V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
flowdesign
V2EX  ›  SSL

Let's Encrypt 的泛域名证书申请总是出错

  •  
  •   flowdesign · 2022-09-25 17:46:22 +08:00 · 1742 次点击
    这是一个创建于 788 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在群晖上跑 https://github.com/andyzhshg/syno-acme 的脚本来申请和 renew 证书, 之前都工作的挺正常, 现在换了个新的域名要重新申请个证书,然后死活泛域名的就搞不下来,出错描述也很含糊

    截取了 acme.sh.log 出错的部分 [Sun Sep 25 16:49:04 CST 2022] *.example.xxx:Verify error:DNS problem: NXDOMAIN looking up TXT for _acme-challenge.example.xxx - check that a DNS record exists for this domain [Sun Sep 25 16:49:05 CST 2022] Skip for removelevel: [Sun Sep 25 16:49:05 CST 2022] pid [Sun Sep 25 16:49:05 CST 2022] No need to restore nginx, skip. [Sun Sep 25 16:49:05 CST 2022] _clearupdns [Sun Sep 25 16:49:05 CST 2022] dns_entries='example.xxx,_acme-challenge.example.xxx,,dns_dp,nsj_5sM512xfU_w1TdG2231M_xIjVa_7VH2s9DJtQrQeI,/volume1/homes/XXX/syno-acme-0.3.0_dsm7_beta/acme.sh/dnsapi/dns_dp.sh

    现在的结果就是 examle.xxx 的根域名证书申请成功,但是泛域名的失败,导致所有二级域名 aaa.example.xxx 的访问都会提示证书不对,本地的 dns 缓存清理过了,然后挂在 dnspod.cn 上面的解析记录也没问题 比较了一下和之前域名的设置,没有区别...

    6 条回复    2022-09-26 12:28:46 +08:00
    leavic
        1
    leavic  
       2022-09-25 18:15:44 +08:00
    Verify error:DNS problem: NXDOMAIN looking up TXT for _acme-challenge.example.xxx - check that a DNS record exists for this domain
    ==============
    你是觉得这段报错是不正确的,还是你看不懂这段是什么意思?
    Jirajine
        2
    Jirajine  
       2022-09-25 18:31:37 +08:00
    自己用干脆自建 CA ,自己设备上信任自己的 CA 根证书。同样可以用 ACME 自动申请、续期,还不需要担心没有公网 IP 不能 http/tls challenge 申请证书的问题。
    majula
        3
    majula  
       2022-09-25 18:35:50 +08:00
    默认是 http-01 challenge ,但是申请泛域名证书时,无法通过一个 http server 判断你有所有子域名的控制权

    因此只能走 dns-01 challenge ,需要你添加一个 txt 记录
    flowdesign
        4
    flowdesign  
    OP
       2022-09-26 10:15:07 +08:00
    搞定了,换成阿里云的 token 就一切正常,大概率是腾讯那边在强制使用新的 3.0api ,老的 api token 会有问题
    GoodRui
        5
    GoodRui  
       2022-09-26 12:12:35 +08:00 via iPhone
    @flowdesign 我觉得 1 楼已经给你指明了报错原因了,a DNS record exists for this domain ,实在看不懂可以百度翻译下
    flowdesign
        6
    flowdesign  
    OP
       2022-09-26 12:28:46 +08:00
    @GoodRui 这个我看懂了啊,但事实上并不存在这个所谓的 dns record ,所以我才会觉得奇怪
    域名是新的,DDNS 到我的公网 IP 之后,这个 IP 并没有发生变化,而且我也 dig 过记录没有异常的数据的

    @majula 如果直接手工执行的话是需要我去提供这个 txt 记录,但因为是用脚本直接调用配置好的 DDNS API ,所以按照我现在解决问题后的判断,就是腾讯对于 2.0 版本的 DNSPOD API 做了修改,亦或者是 let‘s encrypt 不支持,但换了 aliyun 的 API token 以后就正常申请到了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5235 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:52 · PVG 16:52 · LAX 00:52 · JFK 03:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.