme-v02.api.letsencrypt.org/acme/chall-v3/5826706164/xxxx,也能正常返回解决,没有 timeout
结果如下(这个错误输出和主贴的结果一样,之前忘了发了): "detail": "DNS problem: SERVFAIL looking up TXT for _acme-challenge.xxxx.com - the domain's nameservers may be malfunctioning" |
|
6
cnfczn OP 今天把域名迁移到了阿里万网 dns,再 renew 就顺利通过了。
由于这几天也没做测试,不排除 let's encrypt 在我迁移期间被和谐的可能。 这里不讨论 dns 供应商的孰优孰劣,我只把问题解决反馈下,顺带结个帖。 |
 |
7
brobird 2020-08-01 18:13:34 +08:00
@cnfczn #6 我也是华为云 DNS,今天开工单问了一下,回复如下
letsencrypt.org 这家服务商年后开启了 DNS 解析域名大小写严格校验,对于域名来说,实际上是不区分大小写的,购买域名写 ABC.com 和 abc.com 实际上一个域名;但该机构的校验就对小写的校验不过。所以导致您部署证书失败。我侧从我们的产品特性已安排补齐该功能 。预计上线时间是 8 月底。 |
Select Language