未分類
20 7 月 2020

Let’s encrypt 泛域名(通配符)证书更新失败

Let’s encrypt 泛域名(通配符)证书更新失败

資深大佬 : cnfczn 24

目前网站 dns 在华为,最近证书快到期了,由于用的泛域名证书,所以只能用 dns 验证,但是证书更新修改 dns TXT 记录,Let’s encrypt 总是验证失败。

现在不清楚 Let’s encrypt 的规则是不是变了,要求同时增加两个 TXT 记录。我再只保留 2 个修改后 TXT 记录情况下,用 dig 只能看到一个记录值。

为此我以为是更新 dns 的缓存问题,等待 10 分钟到 6 小时不等,多次测试。都是更新失败。

网站刚从其他云迁移过来不到半年吧,上一次更新证书就在华为云,虽然验证失败多次,最后还是通过了。这次不管怎么重试都不行了。
证书还有不到 30 天到期,使用的命令没有变化,有没有朋友遇到类似的问题呢?

大佬有話說 (5)

  • 資深大佬 : mason961125

    emmm 用的阿里,API 自动验证没有问题,手动验证没试过。

  • 資深大佬 : zimonianhua

    同用华为 dns 解析,前几天过域名验证,一直提示 txt 记录错误。换回 dnspod 正常。

  • 資深大佬 : wsly47

    ping ocsp.int-x3.letsencrypt.org 试试,不行的话 hosts 添加
    23.32.3.72 ocsp.int-x3.letsencrypt.org

    https://www.landiannews.com/archives/72082.html

  • 資深大佬 : cnfczn

    多谢上各位大佬的帮助,今天不在家没法测试,先谢过大家了!!

  • 資深大佬 : cnfczn

    @wsly47 这个问题有点邪门了,我用的 certbot 更新证书,/var/log/letsencrypt/目录的日志看了,没有 ocsp 的请求,有请求 https://acme-v02.api.letsencrypt.org/acme/chall-v3/5826706164/xxxx,也能正常返回解决,没有 timeout
    结果如下(这个错误输出和主贴的结果一样,之前忘了发了):
    “detail”: “DNS problem: SERVFAIL looking up TXT for _acme-challenge.xxxx.com – the domain’s nameservers may be malfunctioning”