CertBot-Auto Renount a échoué - le client manque d'autorisation suffisante - pourquoi?
Cela fait donc des années que j'ai placé un certificat CertBot-Auto pour plusieurs domaines sur le même serveur (Apache 2.2 - Debian 7). Mais aujourd'hui, j'ai vu mon crontab n'avait pas renouvelé le certificat pour que j'ai essayé de le faire dans ssh avec la ligne suivante:
./certbot-auto renew
Voici l'énoncé d'erreur:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/www.domain1.fr.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert is due for renewal, auto-renewing...
Plugins selected: Authenticator Apache, Installer Apache
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for domain2.fr
http-01 challenge for domain1.fr
http-01 challenge for www.domain2.fr
http-01 challenge for www.domain1.fr
Waiting for verification...
Cleaning up challenges
Attempting to renew cert (www.domain1.fr) from /etc/letsencrypt/renewal/www.domain1.fr.conf produced an unexpected error: Failed authorization procedure. domain2.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://domain2.fr/.well-known/acme-challenge/Zip1x0730t7J0iJii67jS95Fli2eLhPA12SgXGzR6P8 [151.80.100.117]: 503, www.domain1.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.domain1.fr/.well-known/acme-challenge/hoy1fNZkCyBkK2kA7gQhhW8QpWiCk7K00kFHsxNcZgc [151.80.100.117]: 503, domain1.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://domain1.fr/.well-known/acme-challenge/LvfaVWC1VzbOehKgFvJe1gNd3tsEWUH3eBDan1-q8Oo [151.80.100.117]: 503, www.domain2.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.domain2.fr/.well-known/acme-challenge/fOAwU_IAvKW7AC9nAFNZ6InVHrYB9VmuB9tGvEGpU2c [151.80.100.117]: 503. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/www.domain1.fr/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates below have not been saved.)
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/www.domain1.fr/fullchain.pem (failure)
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: domain2.fr
Type: unauthorized
Detail: Invalid response from
http://domain2.fr/.well-known/acme-challenge/Zip1x0730t7J0iJii67jS95Fli2eLhPA12SgXGzR6P8
[151.80.100.117]: 503
Domain: www.domain1.fr
Type: unauthorized
Detail: Invalid response from
http://www.domain1.fr/.well-known/acme-challenge/hoy1fNZkCyBkK2kA7gQhhW8QpWiCk7K00kFHsxNcZgc
[151.80.100.117]: 503
Domain: domain1.fr
Type: unauthorized
Detail: Invalid response from
http://domain1.fr/.well-known/acme-challenge/LvfaVWC1VzbOehKgFvJe1gNd3tsEWUH3eBDan1-q8Oo
[151.80.100.117]: 503
Domain: www.domain2.fr
Type: unauthorized
Detail: Invalid response from
http://www.domain2.fr/.well-known/acme-challenge/fOAwU_IAvKW7AC9nAFNZ6InVHrYB9VmuB9tGvEGpU2c
[151.80.100.117]: 503
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
Je n'ai rien changé à propos de la configuration de Vhost ou de la configuration du serveur, donc je ne sais pas pourquoi Cerbot n'a plus d'autorisation à mettre à jour.
ÉDITER :
Tous les domaines ont un enregistrement A dans DNS avec la bonne adresse IP.
Mon /.well-known/ Les dossiers sont actuellement en 0777 droits.
J'ai trouvé une solution alternativ mais je n'ai pas résolu le problème.
J'ai fait les astuces comme ici : J'ai utilisé la commande suivante:
./certbot-auto certonly -d www.domain1.fr -d domain1.fr -d domain2.fr -d www.domain2.fr
Mes certificats fonctionnent maintenant à nouveau.
Donc le problème (je suppose) est la voie certbot-auto renew Faites correspondre la webroot de chaque site Web.
Merci beaucoup @ Martin Zeitler pour votre aide et votre temps.
assurez-vous que chacun de ces noms d'hôte a un enregistrement A dans DNS et que chaque répertoire .well-known/acme-challenge peut être consulté; Cela ne pourrait être plus évident, quand il se plaint de 503 Service Unavailable. Le fichier journal /var/log/letsencrypt/letsencrypt.log peut éventuellement contenir des informations complémentaires.
a) sur le domaine, .well-known/acme-challenge doit être exclu de la réécriture de l'URL:
RewriteCond %{REQUEST_URI} !^\.well-known/(.*)$
b) et sur l'autre domaine, :80 ne doit pas rediriger vers :443.
Dans notre cas, notre DNS fonctionnait bien mais recevait toujours le lacks sufficient authorization Erreur.
Enfin rencontré une ressource ici: https://webdock.io/en/docs/webdock-control-panel/commmon-certbot-errors
Qui a mis en marche la lumière:
certbot rollback
Suivi par:
certbot renew
Et nous avons finalement pu renouveler le certificat.
Nous étions sérieusement sur le point de créer un nouveau VM et de la migration de tout ce qui précède, après plusieurs tentatives de résolution de cette question, le certificat avait enfin expiré et nous étions en mode crunch.
Peut-être que cela sauvera quelqu'un de chagrin.