Estoy configurando https en un servidor Apache local usando certbot pero aparece el siguiente error:
Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: www.example.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for digierp.com
Enabled Apache rewrite module
Waiting for verification...
Challenge failed for domain digierp.com
http-01 challenge for digierp.com
Cleaning up challenges
Some challenges have failed.
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: www.example.com
Type: connection
Detail: 110.40.19...: Fetching
http://example.com/.well-known/acme-challenge/X3IbvKI9gbZu1.........:
Connection refused
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.
Este es mi archivo /etc/apache2/sites-available/exapmlee.conf
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName examplee
ServerAlias www.example.com
DocumentRoot /var/www/examplee
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Si busco en example.com, obtengo esto
;; ANSWER SECTION:
example.com. 0 IN A 127.0.0.1
/etc/hosts
127.0.0.1 localhost
127.0.1.1 digierp-Joy
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
127.0.0.1 example.com
¿De dónde obtiene el sistema esta ip 110.40.19...?
¿Alguna sugerencia sobre el error anterior?
Respuesta1
Meta: arreglé tu formato y restauré #, que en realidad es una parte necesaria de la sintaxis de /etc/hosts; por favor haga clic en ? icono en la ventana de edición y lea la ayuda para el 'código' (y tal vez otros también)
Tenga en cuenta que www.{something}no es lo mismo que {something}aunquepuedeasignar a la misma dirección(es?) y host(es?).
A partir del registro, es evidente que en realidad está solicitando un certificado digierp.comque se asigna en DNS público a 110.40.197.199, y también www.digierp.comqué certbot también debería haber solicitado la configuración que muestra pero que aparentemente no se intentó porque el primer desafío fracasó.
Para obtener un certificado de LetsEncrypt mediante el desafío http-01, su servidor debe ser accesible desde la Internet pública en la dirección determinada por el DNS público. LetsEncrypt no puede ver lo que hay en su local /etc/hostsy, si pudiera, no confiaría en él porque el objetivo de un certificado de una CA pública como LE es eseotras personas en todo el mundoPuede confiar en la identidad de su servidor.
Siusted controla el DNS para este dominio, lo cual no dijo y su publicación no se muestra, podría obtener un certificado LE para el nombre de un servidor solo local usando el desafío dns-01; Dependiendo del proveedor de DNS que esté utilizando, es posible que haya un complemento para él o que deba hacerlo manualmente. Ese certificado luego podría usarse con clientes que se asignan localmente [www.]digierp.coma 127.0.0.1 u otra dirección local usando /etc/hosts o similar.
Para obtener un certificado de LE o de la mayoría de las CA públicas, debe "controlar" un nombre de dominio registrado públicamente. En la práctica, esto significa pagar por ello o conseguir que alguien (que pague) se lo proporcione; por ejemplo, si eres miembro del personal de una escuela, es posible que te proporcionen un subdominio bajo su dominio. De algunas CA públicas puede obtener un certificado para una dirección IP, pero solo una enrutable públicamente y asignada estáticamente, definitivamente NO direcciones destinadas a uso local como loopback (127.0.0.1 o ::1), rfc1918 o fe80:/ dieciséis.
Fuera de las CA públicas, si no está en una organización que administra una CA 'local' como algunas grandes empresas y agencias gubernamentales, puede generar simplemente un certificado autofirmado como señaló Falcon, o configurar el suyo propio, un poco más complicado. CA privada y personal (en la que sólo usted y nadie más confía). Vea mi lista de enlaces a preguntas sobre este tema, en varias pilas, enhttps://stackoverflow.com/questions/69499225/how-to-solve-the-problem-of-self-signed-ssl-certificates-for-sites-intended-to-b.
Respuesta2
¿Está intentando obtener un certificado de letsencrypt parawww.ejemplo.com? No puedes hacer eso. No es tuyo.
Veo que estás haciendo algunas cosas diferentes. Le has pedido a certbot un certificado parawww.ejemplo.compero el resto de tu pregunta es sobre example.com. Esas son dos cosas diferentes; el www no está implícito en absoluto. Sin embargo, es común obtener un certificado para ambos.www.ejemplo.comy ejemplo.com,donde ejemplo.com es su dominio.
¿Quizás tu dominio sea digierp.com? Lo has editado en algunos lugares pero no en otros.
Aparte de eso, creo que generalmente estás usando las herramientas correctamente. Pero letsencrypt no es una herramienta local. Certbot le pide a letsencrypt que verifique su control del dominio utilizando el protocolo ACME a través de Internet y luego le entrega el certificado. No puede usarlo cuando intenta ejecutar un servidor solo en bucle invertido.
Para usar letsencrypt, configure DNS (no su archivo de hosts) para que apunte al servidor en el que está ejecutando su sitio. Si necesita realizar pruebas locales, utilice alguna otra herramienta; algunas personas emiten un certificado autofirmado y lo agregan a su almacén de confianza (o ignoran las advertencias de TLS).