Почему второй домен не хочет регистрироваться в letsencrypt?

Question

[Павел]

есть у меня nginx reverse_proxy сервер , на него направлены все порты и запросы с интернета, от него идет редирект на локальный сервер, где стоит ubuntu+laravel+nginx
и есть 2 домена которые направлены на один и тот же laravel проект, на "главном nginx" я регистрирую letsencrypt сертефикаты на все домены, их еще там какое то N количество, все было гуд пока в последнем домене не возникла ошибка, при ПОЛНОСТЬЮ идентичных настройках (кроме названия домена) , последний домен не хочет регистрировать (((
помогите найти в чем косяк

nvpadmin@nvpnginx:~$ sudo certbot --nginx -d домен№2 -d www.домен№2
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for домен№2
http-01 challenge for www.домен№2
Waiting for verification...
Challenge failed for domain домен№2
Challenge failed for domain www.домен№2
http-01 challenge for домен№2
http-01 challenge for www.домен№2
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: npp-energo-plus.pl
   Type:   unauthorized
   Detail: 2a06:6440:0:2d49::1: Invalid response from
   http://домен№2/.well-known/acme-challenge/rsrml0X-k600KGlznSLUruY-tzJbfYLBuof0imyxV_U:
   404

   Domain: www.домен№2
   Type:   unauthorized
   Detail: 2a06:6440:0:2d49::1: Invalid response from
   http://www.npp-energo-plus.pl/.well-known/acme-challenge/t8bEFD4WOtwzmFXMkfJ8qNZdcy4uaA8AhLUK0QiiMYk:
   404

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

ip адрес точно направлен на сайт, по http он работает, конфиг nginx одинаковый как на главном nginx , так и на "последнем"

вот такой на главном

server {
listen 80;
server_name домен№2  www.домен№2;

    location / {
       proxy_pass      http://192.168.1.13:80/;
       proxy_set_header Upgrade $http_upgrade;
       proxy_set_header X-Forwarded-Host $host:$server_port;
       proxy_set_header X-Forwarded-Server $host;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header Host $host;

}

а вот такой на "последнем" убунту рядом с ларавел

server {
#    listen 80;
#    listen [::]:80;
    server_name домен№2 www.домен№2;
    root /var/www/html/test2/public;

    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-Content-Type-Options "nosniff";

    index index.php;

    charset utf-8;

    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location = /favicon.ico { access_log off; log_not_found off; }
    location = /robots.txt  { access_log off; log_not_found off; }

    error_page 404 /index.php;

    location ~ \.php$ {
        fastcgi_pass unix:/run/php/php8.1-fpm.sock;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        include fastcgi_params;
    }

    location ~ /\.(?!well-known).* {
        deny all;
    }
}

Answer 1

[AUser0]

location ~ /\.(?!well-known).* {
        deny all;
    }

Вот в этом и проблема! Просто-напросто запрещено обращение к файлам с рандомными именами вида www.npp-energo-plus.pl/.well-known/acme-challenge/..., с помощью которых Let'sEncrypt проверяет владение доменом. Нет доступа - ошибка проверки - нет сертификата, о чём в результатах и говорится!

Comments

[Павел]

штука в том что в первом домене тоже есть такая запись и все прошло успешно, я убрал эту запись но ошибка таже ((
убрал и в первом домене на всякий случай, перезагрузил оба сервера но безрезультатно

[Павел]

вообщем проблема решилась странным образом, я убрал АААА запись, оставил только А и все прошло

[AUser0]

Павел, для уже проверенного домена проверка не требуется. Let'sEncrypt помнит, что проверка проводилась...

Тогда смотрите в access.log, ищите /.well-known/ запросы. Если их нет - значит что-то не так с DNS. Если есть, но с ошибкой - см. error.log, там будут подробности.

И ещё, сейчас вгляделся в конфиг - причина все-таки была не в нём. Он блокирует запросы в файлам с точкой в начале имени, за исключением именно .well-known.

[AUser0]

Павел, или, как вариант, скрипт не создаёт файл в нужной директории (которой нет?) с нужным содержимым. Тогда можно воспользоваться режимом --manual.

Answer 2

[Вадим]

А вы домен два в A и/или ААА DNS records прописали? nslookup что дает? И да, у меня на nginx c 2-мя доменами, нет default config - может в этом дело?

Comments

[Павел]

A и ААА прописаны да,
nslookup, не знаком с такой штукой, подскажите?

с default conf не знаком, я как вы уже поняли тот еще новичек))

server {
    server_name _;
    listen       80  default_server;
    return       404;
}


server {
    listen 443 ssl;
    server_name _;
    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    return       404;
}

это оно?

[Вадим]

Павел,

https://www.nslookup.io/

у меня нет defaults... google for

2 domains on nginx server

[Павел]

Вадим, гугл говорит
Our additional domains is nearly identical to adding our first one. The only difference is we’ll need to change the server’s hostname. All domains can be served from the same port, which uses 80 as a standard default.
что означает что разница только в имени домена, как у меня, прочитал тут https://www.serverlab.ca/tutorials/linux/web-serve...

https://www.nslookup.io/ - видит оба адреса

[Павел]

Вадим, вообщем проблема решилась странным образом, я убрал АААА запись, оставил только А и все прошло

[Вадим]

хм... наверное приналичии IPV6 записи АААА он пытался на него сделать сертификат и давал ошибку. Рад !