Let's encrypt 泛域名(通配符)证书更新失败

2020-07-11 18:43:30 +08:00

cnfczn

目前网站 dns 在华为，最近证书快到期了，由于用的泛域名证书，所以只能用 dns 验证，但是证书更新修改 dns TXT 记录，Let's encrypt 总是验证失败。

现在不清楚 Let's encrypt 的规则是不是变了，要求同时增加两个 TXT 记录。我再只保留 2 个修改后 TXT 记录情况下，用 dig 只能看到一个记录值。

为此我以为是更新 dns 的缓存问题，等待 10 分钟到 6 小时不等，多次测试。都是更新失败。

网站刚从其他云迁移过来不到半年吧，上一次更新证书就在华为云，虽然验证失败多次，最后还是通过了。这次不管怎么重试都不行了。
证书还有不到 30 天到期，使用的命令没有变化，有没有朋友遇到类似的问题呢？

3874 次点击

所在节点

SSL

8 条回复

mason961125

2020-07-11 19:01:10 +08:00

emmm 用的阿里，API 自动验证没有问题，手动验证没试过。

zimonianhua

2020-07-11 19:08:26 +08:00

同用华为 dns 解析，前几天过域名验证，一直提示 txt 记录错误。换回 dnspod 正常。

wsly47

2020-07-11 19:42:38 +08:00

ping ocsp.int-x3.letsencrypt.org 试试，不行的话 hosts 添加
23.32.3.72 ocsp.int-x3.letsencrypt.org

https://www.landiannews.com/archives/72082.html

cnfczn

2020-07-11 20:27:13 +08:00

多谢楼上各位大佬的帮助，今天不在家没法测试，先谢过大家了！！

cnfczn

2020-07-12 15:26:39 +08:00

@wsly47 这个问题有点邪门了，我用的 certbot 更新证书，/var/log/letsencrypt/目录的日志看了，没有 ocsp 的请求，有请求 https://acme-v02.api.letsencrypt.org/acme/chall-v3/5826706164/xxxx,也能正常返回解决，没有 timeout
结果如下（这个错误输出和主贴的结果一样，之前忘了发了）：
"detail": "DNS problem: SERVFAIL looking up TXT for _acme-challenge.xxxx.com - the domain's nameservers may be malfunctioning"

cnfczn

2020-07-22 21:33:54 +08:00

今天把域名迁移到了阿里万网 dns,再 renew 就顺利通过了。

由于这几天也没做测试，不排除 let's encrypt 在我迁移期间被和谐的可能。
这里不讨论 dns 供应商的孰优孰劣，我只把问题解决反馈下，顺带结个帖。

brobird

2020-08-01 18:13:34 +08:00

@cnfczn #6 我也是华为云 DNS，今天开工单问了一下，回复如下

letsencrypt.org 这家服务商年后开启了 DNS 解析域名大小写严格校验，对于域名来说，实际上是不区分大小写的，购买域名写 ABC.com 和 abc.com 实际上一个域名；但该机构的校验就对小写的校验不过。所以导致您部署证书失败。我侧从我们的产品特性已安排补齐该功能。预计上线时间是 8 月底。

cnfczn

2020-08-13 21:32:22 +08:00

@brobird 这样啊..多谢大佬回复!

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/689208

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.