Toch nog een keer Let's Encrypt: krijg foutmelding

[pvkan]

Beste allemaal,

Na jaren lang probleemloos werken wil het nu niet meer lukken om mijn Let's Encrypt SSL certificaat te verlengen.
Automatisch lukt het niet, maar ook handmatig niet.
Dat laatste dus ook niet met de rechtmuistoets vanaf het certificaat.
Ook middels "sudo syno-letsencrypt renew-all -vv" middels een SSH sessie wil het niet lukken.
Poortje 80 (en 443) staan uiteraard open; Ik heb zelfs de NAS heel kort even in DMZ gezet en ook nog geprobeerd door
de firewall helemaal uit te zetten. Niets biedt de oplossing.
IPV6 wordt niet gebruikt en staat overal uit.

Na wat rond gezocht te hebben kom ik toch weer hier op het forum uit.
Wat ik zie in de log is dat er wel gestart wordt met het hernieuwen van het certificaat.
Let's Encrypt lijkt ook gewoon toegang te hebben, getuige deze regels in de log:

          "url": "http://mijn.domeinnaam.nl/.well-known/acme-challenge/_ATr6vHlj7AMc1xPkxD1y................",
          "hostname": "mijn.domeinnaam.nl",
          "port": "80",
          "addressesResolved": [
            "xx.xx.xx.xx"

(de laatste xx'jes vormen mijn WANip; deze uiteraard geanonimiseerd net als mijn domeinnaam).

Vervolgens zie ik een aantal retry's om het nieuwe certificaat toe te voegen en dit eindigt vervolgens met de volgende
status:

Body: [{"code":"badparam","errinfo":"delete.go:27"}]
DEBUG: Dns01 challenge: Teardown [{"code":"badparam","errinfo":"delete.go:27"}].
DEBUG: DNS challenge failed, reason: {"error":203,"file":"client.cpp","msg":"Challenge setup is failed."}

DEBUG: Normal challenge failed, reason: {"error":200,"file":"client.cpp","msg":"Authorization timeout."}


Ik weet nu even niet waar ik het moet zoeken.
Kan iemand mij hiermee helpen ?

Peter

[Briolet]

Misschien een storing bij let's encrypt zelf. Ik had recentelijk ook een paar certificaten die laat waren met vernieuwen, waardoor ik het waarschuwingsmailtje kreeg. (Maar uiteindelijk wel op tijd vernieuwd werden.)

In elk geval klopt de "Dns01 error" want dit protocol gebruik je niet?k Is alleen van toepassing bij de synology ddns namen. Oo het stuk " "url": "http://mijn.domeinnaam.nl/.well-known/acme-challenge/_ATr6vHlj7AMc1xPkxD1y................"," suggereerd dat hij een Dns01 challenge probeert.

Door het weglakken van je domeinnaam is het me niet duidelijk of je de synology domeinnaam gebruikt, want alleen dat zou een Dns01 challenge verklaren.

[pvkan]

Hoi @Briolet ,

Dank voor je reactie.
Ik gebruik een eigen domeinnaam (nas.mijnbedrijfje.nl) met een eigen (D)DNS.

Overigens heb ik als 2de DNS wel een synology variant (myds); zouden die twee elkaar in de weg kunnen zitten ?

Peter

[Briolet]

Die zitten elkaar niet in de weg. Ik heb ook certificaten op mijn eigen domeinnaam met een ddns synology xxx.i234.me bij de alternatieve namen.

Ik heb er nog geen probleem mee gezien. Maar het kan dan ook zijn synology tijdelijk een probleem veroorzaakt. Voor die naam wordt het Dns01 protocol gebruikt waarbij geen poort hoeft open te staan. De nas zet een speciale sleutel in de domeinnaam zelf. Dat is het stuk xxx.myds.me/.well-known/acme-challenge/_ATr6vHlj7AMc1xPkxD1y. Vervolgens start de renewal en Let's Encrypt kijkt alleen bij Synology naar de domeinnaam (dus niet op je nas). En als de verlenging successvol is, dan wordt dat stuk weer uit de domeinnaam gehaald. (ik heb bij mij gecontroleerd dat de entry niet blijft bestaan).

[pvkan]

Toevoeging:

Ik realiseer mijn ineens iets:
In het certificaat zitten meerdere subdomeinen. Daarvan is er 1 niet meer in gebruik en ook niet meer benaderbaar.
Zou dit het probleem kunnen veroorzaken ?

Peter

[Briolet]

Alle (sub)domeinen uit het certificaat moeten benaderbaar zijn bij de controle. Anders heeft een controle geen zin.

[pvkan]

Dan zal daar het probleem zitten.
Dan is het misschien handiger om het certificaat te laten verlopen zodat ik gelijk dat oude domein er uit kan halen.

Thanks
Peter

[pvkan]

Heb de stoute schoenen aangetrokken en een nieuw certificaat aangemaakt zonder het vervallen subdomein.
Dit was in 5 seconden gebeurd.
Ik wist alleen niet dat je voor hetzelfde domein een tweede certificaat ernaast kon zetten.
De oude vervalt vanzelf ;-)

Opgelost dus.

Peter

[Briolet]

Mooi dat de oorzaak gevonden is.

Ik heb heel wat certificaten, met steeds hetzelfde hoofddomein, maar met verschillende subdomeinen.

Het oude vervalt dan wel vanzelf, maar ik neem aan dat je hem op de nas wel gewist hebt. Het mailtje van Let's Encrypt kun je straks wel negeren. Gelukkig staan tegenwoordig ook de domeinen in het herinnering mailtje. Vorig jaar wist je nooit welke ze bedoelden.

[pvkan]

'Defecte' certificaat inderdaad verwijderd van de NAS.
Ik kan weer tot oktober vooruit ;-)

Peter

[ufosyno]

Ik zit nu met die email van Let's encrypt... en ben even zoekende. Alle (sub-)domeinen bestaan nog en een andere certificaat is gewoon verlengd. Het zal (dus, wel weer) een storing bij Let's encrypt kunnen zijn.

Ik was alleen nieuwsgierig naar het log, maar hoe en waar kan ik dat vinden?

[Briolet]

Ik kreeg gisteren ook een mailtje dat één van de certificaten niet vernieuwd kon worden. Handmatig lukt het ook niet. Gelukkig is dit voor een speciaal domein en het subdomein waar hij over valt kan ik eigenlijk ook uit het certificaat halen.

Het probleem is het subdomein van mijn synology ddns naam. Als ik hem via het host command opvraag, krijg ik:

$ host dsm.xxxx.i234.me 8.8.8.8
Aliases:
dsm.xxxx.i234.me has address 217.121.yyy.yyy
Host dsm.xxxx.i234.me not found: 3(NXDOMAIN)

Normaal kon je een willekeurig subdomein van je syology ddns naam gebruiken. Nu geeft dat een foutmelding. NXDOMAIN betekend dat het domein niet bestaat. Helemaal snappen doe ik het niet, want de regel erboven staat wel mijn eigen IP adres, dus daar heeft hij het wel gevonden.

Ik benoem het hier omdat anderen er misschien ook tegen aan lopen.