Почему я не могу получить сертификат letsencrypt nginx?

Question

[emellstornn]

День добрый. Проблема заключается в следующем:
при попытке получения очередного сертификата на очередной домен столкнулся со следующей ошибкой:

- The following errors were reported by the server:

   Domain: waterstarsaunapart.com
   Type:   unauthorized
   Detail: Invalid response from
   http://waterstarsaunapart.com/.well-known/acme-challenge/Tcz1WXPz5Q-CjQlAIzJ2Y69langzO-zTfjxKF5UDyDk:
   "<html>
   <head><title>404 Not Found</title></head>
   <body bgcolor="white">
   <center><h1>404 Not Found</h1></center>
   <hr><center>"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

Генерирую следующим образом:

sudo letsencrypt certonly -a webroot --webroot-path=/var/www/landings/data/www/domain.com -d domain.com

Проблем в получении сертификатов на чертову уйму предыдущих доменов (на сервере крутится несколько сайтов) не возникало. При заходе по хттп сайт прекрасно открывается. Пингуется домен по правильному IP. Конфиги nginx для всех сайтов одинаковые, меняются только директории.
Докинул для проблемного домена в конфиг строки

location ^~ /.well-known/acme-challenge {                    
        allow all;                                              
        default_type "text/plain";
    }

Не помогает. Что еще можно посмотреть?

P.S. Проблема в итоге решилась запуском certbot просто командой sudo certbot и прохождением процедуры генерации ключей. Почему перестал работать certonly я не понял. Спасибо всем кто отозвался.

Comments

[Алексей Уколов]

Покажите весь конфиг nginx для этого сайта.

[Алексей Уколов]

У вас, судя по заглушке, ISP - там прямо в панели можно сертификаты выпускать.

[emellstornn]

Проглядел что тут появился коммент, извините. Исп вообще криво выдает сертификаты - в зависимости от погоды на Марсе он может как выдать сертификат, так и висеть неделю в "Сертификат Let’s Encrypt в процессе получения", поэтому генерю сертификаты консольно через certbot.

Бахнул сайт, завел заново, конфиг автогенеренный испом.

spoiler

server {
	server_name waterstarsaunapart.com waterstarsaunapart.net waterstarsaunaparts.com waterstarsaunaparts.net;
	charset off;
	index index.php index.html;
	disable_symlinks if_not_owner from=$root_path;
	include /etc/nginx/vhosts-includes/*.conf;
	include /etc/nginx/vhosts-resources/waterstarsaunapart.com/*.conf;
	access_log /var/www/httpd-logs/waterstarsaunapart.com.access.log;
	error_log /var/www/httpd-logs/waterstarsaunapart.com.error.log notice;
	ssi on;
	set $root_path /var/www/landings/data/www/waterstarsaunapart.com;
	root $root_path;
	location / {
		location ~ [^/]\.ph(p\d*|tml)$ {
			try_files /does_not_exists @fallback;
		}
		location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
			try_files $uri $uri/ @fallback;
		}
		location / {
			try_files /does_not_exists @fallback;
		}
	}
	
	location ^~ /.well-known/acme-challenge {                    
        allow all;                                              
        default_type "text/plain";
    }                                                           
    
	location @fallback {
		proxy_pass http://127.0.0.1:8080;
		proxy_redirect http://127.0.0.1:8080 /;
		proxy_set_header Host $host;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_set_header X-Forwarded-Port $server_port;
		access_log off;
	}
	listen 172.31.36.168:80;
	listen 18.220.149.253:80;
}
server {
	server_name waterstarsaunapart.com waterstarsaunapart.net waterstarsaunaparts.com waterstarsaunaparts.net;
	ssl on;
	ssl_certificate "/var/www/httpd-cert/landings/waterstarsaunapart.com_le1.crt";
	ssl_certificate_key "/var/www/httpd-cert/landings/waterstarsaunapart.com_le1.key";
	ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4;
	ssl_prefer_server_ciphers on;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_dhparam /etc/ssl/certs/dhparam4096.pem;
	charset off;
	index index.php index.html;
	disable_symlinks if_not_owner from=$root_path;
	include /etc/nginx/vhosts-includes/*.conf;
	include /etc/nginx/vhosts-resources/waterstarsaunapart.com/*.conf;
	access_log /var/www/httpd-logs/waterstarsaunapart.com.access.log;
	error_log /var/www/httpd-logs/waterstarsaunapart.com.error.log notice;
	ssi on;
	set $root_path /var/www/landings/data/www/waterstarsaunapart.com;
	root $root_path;
	listen 172.31.36.168:443;
	listen 18.220.149.253:443;
	location / {
		location ~ [^/]\.ph(p\d*|tml)$ {
			try_files /does_not_exists @fallback;
		}
		location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
			try_files $uri $uri/ @fallback;
		}
		location / {
			try_files /does_not_exists @fallback;
		}
	}
	
	location ^~ /.well-known/acme-challenge {                                    
        allow all;    
        default_type "text/plain";
    }                                                                           
    
	location @fallback {
		proxy_pass http://127.0.0.1:8080;
		proxy_redirect http://127.0.0.1:8080 /;
		proxy_set_header Host $host;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_set_header X-Forwarded-Port $server_port;
		access_log off;
	}
}

C небольшими правками.

[Arman]

1. Как давно делали правки для waterstarsaunapart.com? может что у вас cache DNS обновился, а для letsencrypt еще нет? есть в access.log и error.log что letsencrypt вообще к вам приходит?

2. Для домена не было AAAA-записей? letsencrypt может к вам стучиться по ipv6 и попадает на какой дефолтный хост?

[emellstornn]

Arik,
1. Правки конфига? Там небыло правок касательно адресов, только открывал/закрывал локейшны/скрипты.
Записи в акцессе есть.

66.133.109.36 - - [04/Jul/2018:07:13:12 +0100] "GET /.well-known/acme-challenge/-xSx5JtqZM9ESp2VCkhCrKqupqVbeceTAcT3P8fnIxs HTTP/1.1" 404 180 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
66.133.109.36 - - [04/Jul/2018:07:13:56 +0100] "GET /.well-known/acme-challenge/whrh5kO1VnsdW_pou69vOAHAYFFAAMCnVAH0oW-tM7E HTTP/1.1" 404 180 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

В ерроре смущающая меня запись:

2018/07/04 07:13:12 [error] 19956#19956: *5231 openat() "/usr/local/mgr5/www/letsencrypt/-xSx5JtqZM9ESp2VCkhCrKqupqVbeceTAcT3P8fnIxs" failed (2: No such file or directory), client: 66.133.109.36, server: waterstarsaunapart.com, request:$
2018/07/04 07:13:56 [error] 19956#19956: *5241 openat() "/usr/local/mgr5/www/letsencrypt/whrh5kO1VnsdW_pou69vOAHAYFFAAMCnVAH0oW-tM7E" failed (2: No such file or directory), client: 66.133.109.36, server: waterstarsaunapart.com, request:$

2. Нет, ipv6 не подключал, АААА записей нет.

[Arman]

emellstornn,

Правки конфига

DNS, А-записи. Но если Let's Encrypt логируется, значит все же верно приходит. Если вручную создать файл какой

sudo touch /var/www/landings/data/www/domain.com/.well-known/acme-challenge/test.txt

и проверить его доступность

curl -I  http://waterstarsaunapart.com/.well-known/acme-challenge/test.txt

[emellstornn]

ubuntu@18:/var/www/landings/data/www/waterstarsaunapart.com/.well-known/acme-challenge$ ls -l
total 4
-rwxrwxrwx 1 root root 13 Jul  4 07:32 test.txt
ubuntu@18:/var/www/landings/data/www/waterstarsaunapart.com/.well-known/acme-challenge$  curl -I  http://waterstarsaunapart.com/.well-known/acme-challenge/test.txt
HTTP/1.1 404 Not Found
Server: nginx/1.12.2
Date: Wed, 04 Jul 2018 06:36:11 GMT
Content-Type: text/html
Connection: keep-alive

ubuntu@18:/var/www/landings/data/www/waterstarsaunapart.com/.well-known/acme-challenge$ ping waterstarsaunapart.com
PING waterstarsaunapart.com (18.220.149.253) 56(84) bytes of data.
64 bytes from 18.220.149.253 (18.220.149.253): icmp_seq=1 ttl=64 time=0.016 ms
64 bytes from 18.220.149.253 (18.220.149.253): icmp_seq=2 ttl=64 time=0.036 ms

Выясняю почему, спасибо за наводку.

[emellstornn]

Что характерно, в директориях других работающих сайтов, которые без проблем получили сертификаты, нет директории .well-known/acme-challenge. Так и должно быть?
P.S. Да, так и должно быть, сертбот потом за собой затирает эти файлы.

[emellstornn]

Проблема в итоге решилась запуском certbot просто командой sudo certbot и прохождением процедуры генерации ключей. Почему перестал работать certonly я не понял. Спасибо всем кто отозвался.

Answer 1

[Ltonid]

Написано же что файл не найден waterstarsaunapart.com/.well-known/acme-challenge/...
Создайте файл и заполните спецстрокой

Comments

[emellstornn]

Ни для одного домена (больше 30) не надо было ничего создавать, а тут понадобилось? Почему?

[Алексей Уколов]

Это происходит автоматически, ничего создавать и заполнять не нужно.

[emellstornn]

Вот и я о чем. Несколько сайтов, чертова уйма доменов. Один и тот же конфиг, одна и та же команда, меняю только директорию и имя домена, небыло проблем, а тут резко возникли. Делегирование верное, адрес верный, имя домена верное, директория верная, дал явное разрешение в конфиге (в предыдущих конфигах не делал), уже 777 кинул на всю директорию (жест отчаяния), но безрезультатно.

Answer 2

[Виктор Таран]

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.

Чтобы исправить эти ошибки, убедитесь, что ваше доменное имя было
правильно введен и запись (ы) DNS A / AAAA для этого домена
содержат (ы) правильный IP-адрес.

Что не понятного тут ?

Comments

[emellstornn]

Если прочитать вопрос еще раз, то станет ясно, что же мне было непонятно.
Я убедился, мое доменное имя правильно введено, что записи днс а/аааа содержат верные адреса. Сайт прекрасно открывается по хттп, сайт прекрасно открывается по хттпс с самоподписанным сертификатом (за исключением предупреждения браузера, разумеется). Я не знаю механизма, который объяснил бы подобную работоспособность при ошибках в записях днс.

[ctacua]

Иногда лучше молчать чем говорить! Попробуйте!

Answer 3

[pashkovka]

Сталкивался с такой же проблемой при обновлении сертификата.
Дело в том что при обновлении certbot считывает другой конфиг - в котором должен быть прописан путь именно до вашего сайта /etc/letsencrypt/renewal/yoursite.ru.conf
И вот в нём последние строки должны соответствовать местонахождению сайта.

authenticator = webroot
webroot_path = /var/www/html,
server = https://acme-v02.api.letsencrypt.org/directory
[[webroot_map]]
yoursite.ru = /var/www/yoursite.ru
www.yoursite.ru = /var/www/yoursite.ru

yoursite.ru - это Ваш домен.