最近 Let's encrypt 验证总是无法通过。不知道大家有没有其他选择...
1
mason961125 2020-07-13 23:11:03 +08:00
|
2
cnfczn OP @mason961125 此前发过一个帖子讨论过,有朋友回复说是 Let's encrypt 的验证服务器被屏蔽了.
但是我这里返回的错误信息与网上写的并不太一样. DNS problem: SERVFAIL looking up TXT for _acme-challenge.x.com - the domain's nameservers may be malfunctioning 而且不论是 dns 还是 webroot 都无法验证通过,上次证书续期还没有问题.所以不打算在这一个上面靠死..想看看大家有没有使用过其他证书. |
3
mason961125 2020-07-14 00:05:10 +08:00
@cnfczn #2 刚才去试了一下,用 acme.sh 的 DNS manual mode,你这个错误我一开始也遇到了,大概率是解析没生效,还有一种可能是,你分别添加了两条 TXT 记录,而不是在一个 TXT 记录里写两行,如果你写两个不同的_acme-challenge 的话,华为云那个 DNS 会默认帮你按权重负载均衡,所以不能在一次查询中找到两条记录。但是我改成一条记录写两行的模式之后,还是发生错误,DNS 查询请求超时或者 CAA 记录查询失败。支持 wildcard 的免费证书确实不多。如果不想换 DNS 解析商的话,确实我没找到除了 Let's Encrpyt 之外的免费证书。所以相对来看,换一家支持 DNS API mode 的解析商是个更好的选择,顺便也能完成自动化,至少我用阿里的 DNS 的之后都是用 API Key 来自动续期的。
|
4
wsly47 2020-07-14 01:46:32 +08:00
https://sm.ms/image/MJgl1OLXoknAuFc
https://sm.ms/image/KwzPDTIF8htlGLd 我自己测试了一下签成功了,dig 也可以看到两条 txt 记录 还不行的话 检查 CAA 记录是否正确或者直接删了它 |
6
moxuanyuan 2020-07-14 02:10:35 +08:00
最简单是 cloudflare 开启半程 SSL 模式吧。。。
|
7
Windelight 2020-07-14 02:27:54 +08:00 via Android
Let's Encrypt 、CloudFlare 、AlphaSSL
|
8
cnfczn OP @mason961125 感谢这位仁兄的耐心解答,此前我一直用阿里的服务器,dns 解析也是阿里的,后来到期换的华为.上次解析的时候还正常,这次就怎么也过不去了.
刚才又试了下在没有被和谐的服务上更新证书也一样失败.而且 dig 能查询到 TXT 记录. 上次更新证书的时候,我只用了一个_acme-challenge 条目,两次 TXT 记录都是先后更改的,验证失败两次第三次成功了. 这次更新证书就不行了,已经把所有可以设置的方法都设置过了.包括 2 个_acme-challenge TXT 记录,或者 1 个_acme-challenge 里边 2 个 TXT 记录,添加 CAA 删除 CAA 等等各种姿势. |
9
cnfczn OP @wsly47 刚才按照你的思路也配置了一下,仍然失败.
the domain's nameservers may be malfunctioning dig 能看到正确的 TXT 记录 挺郁闷的,我打算换 dns 服务商试试了 |
10
cnfczn OP @moxuanyuan 我也正在试,正在等 NS 变更
|
11
cnfczn OP @arischow 刚开始弄 CloudFare,等 NS 变更以后再试试.
我有个朋友用的某一键后台,自动更新 let's encrypt 证书,好像是 webroot 验证,据说也不太稳定,但是最后成功过了. 这几种验证方式我都试过,都不成功...等 ns 变更后再试试 |
12
cnfczn OP @Windelight ok,多谢仁兄..我先试试 cloudfare
|
13
laozhoubuluo 2020-07-15 10:56:57 +08:00
验证不通过的原因是因为 Let's encrypt 的 OCSP 域名被 DNS 污染了。
可以考虑在 hosts 文件配置如下指令,并开启服务器的 OCSP stapling 缓解此问题。 ··· # Let's encrypt OCSP Server 23.52.0.145 ocsp.int-x3.letsencrypt.org 2600:1406:3::b81c:bcb8 ocsp.int-x3.letsencrypt.org ··· |
14
cnfczn OP @laozhoubuluo 我是在证书续期的时候出现的问题,certbot 日志里也没有 ocsp.int-x3.letsencrypt.org 的请求。
刚才 ping 23.52.0.145 能 ping 通,返回结果就是 TXT 记录验证失败。。真是糟心啊。 |
15
wewx 2021-09-21 11:13:14 +08:00 via iPhone
digitcert……cn
SSL 证书价格参考: 单域名 21 元 /年 通配符 248 元 /年 |