Как добавить TXT запись в DNS Яндекс 360 (Connect) для получения сертификата Let's Encrypt?

Question

[Николай]

Всем доброго дня!
За 5 дней до истечения wildcard сертификата для сайта от Sectigo решил заказать новый и узнал что они теперь с РФ не работают также как Thawte.
Заказав wildcard от Global Sign, узнал что выпуск может затянуться на несколько дней, официально до 7 рабочих в реальности до 20.

Решил в качестве временного решения получить бесплатный Let's encrypt.
В панели isp manager сгенерил запрос на wildcard сертификат и начал получать сообщения типа

Для продолжения процедуры получения сертификата Let's Encypt domain.ru_le2022 добавьте TXT-записи: '_acme-challenge.domain.ru. TXT _PfR4FAMOuwkDO0uoTbDH8qz4llTI0x0FYvRqH385gk, _acme-challenge.domain.ru. TXT tPVoZIGYgXd9p1XHRO1LITNTkF6IqK52DmAmweS0qPs' на серверах имен 'dns1.yandex.net., dns2.yandex.net.'. Получение будет возобновлено после 2022-06-04 12:07:02

У нас DNS лежат в yandex connect (360), захожу в управление записями домена и добавляю 2 штуки - https://s.mail.ru/iAgb/eehtbmBeS
Сама форма на примере первой записи выглядит так - https://s.mail.ru/A1mH/Z74owGmtx

Проверяю через консоль dig'ом и через reg.ru - этих записей нет, даже спустя несколько часов - https://s.mail.ru/FhXQ/AdAS14KBb
Что я делаю не так?

UPDATE
Сидел жал кнопку проверки записей на reg.ru и в какой-то момент нужные записи появились и при нажатии Проверить пропали.
С тех пор жал пару десятков раз больше не появлялись...
Это какой-то заскок у яндекса?

UPDATE 2
Спасибо ответившим по поводу прямого запроса для проверки записи!
Вижу что записи добавились вроде как, НО, по ходу пьесы их приходится менять.
И вот какая интересная штука получается, dns сервер Яндекса за 5 секунд отдает разные запросы...
Т.е. команда dig dns1.yandex.net _acme-challenge.domain.ru txt +short сначала отдает пустой ответ (это правильно т.к. на данный момент записи удалены)
Через секунду отдает
"tPVoZIGYgXd9p1XHRO1LITNTkF6IqK52DmAmweS0qPs"
"_PfR4FAMOuwkDO0uoTbDH8qz4llTI0x0FYvRqH385gk"
Еще через секунду опять пустой ответ.
Через секунду
"LNl19gdPxYSBQKU9kDy42qBG0OesryXkOIejeqvBGuU"
"o4twtxWierQADkupjPuQp1GPQlcZ3QyO6riuvSMCXc4"

Естественно проверяльщик Let's encrypt видит левые записи и падает в 403 ошибку.
Как это вообще работает?!

Comments

[Николай]

TheAndrey7, как обратиться по имени записи в моем случае?
И я написал update, в кокай-то момент яндекс вернул нужные записи, но они сразу пропали и не появляются...

[hint000]

Николай,

как обратиться по имени записи в моем случае?

dig -t TXT _acme-challenge.domain.ru

Answer 1

[Виктор Таран]

1. Бро ты в курсе что ты получаешь вайлдкард сертификат?
То есть и другие способы его получения.
Вайлдкард нужен для домена *.site.ru и именно когда их доталого.
Если у тебя 2-20 доменов то можно и выдать обычным способом.
2.
Блин это же очевидно удали лишние записи.
Ведь эта хрень требуется при каждом запуске, и почти всегда она разная.
так что ты должен запустить генератор, скопировать записи, вставить в днс
дождавшись их ты должен продолжить генерацию сертификата.
А потом уже это действие небудет требоваться.
То есть если ты закинул пол часа назад и закрыл в терминале сессию валидации, есть отличная от нуля вероятность что он потребует новый txt которого у тебя естественно нет.

Comments

[Николай]

Добрый день!
1. Поддоменов до до талого.
Нужен wildcard.
Как альтернативно без записей в DNSего получить?

2. Естественно записи удалены.
Каждый раз удалял перед запуском запроса.
На данный момент выдача спотыкается на записи которая удалена почти сутки назад.

[Sanes]

Как альтернативно без записей в DNSего получить?

Только DNS

[Виктор Таран]

Sanes,
Самым обычным способом.
Еще раз, ты получаешь wildcard сертификат. такие на моей памяти я получал 2 раза.
Обычный способ получения сертификата как-раз таки и подразумевает отсутствие записей днс.
он просто создает в папке тестовый файл и проверяет его наличие из вне.
что-то вроде

sudo certbot certonly --webroot -w /var/www/test.losst.ru -d test.losst.ru -d www.test.losst.ru

ну и обновлять на кроне через
certbot renew
Так же не забывай что всего 5 попыток вдень и чтоб они не кончались пока ты отлаживаешь обязательно добавляй флаг --dry-run он не будет выдавать сертификат в конце нобудет эмулировать полностью его выдачу.

sudo certbot certonly --webroot -w /var/www/test.losst.ru -d test.losst.ru -d www.test.losst.ru --dry-run

Смотри по логам на каком этапе ты встал, там может быть еще проблема с папкой и потребуется в nignx или апачь сделать отдельную папку Но там прям две строчки.

[Sanes]

Виктор Таран, я имел в виду Wildcard. Ему же Wildcard нужен. На домен понятно, что можно любым способом.

[Виктор Таран]

Sanes,
1. удаляешь все левые записи.
2. запускаешь гегерацию
3. получаешь txt
4. добавляешь ее
5. дожидаешся днс, прям тыкаешь и ждеш
6. продолжаеш генерацию.
Все
Главное соблюсти всю последвательность.
ну и что у тебя выдает лог ?

[Sanes]

Виктор Таран, я знаю как это делается. Это не мой вопрос.

[Николай]

Виктор Таран, да я всё так и делал.
Проблема ведь в другом.
К примеру вчера вечером я удалил сертификат чем стопарнул его выдачу + удалил все txt записи _acme-challenge*
В интерфейса их нет.
Сегодня после обеда запустил процесс выдачи заново.
Let's encrypt попросил добавить 2 txt записи _acme-challenge*, я их добавил.
Далее Let's encrypt пытается каждые 30 минут прочитать нужные ему txt записи с DNS.
Но либо видит только одну из 2-х, которые я добавил либо видит ту, которую я грохну еще вчера.
Первое случается чаще.

Говорят кеш dns.
Тогда вопрос - какого ляда он лезет через кеш?
По идее dig dns1.yandex.net _acme-challenge.domain.ru txt +short должен напрямую вернуть записи без всяких кешей (по крайней мере на других серверах).
Но это только по идее, т.к. практика показала что dig dns1.yandex.net _acme-challenge.domain.ru txt +short
может отдавать разные записи при одном содержимом в админке.

До ноябрьского сбоя Let's encrypt я десятки раз получал wildcard сертификаты для доменов, dns которых лежали у себя.
Создал записи и забыл, я яндексом это не прокатило.
Также помню аналогичная беда была на этом сайте при добавлении txt записи для внешней службы рассылки.
Записи то появлялись то исчезали при проверке, хотя в админке всё было создано.

[Виктор Таран]

хмм а у тебя 1 днс сервер бро?

Answer 2

[NisSunPro]

По всей видимости у Яндекса множество серверов в облаке и по какой-то причине не происходит transfer при внесении изменений в зону, а происходит синхронизация с огромной задержкой (до нескольких часов и более).
В связи с чем длительное время на запросы выдаются разные ответы и чаще неактуальные.

Как я поступал:

1. запускал certbot
   
2. вносил изменения в доменную зону
   
3. несколько раз дёргал утилиту dig
   
4. выжидал 3+ часа
   
5. снова дёргал dig
   
6. возвращался к certbot и подтверждал что внёс последнее изменение в зону
   
7. если были верифицированы не все записи, возвращался к п. 1.
   

(НО я получал сертификат вручную, что может не сработать через ПУ хостингом, т.к. некоторые хостинговые площадки уже через час останавливают процесс получения сертификата.)

Спустя какое-то время меня всё это достало и я распрощался с котом Шрёдингера, подняв собственный DNS.
И другим советую избегать DNS от Яндекса при получении Let's Encrypt.