Проблема с получением SSL сертефиката через Certbot. Detail: Invalid response from?

Question

[MarkelSTV]

Ранее установил Certbot и успешно получил сертификат для одного из доменов. Возникла необходимость прикрутить еще один домен. Добавил домент в конфиг nginx, по http все ходит отлично, конфиг выглядит так:

upstream backend {
        server 127.0.0.1:8085;
}

server {
    server_name domain_name_1 domain_name_2;
    access_log  /var/log/nginx/domain_name.log;
    location / {
        proxy_set_header      Host              $host;
        proxy_set_header      X-Real-IP         $remote_addr;
        proxy_set_header      X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header      X-Forwarded-Host  $host;
        proxy_set_header      X-Forwarded-Proto $scheme;
        proxy_pass http://backend;
    }

    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/domain_name/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/domain_name/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
    if ($host = domain_name_1) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

    listen 80;
    server_name domain_name_1 domain_name_2;
    return 404; # managed by Certbot
}

При попытке получить сертификат для второго домена domain_name_2 получаю следующую ошибку:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: domain_name_1
2: domain_name_2
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
You have an existing certificate that contains a portion of the domains you
requested (ref: /etc/letsencrypt/renewal/domain_name_1.conf)

It contains these names: domain_name_1

You requested these names for the new certificate: domain_name_1,
domain_name_2.

Do you want to expand and replace this existing certificate with the new
certificate?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(E)xpand/(C)ancel: E
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for domain_name_2
Waiting for verification...
Challenge failed for domain domain_name_2
http-01 challenge for domain_name_2
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: domain_name_2
   Type:   unauthorized
   Detail: Invalid response from
   http://domain_name_2/.well-known/acme-challenge/4UtNTakW9jzvq4bo68i_bLYuL7yjF8XfpJ2EiKAD2Cc
   [2001:41d0:b:a74:5:39:10:93]: "<!DOCTYPE html>\n<html
   lang=\"ru-RU\" prefix=\"og: http://ogp.me/ns#\"
   class=\"no-js\">\n<head>\n\n    <meta name=\"theme-color\"
   content=\"#"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

Буду очень благодарен за помощь и идеи!

Comments

[Александр Диденко]

Мне помогло или

apt update
apt upgrade

или изменение timezone и времени на актуальные.
Или запись AAAA для IPv6 я удалил, чтобы искать в чём проблема

[A1ine]

У меня проблема оказалась вообще в том, что одновременно с нжинксом был запущен апач >.<

Answer 1

[Виктор Таран]

Тут вроде по русски написано
1. не смог положить файл domain_name_2/.well-known/acme-challenge/4UtNTakW9...
не хватило прав ли не смог сохранить.
2. вариант У вас в ДНС записях есть запимсь ААА - которая не поддерживается letsencrypt
3. ваши редиренкты отдают 302 вместо 200 как мы видем у васнет исключеня.

Теперь что касается каталога
то можно сделать так

location /.well-known/acme-challenge/ {
                alias /usr/local/ispconfig/interface/acme/;
                default_type text/plain;
         }

и в моем случае ве эти файлики я прошу crtbot ложить в /usr/local/ispconfig/interface/acme/
получается как phpmyadmin дописав к любому сайту попадаешь в эту папку.
ДА и ваш домен не является секретным, вы его даже в директе прдвигаете, так что если вы его дадите будет проще разобраться

Comments

[MarkelSTV]

Спасибо! Проблема была в записи АААА.

[Александр Диденко]

location /.well-known/acme-challenge/ {
alias /usr/local/ispconfig/interface/acme/;
default_type text/plain;
}

Что это и куда это писать?

[Виктор Таран]

Александр Диденко, в конфиг nginx вестимо ну и где у вас лежат эти файлы собственно.
по популярности это вторая проблема.
суть такая. le ложит на вашем сайте в это место файлик и проверяет видит ли он его, если да то подтверждает что вы владелец этого домена. Если нет то вот так. И первая причина что он просто не может его положить, или статика в nginx не отдается с этй папки.

Answer 2

[ky0]

Что-то неожиданное отдаётся вместо летсэнкриптовского респонса. Видимо, локейшен, обрабатывающий урлы /.well-known/acme-challenge делает это неверно.