В каких случаях не работает продление/получение SSL-сертификата для домена службы KeenDNS?

Автоматическое продление/получение SSL-сертификата может не сработать в случаях, когда:

1. Запросы на порт TCP/443 перенаправлены на другой хост в локальной сети роутера.

Решение: Удалить правила переадресации для порта TCP/443.

2. Не резолвится доменное имя CDN-сервера центра сертификации в связи с некорректной работой DNS-резолвера провайдера.

Решение: Настроить резолвинг через DoT/DoH DNS-адрес "Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов".

3. В момент продления/получения SSL-сертификата наблюдается нестабильное подключение к шлюзу провайдера.

Решение: Проверить стабильность подключения к шлюзу провайдера, обратиться к провайдеру за диагностикой.

4. Не установлен порт управления для встроенного NGINX-сервера (по умолчанию TCP/80). В системном журнале можно увидеть следующие записи:

[E] Nov  7 17:29:11 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.
[E] Nov  7 17:29:18 ndm: Core::Pki::Tools: certificate for "domain" is expired.

Решение: Если в логе наблюдаете данную ошибку, это значит, что нужно установить TCP\80 порт управления для веб-сервера роутера.

5. На стороне провайдера блокируются доменные и IP-адреса CDN-сервера центра сертификации acme-v02.api.letsencrypt.org

Решение: Подключить VPN-туннель и маршрутизировать весь трафик через шлюз VPN-провайдера. Например можно использовать Wireguard VPN: "Доступ в Интернет через VPN-провайдера по протоколу WireGuard".

6. Из-за неудачных попыток подключения к серверу, удаленная сторона поставила на паузу получение/продление сертификата.

В связи с этим может быть вызван rate limit: https://letsencrypt.org/docs/rate-limits/ и при этом в системном журнале можно увидеть следующие записи:

[E] May 13 01:06:44 ndm: Acme::Tools: bad HTTP status: 429.
[E] May 13 01:06:44 ndm: Acme::Client: unable to issue certificate for "domain": too many failed retries.

Решение: Потребуется сделать сброс настроек до заводских установок, далее ждем процесс получения сертификата для ранее зарегистрированного имени - последнего (изменять имя не нужно при этом).

Важно! Загружать ранее сохраненную конфигурацию роутера не рекомендуется!

7. Превышен максимально допустимый размер для записи SSL-сертификатов в раздел Config_X операционной системы KeeneticOS. При этом в системном журнале будет следующая ошибка:

failed to store a new extended entry: new data size is too large

Решение: Удалить ранее настроенные VPN-туннели, больше всего места занимает конфигурация OpenVPN, поэтому рекомендуется удалить один из работающих или неиспользуемых OpenVPN-туннелей.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

Еще есть вопросы? Отправить запрос

Комментарии

1 комментарий
  • Причины почему нельзя получить SSL-сертификат разобраны хорошо. Мне попался 6 пункт. Так как сбрасывать настройки не хотелось. Искал в чем причина. Достаточно было отключить фильтр AdGuard DNS и сертификат пришел. Включил его снова. И теперь все хорошо)

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.