Ich habe also einen dehydrierten Cron-Job eingerichtet, um die Zertifikate für eine Reihe von Domänen zu erneuern, die ich verwalte. Ein Freund hat mir dabei geholfen.
Beim ersten Versuch hat es einwandfrei funktioniert. Doch dann, ein paar Monate später, schlug die Erneuerung der Zertifikate fehl.
Ich habe die Meldung „FEHLER: Challenge ist ungültig! (zurückgegeben: ungültig)“
Was ich weiß, ist, dass es versucht, herauszufinden, ob der Domänenname mir gehört, und deshalb eine Abfrage an eine bekannte Adressvariable sendet, die sich (wenn ich mich nicht irre) unter „/var/www/dehydrated“ befindet.
Was ich nicht weiß, ist, warum die Herausforderung aus irgendeinem obskuren Grund ungültig ist, und ich hoffe, es hängt nicht mit der Konfiguration des Webservers zusammen. Ich verwende Nginx.
Danke.
Antwort1
Ich nehme an, Sie schauen in die falsche Richtung ...
Mithilfe der Challenge wird die korrekte DNS-Zuordnung überprüft. Sie müssen also prüfen, ob die mit den Zertifikaten verknüpften Domänen die richtige IP-Adresse (A- oder CNAME-Einträge) haben.
Die Herausforderung (HTTP) bei letsencrypt besteht beispielsweise darin, Informationen mit *Webservern auszutauschen, die unter WELLKNOWN laufen. NICHT variabelAberDNS-Eintrag.
Wenn Ihre Domäne sub.mydomain.com ist, muss Ihr Nginx so konfiguriert sein, dass es über das DNS-Protokoll auf sub.mydomain.com antwortet, und um die Herausforderung zu meistern, muss das Dokumentenstammverzeichnis wie /var/www/dehydrated beschreibbar sein.