По какой причине выдается 404 ошибка при получение letsencrypt сертификата?

Question

[Iceforest]

Схема: сайт ===> 2 балансировщика nginx ===> app1 и app2
Получаю сертификат на сервере балансировщика 1, а на втором балансировщики при получение сертификата отправляю на первый балансировщик(да, это криво, лучше делать через rsync или fstab, но так как есть)

При challenge возникает ошибка:

Type:   unauthorized
Detail: Invalid response from
http://app.test.ru/.well-known/acme-challenge/Tcz1WXPz5Q-CjQlAIzJ2Y69langzO-zTfjxKF5UDyDk:
   "<html>
   <head><title>404 Not Found</title></head>
   <body bgcolor="white">
   <center><h1>404 Not Found</h1></center>
   <hr><center>"

На балансировщики 1 2 конфига: app.conf и lb1.conf

app.conf

upstream lb {
  server lb1.test.ru;
  server lb2.test.ru;  
                 }

server {
  listen 80;
  server_name app.test.ru;

  location / {
    return 301 https://app.test.ru$request_uri;
             }

  location /.well-known/acme-challenge/ {proxy_pass http://lb;}
  
        }

lb1.conf

upstream backend {
  server app1.test.ru;
  server app2.test.ru;
  check interval=1000 rise=1 fall=2 timeout=1000 type=http;
  check_http_send "GET /status HTTP/1.0\r\n\r\n";
  check_http_expect_alive http_2xx http_3xx;
}

server {
  listen 80;
  server_name app1.test.ru;

  access_log /var/log/nginx/log.access.log themain;
  
  location / {return 201;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name app2.test.ru;

  access_log /var/log/nginx/log.access.log themain;
    
  location / {return 202;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name lb1.test.ru;
  
  location /.well-known/acme-challenge {root /opt/www/acme;}
  
  location / {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://backend;
  }
}

на втором балансировщики app.conf такой же

lb2.conf

upstream backend {
  server app1.test.ru;
  server app2.test.ru;
  check interval=1000 rise=1 fall=2 timeout=1000 type=http;
  check_http_send "GET /status HTTP/1.0\r\n\r\n";
  check_http_expect_alive http_2xx http_3xx;
}

server {
  listen 80;
  server_name app1.test.ru;

  access_log /var/log/nginx/log.access.log themain;
  
  location / {return 201;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name app2.test.ru;

  access_log /var/log/nginx/log.access.log themain;  
  
  location / {return 202;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name lb2.test.ru;
  
  location /.well-known/acme-challenge {proxy_pass http://lb1.test.ru;}
  
  location / {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://backend;
  }
}

2 сервера app1 и app2(одинаковые):

server {
  listen 80;    

  location / {
    set_real_ip_from unix:;
    real_ip_header    X-Forwarded-For;
    real_ip_recursive on;
    proxy_pass http://127.0.0.1:8080;
  }
}

Comments

[mureevms]

Тестировать очень просто, создается текстовый файл в каталоге .well-known и открывается в браузере. Если виден, все ок, если нет, ищите причину, изучая логи.

[Iceforest]

mureevms, подскажите, может я неправильно понимаю, но у меня на сервере есть папка /opt/www/acme, при запуске letsencrypt он автоматически создает директорию .well-known или мне ее лучше руками создать? я от безнадеги уже 777 дал права на директорию /opt/www/acme

[mureevms]

Каталог /opt/www/acme/.well-known должен существовать

[Iceforest]

mureevms, да , он существует, я туда положил даже файл и при курле тоде 404. Я уже отключил firewall даже. В логах ничего наталкивающего на ошибку не нашел.

[mureevms]

Очевидно, что если 404, то nginx не находит нудный файл. Если 404 при существующем файле, то в этот момент должен быть лог nginx в котором указан сам код 404 и текcт ошибки, типа файл такой-то не найден. Сравните путь к файлу в логе и реальный путь, совпадают ли они.

Answer 1

[Александр Карабанов]

Вероятность успеха крайне мала. У тебя ведь два сервера, а токен есть только на одном, как угадать на какой сервер придёт проверяющий бот?
Подтверждай через DNS.

Comments

[Iceforest]

Александр Карабанов, для этого я сделал проксирования на первый балансер, поэтому запрос будет всегда приходить на первый сервер.

server {
  listen 80;
  server_name lb2.test.ru;
  
  location /.well-known/acme-challenge {proxy_pass http://lb1.test.ru;}

[Александр Карабанов]

location /.well-known/acme-challenge {root /opt/www/acme;}

Замени на

location /.well-known/acme-challenge/ {alias /opt/www/acme/.well-known/acme-challenge/;}

[Iceforest]

Александр Карабанов, в логах

[13/Nov/2021:11:36:54 +0000] "GET /opt/www/acme/.well-known/acme-challenge/555.txt HTTP/1.1" 404 162 "-" "curl/7.68.0"

по факту на сервере

user@lb1:/opt/www/acme/.well-known/acme-challenge$ ll
total 8
drwxr-xr-x 2 root root 4096 Nov 13 11:33 ./
drwxr-xr-x 3 root root 4096 Nov 13 11:20 ../
-rw-r--r-- 1 root root    0 Nov 13 11:33 555.txt

user@lb1:/var/log/nginx$ curl -D - -s http://app.test.ru/opt/www/acme/.well-known/acme-challenge/555.txt

убрал дефолтный конфиг из sites-available, получаю такую ошибку теперь

2021/11/13 12:04:59 [error] 40173#40173: *3087 recv() failed (104: Connection reset by peer) while reading response header from upstream, client: *.*.*..189, server: app.test.ru, request: "HEAD /opt/www/acme/.well-known/acme-challenge/555.txt HTTP/1.0", upstream: "http://*.*.*.189:80/opt/www/acme/.well-known/acme-challenge/555.txt", host: "lb"

[Александр Карабанов]

Что в error.log?

[Iceforest]

Александр Карабанов, либо too many , либо reser peer , добавляю параметры worker_rlimit_nofile 30000; и worker_connections 20000, увеличиваю одно, пишет ошибку пиров, увеличиваю другоем пишет too many, по кругу хожу

2021/11/13 12:42:09 [error] 40804#40804: *19997 recv() failed (104: Connection reset by peer) while reading response header from upstream, client: *.*.18.189, server: app.test.ru, request: "GET /opt/www/acme/.well-known/acme-challenge/555.txt HTTP/1.0", upstream: "http://*.*.18.189:80/opt/www/acme/.well-known/acme-challenge/555.txt", host: "lb"
2021/11/13 12:45:37 [alert] 40855#40855: *29989 socket() failed (24: Too many open files) while connecting to upstream, client: *.*.18.189, server: app.test.ru, request: "GET /opt/www/acme/.well-known/acme-challenge/555.txt HTTP/1.0", upstream: "http://*.*.18.189:80/opt/www/acme/.well-known/acme-challenge/555.txt", host: "lb"

[Александр Карабанов]

Разумеется это неверный адрес http://*.*.18.189:80/opt/www/acme/.well-known/555.txt
Верный выглядит так http://*.*.18.189:80/.well-known/555.txt

А чтобы снять ограничение на количество открытых файлов выполни:

mkdir -p /etc/systemd/system/nginx.service.d

cat > /etc/systemd/system/nginx.service.d/limits.conf <<EOF
[Service]
LimitNOFILE=19454
EOF

systemctl daemon-reload

systemctl restart nginx.service

[Iceforest]

Александр Карабанов, снял ограничение по твоим рекомендация. выполняю команду такую

curl -D - -s http://app.test.ru/.well-known/acme-challenge/555.txt

в логах

2021/11/13 13:07:53 [alert] 41143#41143: *77772 socket() failed (24: Too many open files) while connecting to upstream, client: *.*.18.189, server: app.test.ru, request: "GET /.well-known/acme-challenge/555.txt HTTP/1.0", upstream: "http://*.*.18.189:80/.well-known/acme-challenge/555.txt", host: "lb"

[Iceforest]

Александр Карабанов,

user@lb1:/etc/nginx$ cat /proc/41143/limits | grep "open files"
Max open files            19454                19454                files

[Александр Карабанов]

worker_rlimit_nofile сделай равным worker_connections умноженное на количество процессов Nginx и умноженное на два.
И в limits.conf впиши это же значение.

[Iceforest]

Александр Карабанов, супер, эта ошибка ушла, теперь

upstream prematurely closed connection while reading response header from upstream

[Александр Карабанов]

По-умолчанию таймаут соединения 60 секунд. Такой запрос отработает мгновенно, если это не произошло, на бэкенде, к которому обращается сервер, что-то не так настроено. Возможно дело в фаирволе.

[Iceforest]

Александр Карабанов, перестал понимать. что происходит, сначала работало на worker_connetions 20000 и worker_rlimit_nofile 40000; теперь начало ругаться

2021/11/13 14:14:35 [alert] 44920#44920: 40000 worker_connections are not enough
2021/11/13 14:14:35 [error] 44920#44920: *39997 recv() failed (104: Connection reset by peer) while reading response header from upstream, client: *.*.18.189, server: app.test.ru, request: "GET /.well-known/acme-challenge/555.txt HTTP/1.0", upstream: "http://*.*18.189:80/.well-known/acme-challenge/555.txt", host: "lb"

почему со временем он стал требовать больше коннектов?

[Александр Карабанов]

Видимо коннекты не закрываются. Что-то не так настроено.

Например непонятно почему в app.conf

upstream lb {
  server lb1.test.ru;
  server lb2.test.ru;  
                 }

Зачем приложению подключаться обратно к балансировщикам?

[Iceforest]

Александр Карабанов, не совсем понял , у нас есть базовый сайт app. test.ru, при запросе на этот адрес я должен попасть либо на балансировщик 1 либо на 2. Что значит подключатся обратно?

[Iceforest]

Александр Карабанов, спасибо тебе огромное, последнем ответом ты меня навел на решение.

Answer 2

[Iceforest]

решение: удалил лишний конфиг app.conf

в итоге получилось 2 конфига:

lb1.conf

upstream backend {
  server app1.test.ru;
  server app2.test.ru;
  check interval=1000 rise=1 fall=2 timeout=1000 type=http;
  check_http_send "GET /status HTTP/1.0\r\n\r\n";
  check_http_expect_alive http_2xx http_3xx;
}

server {
  listen 80;
  server_name app1.test.ru;

  access_log /var/log/nginx/log.access.log themain;

  location / {return 201;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name app2.test.ru;

  access_log /var/log/nginx/log.access.log themain;

  location / {return 202;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name app.test.ru;

  location ~ /.well-known {
    allow all;
    root /opt/www/acme/;}

  location / {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://backend;
  }
}

lb2.conf

upstream backend {
  server app1.test.ru;
  server app2.test.ru;
  check interval=1000 rise=1 fall=2 timeout=1000 type=http;
  check_http_send "GET /status HTTP/1.0\r\n\r\n";
  check_http_expect_alive http_2xx http_3xx;
}

server {
  listen 80;
  server_name app1.test.ru;

  access_log /var/log/nginx/log.access.log themain;

  location / {return 201;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name app2.test.ru;

  access_log /var/log/nginx/log.access.log themain;

  location / {return 202;}
  location /status {return 200;}
}

server {
  listen 80;
  server_name app.test.ru;

  location ~ /.well-known {proxy_set_header Host app.test.ru;
    proxy_pass http://lb1.test.ru;}

  location / {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://backend;
  }
}