Как обновить SSL сертификат?

Question

[Анатолий]

Debian/Nginx 1.12.2

Как решить вопрос с обновлением сертификата letsencrypt, если он проверяет валидность не имени домена, а по ip адресу

certbot certonly --dry-run

root@Web:~$certbot certonly --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Cert not due for renewal, but simulating renewal for dry run
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for mysite.vom
Using the webroot path /var/www for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Running post-hook command: service nginx reload
Failed authorization procedure. mysite.com (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from 123.123.123.123:443/.well-known/acme-challenge/fxs... [123.123.123.123]: "\r\n400 The plain HTTP request was sent to HTTPS port\r\n\r\n400 B"

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: mysite.com
Type: unauthorized
Detail: Invalid response from
123.123.123.123:443/.well-known/acme-challenge/fxs...
[123.123.123.123]: "\r\n400 The plain HTTP request
was sent to HTTPS port\r\n\r\n400 B"

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.

Обращение происходит по ip:

http://123.123.123.123:443/.well-known/acme-challenge/fxsFCP9Kn71b-afO53dj91sbRJw7mDt_Sq2jaUiHBG4

Если размещаю файл в папке .well-known/acme-challenge, то при его обращении получаю ошибку 400: Bad Request

а не имени, типа:

http://mysite.com:443/.well-known/acme-challenge/fxsFCP9Kn71b-afO53dj91sbRJw7mDt_Sq2jaUiHBG4

При обращении к файлу, файл открывается.

В доменах прописано:

spoiler

location ^~ /.well-known/acme-challenge {
        default_type "text/plain";
        rewrite /.well-know/acme-challenge/(.*) /$1 break;
        allow all;
        root /var/www;
}

location = /.well-known/acme-challenge/ {
    return 404;
}

Обработка обращений к ip-адресу:

spoiler

server {
  listen 80 default;
  server_name _;
  access_log /dev/null;
  error_log /dev/null;
  location / {
     return 444;
  }
}

server {
  listen 443 ssl default;
  server_name _;
  ssl_stapling off;
  ssl on;
  ssl_certificate_key /etc/ssl/private/debian-webhost.key;
  ssl_certificate /etc/ssl/certs/debian-webhost.crt;

  location / {
     return 444;
   }
}

PS. Домен и ip - заменены на фейковые!

Answer 1

[Анатолий]

apt update
apt upgrade
reboot

и вроде снова заработало, в конфигах ничего не менял, причина ошибки не ясна, и возможно завтра появится, вопрос пока закрываю

Answer 2

[Виктор Таран]

А как ты думаешь зачем ему путь до сайта ? -w /var/www/webroot
ты хоть маны почитай там же все написано
ну и если уж совсем по русски хочешь почитать.
https://losst.ru/kak-poluchit-sertifikat-let-s-encrypt#

Comments

[Анатолий]

Забыл дописать:
/etc/letsencrypt/cli.ini

# Because we are using logrotate for greater flexibility, disable the
# internal certbot logrotation.
max-log-backups = 0

authenticator = webroot
webroot-path = /var/www
post-hook = service nginx reload
text = True

Т.е. путь не писал, потому что он уже был описан в cli.ini

[Виктор Таран]

А что вообще за урл такой странный ?
mysite.com:443/.well-known/acme-challenge/fxsFCP9K...
он в принципе не валидный, и дело даже не в де факто забитом порту, а то что он все еще на http, такой урл в принципе работать не должен.
ну и как получилось что у тебя сайт не отдается ральном домене, кто тебе мешает его прописать
webroot-path = /var/www/site.ru/

[Анатолий]

Уважаемый, ты что читать не совсем не умеешь?
Читай PS к вопросу.

Зачем мне писать /var/www/site.ru/?
У меня 10 доменов, а папка .well-known/acme-challenge/ одна!

PS. Вопрос пока закрываю, снова заработало, ничего не менял.

[Виктор Таран]

хоть милион дометов, все должно работать

[Анатолий]

я не сказал, что работать не должно, я спросил зачем усложнять?!
если уже прописано:

location ^~ /.well-known/acme-challenge {
        rewrite /.well-know/acme-challenge/(.*) /$1 break;
        root /var/www;
}

т.е. при обращении к /.well-known/acme-challenge всегда ссылается на одну папку