В каких случаях не работает продление/получение SSL-сертификата для домена службы KeenDNS?

Автоматическое продление/получение SSL-сертификата может не сработать в случаях, когда:

1. Запросы на порт TCP/443 перенаправлены на другой хост в локальной сети роутера.

Решение: Удалить правила переадресации для порта TCP/443.

2. Не резолвится доменное имя CDN-сервера центра сертификации в связи с некорректной работой DNS-резолвера провайдера.

Решение: Настроить резолвинг через DoT/DoH DNS-адрес "Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов".

3. В момент продления/получения SSL-сертификата наблюдается нестабильное подключение к шлюзу провайдера.

Решение: Проверить стабильность подключения к шлюзу провайдера, обратиться к провайдеру за диагностикой.

4. Не установлен порт управления для встроенного NGINX-сервера (по умолчанию TCP/80). В системном журнале можно увидеть следующие записи:

[E] Nov  7 17:29:11 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.
[E] Nov  7 17:29:18 ndm: Core::Pki::Tools: certificate for "domain" is expired.

Решение: Если в логе наблюдаете данную ошибку, это значит, что нужно установить TCP\80 порт управления для веб-сервера роутера.

5. На стороне провайдера блокируются доменные и IP-адреса CDN-сервера центра сертификации acme-v02.api.letsencrypt.org

Решение: Попробуйте настроить на роутере подключение к Интернету через другого интернет-провайдера. Например, включите собственную точку доступа на смартфоне и подключите к ней роутер через WISP-соединение для получения доступа в Интернет через сеть мобильного оператора.

6. Из-за неудачных попыток подключения к серверу, удаленная сторона поставила на паузу получение/продление сертификата.

В связи с этим может быть вызван rate limit: https://letsencrypt.org/docs/rate-limits/ и при этом в системном журнале можно увидеть следующие записи:

[E] May 13 01:06:44 ndm: Acme::Tools: bad HTTP status: 429.
[E] May 13 01:06:44 ndm: Acme::Client: unable to issue certificate for "domain": too many failed retries.

Решение: Потребуется сделать сброс настроек до заводских установок, далее ждем процесс получения сертификата для ранее зарегистрированного имени - последнего (изменять имя не нужно при этом).

Важно! Загружать ранее сохраненную конфигурацию роутера не рекомендуется!

7. Превышен максимально допустимый размер для записи SSL-сертификатов в раздел Config_X операционной системы KeeneticOS. При этом в системном журнале будет следующая ошибка:

failed to store a new extended entry: new data size is too large

Решение: Удалить ранее настроенные VPN-туннели, больше всего места занимает конфигурация OpenVPN, поэтому рекомендуется удалить один из работающих или неиспользуемых OpenVPN-туннелей.

8. Не синхронизировано время системы. При этом не срабатывает автоматический и ручной отзыв сертификата, и в системном журнале можно увидеть следующие записи:

[I] Jul 22 13:36:04 ndm: Acme::Client: start automatic revocation of certificate for domain "mydomain.keenetic.pro".
[I] Jul 22 13:36:04 ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.
[I] Jul 22 13:36:04 ndm: Acme::Client: retry #2 after 20s.
[I] Jul 22 13:36:24 ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.

Решение: Проверить подключение к шлюзу провайдера, должен быть стабильный доступ в Интернет для автоматической синхронизации времени системы.
Также рекомендуется проверить настройки NTP-сервера точного времени в системе:

ntp.png

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 15 из 18