Letsencrypt Invalid response - Serversoftware en clouddiensten

vrijdag 20 oktober 2017 13:24

Acties:

Topicstarter

Ik probeer de SSL certificaten in te stellen van Letsencrypt, echter heb ik een probleem bij het valideren van de domainnamen.

De .well-known/acme-challenge/[FILE] is gewoon bereikbaar als ik handmatig test via bv hurl.it:

Voorbeeld:

code:

GET http://mijndomain.nl/.well-known/acme-challenge/vDuHbjmkYt7IEprkPTcv68HZqlrFzcNYlgcmqnr972g

response: 
Accept-Ranges: bytes
Connection: keep-alive
Content-Length: 88
Content-Type: text/plain
Date: Fri, 20 Oct 2017 10:01:46 GMT
Etag: "59e9c956-58"
Last-Modified: Fri, 20 Oct 2017 10:00:54 GMT
Server: nginx/1.10.3 (Ubuntu)
BODY 

vDuHbjmkYt7IEprkPTcv68HZqlrFzcNYlgcmqnr972g.L3WrNgS3tdjdBdwdti2nfaUP0Cvnvk_bOQONDKyNaNI

Echter zegt certbot:

(Ik gebruikt: certbot --staging certonly -d mijndomain.nl --manual)

code:

Failed authorization procedure. mijndomain.nl (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://mijndomain.nl/.well-known/acme-challenge/7tWILMKtljyB22HWKlYXmUItbFehVESQNc8QCN8WdCY: "<!DOCTYPE html>
<html>
        <head>
                <link rel="icon" href="/img/favicon.png" sizes="16x16">
                <meta http-equiv="Content-Type" conte"

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: mijndomain.nl
   Type:   unauthorized
   Detail: Invalid response from
   http://mijndomain.nl/.well-known/acme-challenge/7tWILMKtljyB22HWKlYXmUItbFehVESQNc8QCN8WdCY:
   "<!DOCTYPE html>
   <html>
           <head>
                   <link rel="icon" href="/img/favicon.png"
   sizes="16x16">
                   <meta http-equiv="Content-Type" conte"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

De nginx server is gehost op een VM in zure. Het domain mijndomain.nl heeft een A-record naar het juiste ip-adres. Het A-record is een aantal dagen geleden ingesteld dus caching van DNS zou geen probleem moeten zijn.

Iemand een tip?

vrijdag 20 oktober 2017 13:32

Acties:

CH4OS

It's a kind of magic

Een unauthorized bericht betekend een HTTP 401, waarschijnlijk heb je basic auth oid aan staan op het domein?

vrijdag 20 oktober 2017 13:36

Acties:

Kelfox

Topicstarter

BasicAuth staat niet geconfigureerd op het domain. Dit zou denk ik anders ook problemen geven bij de test via externe HTTP requests via hurl.it ?

vrijdag 20 oktober 2017 13:45

Acties:

GlowMouse

Kijk in de logs van nginx of draai anders tcpdump om te zien wat er op de server gebeurt.

vrijdag 20 oktober 2017 13:52

Acties:

CH4OS

It's a kind of magic

Overigens; de certbot gebruikt een random gegenereerd token, die is dus elke keer anders.
Waarschijnlijk heeft certbot dus de file niet kunnen aanmaken. Daarom geef ik ook altijd handmatig de document root op, zodat je 100% zeker weet dat certbot dat naar de juiste document root doet:

certbot certonly --webroot -w /pad/naar/document/root -d mijndomain.nl

is wat ik gebruik.

Voordeel is dat het hiermee ook niet uitmaakt wat je gebruikt, dit werkt met zowel NginX als Apache.

[ Voor 33% gewijzigd door CH4OS op 20-10-2017 13:57 ]

vrijdag 20 oktober 2017 13:57

Acties:

Kelfox

Topicstarter

Klopt, maar ik gebruik de --manual optie. De token wordt aangemaakt, via een andere SSH sessie maak ik zelf de file aan met inhoud. Ik doe daarna zelf eerst een HTTP GET request via een externe server en krijg de juiste inhoud van de file te zien. Als ik vervoglens met certbot verder ga dan kan certbot het blijkbaar niet valideren ..

vrijdag 20 oktober 2017 13:59

Acties:

CH4OS

It's a kind of magic

De certbot is wat mijn ervaringen betreft best picky. Met bovenstaande werkt het bij mij op zowel Apache als NginX altijd prima. Ik zou zeggen, probeer die optie is.

vrijdag 20 oktober 2017 14:09

Acties:

Kelfox

Topicstarter

Helaas

code:

me@myserver:/var/log/nginx$ sudo certbot --staging certonly --webroot -w /var/www/letsencrypt -d mijndomain.nl
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mijndomain.nl
Using the webroot path /var/www/letsencrypt for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Unable to clean up challenge directory /var/www/letsencrypt/.well-known/acme-challenge
Failed authorization procedure. mijndomain.nl (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://mijndomain/.well-known/acme-challenge/lOcoRcqRSVb_K3Xj9VncqTJ4WBsx-qjwPWI5p0jImrk: "<!DOCTYPE html>
<html>
        <head>
                <link rel="icon" href="/img/favicon.png" sizes="16x16">
                <meta http-equiv="Content-Type" conte"

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: mijndomain.nl
   Type:   unauthorized
   Detail: Invalid response from
   http://mijndomain.nl/.well-known/acme-challenge/lOcoRcqRSVb_K3Xj9VncqTJ4WBsx-qjwPWI5p0jImrk:
   "<!DOCTYPE html>
   <html>
           <head>
                   <link rel="icon" href="/img/favicon.png"
   sizes="16x16">
                   <meta http-equiv="Content-Type" conte"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

vrijdag 20 oktober 2017 14:17

Acties:

Kelfox

Topicstarter

nginx config:

code:

server {
        listen   80;

        root /var/www/virtual/mijndomain/;
        index index.php index.html index.htm;

        server_name dev.mijndomain.nl mijndomain.nl www.mijndomain.nl;
        include snippets/letsencryptauth.conf;
        
        location / {
                proxy_pass http://127.0.0.1:8080;
                include proxy_params;
         }
}

snippets/letsencryptauth.conf:

code:

# on all our sites (HTTP), including all subdomains.
# This is required by ACME Challenge (webroot authentication).
# You can check that this location is working by placing ping.txt here:
# /var/www/letsencrypt/.well-known/acme-challenge/ping.txt
# And pointing your browser to:
# http://xxx.domain.tld/.well-known/acme-challenge/ping.txt
#
# Sources:
# https://community.letsencrypt.org/t/howto-easy-cert-generation-and-renewal-with-nginx/3491
#
#############################################################################

# Rule for legitimate ACME Challenge requests (like /.well-known/acme-challenge/xxxxxxxxx)
# We use ^~ here, so that we don't check other regexes (for speed-up). We actually MUST cancel
# other regex checks, because in our other config files have regex rule that denies access to files with dotted names.
location ^~ /.well-known/acme-challenge/ {

    # Set correct content type. According to this:
    # https://community.letsencrypt.org/t/using-the-webroot-domain-verification-method/1445/29
    # Current specification requires "text/plain" or no content header at all.
    # It seems that "text/plain" is a safe option.
    default_type "text/plain";

    # This directory must be the same as in /etc/letsencrypt/cli.ini
    # as "webroot-path" parameter. Also don't forget to set "authenticator" parameter
    # there to "webroot".
    # Do NOT use alias, use root! Target directory is located here:
    # /var/www/common/letsencrypt/.well-known/acme-challenge/
    root         /var/www/letsencrypt;
}

# Hide /acme-challenge subdirectory and return 404 on all requests.
# It is somewhat more secure than letting Nginx return 403.
# Ending slash is important!
location = /.well-known/acme-challenge/ {
    return 404;
}

vrijdag 20 oktober 2017 14:20

Acties:

Kelfox

Topicstarter

certbot --staging certonly --webroot -w /var/www/letsencrypt -d dev.mijndomain.nl

Werkt overigens wel gewoon .. Dus alleen niet voor het hoofd domein. Snap nog niet waarom.

vrijdag 20 oktober 2017 14:21

Acties:

CH4OS

It's a kind of magic

Kelfox schreef op vrijdag 20 oktober 2017 @ 14:20:
certbot --staging certonly --webroot -w /var/www/letsencrypt -d dev.mijndomain.nl
Werkt overigens wel gewoon .. Dus alleen niet voor het hoofd domein. Snap nog niet waarom.

Omdat die een ander document root heeft: /var/www/virtual/mijndomain/ vanuit de config.

Mag ik vragen waarvoor je de --staging flag gebruikt?

Dat geeft een testcertificaat immers.

EDIT:
Ah, je maakt een uitzondering voor certbot. Geen idee hoe lang dat al in NginX zit, maar ik heb dat verder nooit gebruikt / links laten liggen. Kijk ook even naar regel 32.

Return 404...

Ben ook wel benieuwd waar je die snippets vandaan hebt, want volgens mij is dat een beetje overbodig.

[ Voor 32% gewijzigd door CH4OS op 20-10-2017 14:24 ]

vrijdag 20 oktober 2017 14:27

Acties:

Kelfox

Topicstarter

CH4OS schreef op vrijdag 20 oktober 2017 @ 14:21:
[...]
Omdat die een ander document root heeft: /var/www/virtual/mijndomain/ vanuit de config.
Mag ik vragen waarvoor je de --staging flag gebruikt? Dat geeft een testcertificaat immers.

EDIT:
Ah, je maakt een uitzondering voor certbot. Geen idee hoe lang dat al in NginX zit, maar ik heb dat verder nooit gebruikt / links laten liggen. Kijk ook even naar regel 32. Return 404... Ben ook wel benieuwd waar je die snippets vandaan hebt, want volgens mij is dat een beetje overbodig.

De snippets/letsencryptauth.conf zou er toch voor moeten zorgen dat alle requests naar /.well-known/acme-challenge/ een root /var/www/letsencrypt hebben? Of zie ik wat over't hoofd?

vrijdag 20 oktober 2017 14:30

Acties:

Kelfox

Topicstarter

De Return 404 regel heb ik eruit gehaald, geen verschil. De snippet gebruik ik zodat ik deze in elke server definitie kan gebruiken vanwege meerdere domainen die op dezelfde server worden gehost. Ik wil niet per domain een .well-known directory hebben maar 1 centrale directory waar alles staat buiten de www-dirs om.

vrijdag 20 oktober 2017 14:30

Acties:

CH4OS

It's a kind of magic

Kelfox schreef op vrijdag 20 oktober 2017 @ 14:27:
De snippets/letsencryptauth.conf zou er toch voor moeten zorgen dat alle requests naar /.well-known/acme-challenge/ een root /var/www/letsencrypt hebben? Of zie ik wat over't hoofd?

Ik weet even niet exact hoe het zit met overschrijven van de settings, maar ik heb zo het idee, dat de setting gewoonweg niet overschreven wordt. Maar nogmaals, ik ken dat stukje config ook helemaal niet eigenlijk en heb het verder ook nooit gezien of gebruikt. Het is in mijn ogen een poging tot versimpeling van iets, wat alleen maar averechts werkt, als je het mij vraagt.

vrijdag 20 oktober 2017 14:40

Acties:

Kelfox

Topicstarter

Snippet verwijderd, helaas hetzelfde issue.
Als ik de token file via m'n browser ophaal dan werkt het gewoon:

Afbeeldingslocatie: https://preview.ibb.co/drZG36/error.png

Afbeeldingslocatie: https://preview.ibb.co/drZG36/error.png

vrijdag 20 oktober 2017 14:45

Acties:

CH4OS

It's a kind of magic

Hoe doet certbot het, als je --staging weglaat?

vrijdag 20 oktober 2017 14:47

Acties:

Kelfox

Topicstarter

Zelfde fout helaas. Maar als je dit dus 5 keer binnen een uur doet wordt je (tijdelijk) geblokt.

vrijdag 20 oktober 2017 14:52

Acties:

Kelfox

Topicstarter

Ik heb zojuist getest via apache2, helaas zelfde foutmelding. Er lijkt iets mis met het domain, maar geen idee wat dit kan zijn aangezien ik zelf de file gewoon kan opvragen via HTTP.

vrijdag 20 oktober 2017 14:57

Acties:

TommieW

Numa numa.

Ik heb je nog nergens zien kijken naar de logs van Nginx (access.log en error.log). Staat hier niet in waarom Nginx de request blokkeert?

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 17 Pro Max - Macbook Pro 16" M1 Pro

vrijdag 20 oktober 2017 15:02

Acties:

Iva Wonderbush

Ik set ook een andere root met requests naar /.well-known, maar dan iets anders:

code:

location ~ /.well-known {
    root /var/www/letsencrypt;
    allow all;
}

[ Voor 8% gewijzigd door Iva Wonderbush op 20-10-2017 15:03 ]

vrijdag 20 oktober 2017 15:13

Acties:

Kelfox

Topicstarter

De GET's lijken niet aan te komen van Letsencrypt.

Mijn GET's zie ik wel in de nginx logfile:

code:

1
2
3

 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"
MY_IP_ADDRESS - - [20/Oct/2017:15:08:58 +0200] "GET /.well-known/acme-challenge/BOOy0-3PtbNXzMs8m6fmAsmorKIj6JjXXvfC3LKFmpc HTTP/1.1" 200 88 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"
MY_IP_ADDRESS - - [20/Oct/2017:15:09:01 +0200] "GET /.well-known/acme-challenge/BOOy0-3PtbNXzMs8m6fmAsmorKIj6JjXXvfC3LKFmpc HTTP/1.1" 200 88 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"

vrijdag 20 oktober 2017 15:17

Acties:

Kelfox

Topicstarter

Ik heb iets meer info met de --verbose parameter:

code:

Root logging level set at 10
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requested authenticator webroot and installer None
Single candidate plugin: * webroot
Description: Place files in webroot directory
Interfaces: IAuthenticator, IPlugin
Entry point: webroot = certbot.plugins.webroot:Authenticator
Initialized: <certbot.plugins.webroot.Authenticator object at 0x7f91884fea10>
Prep: True
Selected authenticator <certbot.plugins.webroot.Authenticator object at 0x7f91884fea10> and installer None
Picked account: <Account(RegistrationResource(body=Registration(status=None, contact=(u'mailto:b.hodzic@live.nl',), agreement=u'https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf', key=JWKRSA(key=<ComparableRSAKey(<cryptography.hazmat.backends.openssl.rsa._RSAPublicKey object at 0x7f918d634890>)>)), uri=u'https://acme-staging.api.letsencrypt.org/acme/reg/4935514', new_authzr_uri=u'https://acme-staging.api.letsencrypt.org/acme/new-authz', terms_of_service=u'https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf'), 7fa797679cefcf8bb3ada688159f1ede, Meta(creation_host=u'MIJNSERVER', creation_dt=datetime.datetime(2017, 10, 19, 9, 40, 49, tzinfo=<UTC>)))>
Sending GET request to https://acme-staging.api.letsencrypt.org/directory.
Starting new HTTPS connection (1): acme-staging.api.letsencrypt.org
https://acme-staging.api.letsencrypt.org:443 "GET /directory HTTP/1.1" 200 581
Received response:
HTTP 200
Server: nginx
Content-Type: application/json
Content-Length: 581
Replay-Nonce: sQNg2AZ8gJNTNlN9tj8jpHNgZqRsHWkqz3LwgKsbWe4
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Expires: Fri, 20 Oct 2017 13:30:43 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 20 Oct 2017 13:30:43 GMT
Connection: keep-alive

{
  "g28weNLLai0": "https://community.letsencrypt.org/t/adding-random-entries-to-the-directory/33417",
  "key-change": "https://acme-staging.api.letsencrypt.org/acme/key-change",
  "meta": {
    "terms-of-service": "https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf"
  },
  "new-authz": "https://acme-staging.api.letsencrypt.org/acme/new-authz",
  "new-cert": "https://acme-staging.api.letsencrypt.org/acme/new-cert",
  "new-reg": "https://acme-staging.api.letsencrypt.org/acme/new-reg",
  "revoke-cert": "https://acme-staging.api.letsencrypt.org/acme/revoke-cert"
}
Obtaining a new certificate
Requesting fresh nonce
Sending HEAD request to https://acme-staging.api.letsencrypt.org/acme/new-authz.
https://acme-staging.api.letsencrypt.org:443 "HEAD /acme/new-authz HTTP/1.1" 405 0
Received response:
HTTP 405
Server: nginx
Content-Type: application/problem+json
Content-Length: 91
Allow: POST
Replay-Nonce: QRDA6RDVY9QEfNlvkMRObSiYN00AR8Vv9-Bd0Af-SVM
Expires: Fri, 20 Oct 2017 13:30:43 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 20 Oct 2017 13:30:43 GMT
Connection: keep-alive


Storing nonce: QRDA6RDVY9QEfNlvkMRObSiYN00AR8Vv9-Bd0Af-SVM
JWS payload:
{
  "identifier": {
    "type": "dns",
    "value": "mijndomain.nl"
  },
  "resource": "new-authz"
}
Sending POST request to https://acme-staging.api.letsencrypt.org/acme/new-authz:
{
  "protected": "eyJub25jZSI6ICJRUkRBNlJEVlk5XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXQVMcTlLbUVrVFpXR0NDdG9Nc1FSWE0xY05WTFk1SXVxT0JIUnNUdWJPRlBGWGFhc2liXzN1U0FRMG45UVNTMzltOHdaeWNraUptS2ZGVUlsVjJYb1BXOEI2dHNlZllvWnJ3azBFckc2NGVjMnppQTFKU3pZSEg1b1dDbGlXbVFYY2oxQVdCQUNtaFBmeHc4bHJmLXROU01lcU5ZejgxVFY3SjE5U3VCNDBNNE5HQXl6TnpIZ3UxMTQwM0FLX0k2V0FLT0lPSzVhT1M2UVREVU9Ibklncm1mTE9YNXBEZXI0WTZGbFpCejNEaFh3clBLSVhTWnpCSER2TWRqRkRQTW9DUGJhMkFmcDU5cDQ3cXhxelpOV2p6OWM3cFpVZkp4WktPZnh5QVlZSXVnV05YWnNXakhxZ0hGdVNVU19jSmJPd0V3In19",
  "payload": "ewogICJpZGVudGlmaWVyIjogewogICAgInR5cGUiOiAiZG5zIiwgCiAXXXXXXXXXXXXXXXXF1dGh6Igp9",
  "signature": "umlRivkFFvkDzgjYD7xT0YtarD3w-IWJLIIh0XXXQpG2X8pN_yUIDfMx1mFEBwe2iPy2wcsMJjozjdk5nDgOFdFu873Jb4Fkbsmdx4nEfsZ-WvnERtHxUDRXHpmeAa-1iEtn5yeZiOgg"
}
https://acme-staging.api.letsencrypt.org:443 "POST /acme/new-authz HTTP/1.1" 201 1004
Received response:
HTTP 201
Server: nginx
Content-Type: application/json
Content-Length: 1004
Boulder-Requester: 4935514
Link: <https://acme-staging.api.letsencrypt.org/acme/new-cert>;rel="next"
Location: https://acme-staging.api.letsencrypt.org/acme/authz/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI
Replay-Nonce: 5e9rRLw-VgWbKiRiMA-pUlueNr39irW0OBbf0Tzm8Uo
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Expires: Fri, 20 Oct 2017 13:30:43 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 20 Oct 2017 13:30:43 GMT
Connection: keep-alive

{
  "identifier": {
    "type": "dns",
    "value": "mijndomain.nl"
  },
  "status": "pending",
  "expires": "2017-10-27T13:30:43.279005944Z",
  "challenges": [
    {
      "type": "dns-01",
      "status": "pending",
      "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219187",
      "token": "J3d3ZFSax-ulCHTZDZQYk"
    },
    {
      "type": "http-01",
      "status": "pending",
      "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219188",
      "token": "Rj_4NgcH2UPzL1xxyWzQjHlPE"
    },
    {
      "type": "tls-sni-01",
      "status": "pending",
      "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219189",
      "token": "-LTRvsgEf7MSx9EW-j_6Gfk"
    }
  ],
  "combinations": [
    [
      1
    ],
    [
      0
    ],
    [
      2
    ]
  ]
}
Storing nonce: 5e9rRLw-VgWbKiRiMA-pUxxm8Uo
Performing the following challenges:
http-01 challenge for mijndomain.nl
Using the webroot path /var/www/virtual/mijndomain for all unmatched domains.
Creating root challenges validation dir at /var/www/virtual/mijndomain/.well-known/acme-challenge
Attempting to save validation to /var/www/virtual/mijndomain/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE
Waiting for verification...
JWS payload:
{
  "keyAuthorization": "Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE.L3WrNgS3tdjdBdwdti2nfaUP0Cvnvk_bOQONDKyNaNI",
  "type": "http-01",
  "resource": "challenge"
}
Sending POST request to https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219188:
{
  "protected": "eyJub25jZSI6ICI1ZTlyUkx3LxjFuR3ZlM1VMcTlLbUVrVFpXR0NDdG9Nc1FSWE0xY05WTFk1SXVxT0JIUnNUdWJPRlBGWGFhc2liXzN1U0FRMG45UVNTMzltOHdaeWNraUptS2ZGVUlsVjJYb1BXOEI2dHNlZllvWnJ3azBFckc2NGVjMnppQTFKU3pZSEg1b1dDbGlXbVFYY2oxQVdCQUNtaFBmeHc4bHJmLXROU01lcU5ZejgxVFY3SjE5U3VCNDBNNE5HQXl6TnpIZ3UxMTQwM0FLX0k2V0FLT0lPSzVhT1M2UVREVU9Ibklncm1mTE9YNXBEZXI0WTZGbFpCejNEaFh3clBLSVhTWnpCSER2TWRqRkRQTW9DUGJhMkFmcDU5cDQ3cXhxelpOV2p6OWM3cFpVZkp4WktPZnh5QVlZSXVnV05YWnNXakhxZ0hGdVNVU19jSmJPd0V3In19",
  "payload": "ewogICJrZXlBdXRob3JpemF0aW9uIjx0ZGpkQmR3ZHRpMm5mYVVQMEN2bnZrX2JPUU9OREt5TmFOSSIsIAogICJ0eXBlIjogImh0dHAtMDEiLCAKICAicmVzb3VyY2UiOiAiY2hhbGxlbmdlIgp9",
  "signature": "HBJ4rFUUBNpgDJ_SAnecLaJ3PBrAB5km02VXZRyXxqlkfKQfe041-OqjsUl28kV80k43-uGxJX_e989x8sC9kkfamwXC17w9ul2Dw_CLdzt4teGJl7rIuQ07qGKrS9XWGIm03Gs-_atFdNCiPZ5sq59oFBfZdgHks_FBWxU6kWcIKzEwEQxXpxItWpGs8ey-c0DX3SPtLNd4tNxAx9DAqFI4BwgPolMGYkaEgqWzSTSursI1z62MVfWh1k1mgFWXOYih7PUmk65PDM40yPYcJ7Vu-xYoo-2ijdJaA"
}
https://acme-staging.api.letsencrypt.org:443 "POST /acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219188 HTTP/1.1" 202 338
Received response:
HTTP 202
Server: nginx
Content-Type: application/json
Content-Length: 338
Boulder-Requester: 4935514
Link: <https://acme-staging.api.letsencrypt.org/acme/authz/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI>;rel="up"
Location: https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219188
Replay-Nonce: WwA98n5LDQUVGG7J2xtKr6lmM5QcZJUtqGCCAN2iY8k
Expires: Fri, 20 Oct 2017 13:30:43 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 20 Oct 2017 13:30:43 GMT
Connection: keep-alive

{
  "type": "http-01",
  "status": "pending",
  "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219188",
  "token": "Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE",
  "keyAuthorization": "Rj_4NgcxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxKyNaNI"
}
Storing nonce: WwA98n5LDQUVGG7J2xtKr6lmM5QcZJUtqGCCAN2iY8k
Sending GET request to https://acme-staging.api.letsencrypt.org/acme/authz/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI.
https://acme-staging.api.letsencrypt.org:443 "GET /acme/authz/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI HTTP/1.1" 200 1947
Received response:
HTTP 200
Server: nginx
Content-Type: application/json
Content-Length: 1947
Link: <https://acme-staging.api.letsencrypt.org/acme/new-cert>;rel="next"
Replay-Nonce: ubtVhVQ38AQRDtwi62NoiqF3i5UMY0CLiixlGbOcP-8
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Expires: Fri, 20 Oct 2017 13:30:46 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 20 Oct 2017 13:30:46 GMT
Connection: keep-alive

{
  "identifier": {
    "type": "dns",
    "value": "mijndomain.nl"
  },
  "status": "invalid",
  "expires": "2017-10-27T13:30:43Z",
  "challenges": [
    {
      "type": "dns-01",
      "status": "pending",
      "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219187",
      "token": "J3d3ZFSaYy060uS0nVDZtafMpYo_Myx-ulCHTZDZQYk"
    },
    {
      "type": "http-01",
      "status": "invalid",
      "error": {
        "type": "urn:acme:error:unauthorized",
        "detail": "Invalid response from http://mijndomain.nl/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE: \"\u003c!DOCTYPE html\u003e\n\u003chtml\u003e\n\t\u003chead\u003e\n\t\t\u003clink rel=\"icon\" href=\"/img/favicon.png\" sizes=\"16x16\"\u003e\n\t\t\u003cmeta http-equiv=\"Content-Type\" conte\"",
        "status": 403
      },
      "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219188",
      "token": "Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE",
      "keyAuthorization": "Rj_4NgcH2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxNI",
      "validationRecord": [
        {
          "url": "http://mijndomain.nl/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE",
          "hostname": "mijndomain.nl",
          "port": "80",
          "addressesResolved": [
            "IP_ADDRESS_VAN_mijndomain.nl",
            "IPHEX_ADDRESS_VAN_mijndomain.nl"
          ],
          "addressUsed": "IPHEX_ADDRESS_VAN_mijndomain.nl",
          "addressesTried": []
        }
      ]
    },
    {
      "type": "tls-sni-01",
      "status": "pending",
      "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/EfVvmNYtnzZk11_HRsFt8wNK-uWOsrUPIYDO0uJaERI/70219189",
      "token": "-LTRvsgEf7MS5eu2WuOpNySXx_aQBcZqN9EW-j_6Gfk"
    }
  ],
  "combinations": [
    [
      1
    ],
    [
      0
    ],
    [
      2
    ]
  ]
}
Reporting to user: The following errors were reported by the server:

Domain: mijndomain.nl
Type:   unauthorized
Detail: Invalid response from http://mijndomain.nl/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE: "<!DOCTYPE html>
<html>
        <head>
                <link rel="icon" href="/img/favicon.png" sizes="16x16">
                <meta http-equiv="Content-Type" conte"

To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.
Cleaning up challenges
Removing /var/www/virtual/mijndomain/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE
Unable to clean up challenge directory /var/www/virtual/mijndomain/.well-known/acme-challenge
Error was: [Errno 39] Directory not empty: '/var/www/virtual/mijndomain/.well-known/acme-challenge'
Exiting abnormally:
Traceback (most recent call last):
  File "/usr/bin/certbot", line 11, in <module>
    load_entry_point('certbot==0.17.0', 'console_scripts', 'certbot')()
  File "/usr/lib/python2.7/dist-packages/certbot/main.py", line 753, in main
    return config.func(config, plugins)
  File "/usr/lib/python2.7/dist-packages/certbot/main.py", line 692, in certonly
    lineage = _get_and_save_cert(le_client, config, domains, certname, lineage)
  File "/usr/lib/python2.7/dist-packages/certbot/main.py", line 82, in _get_and_save_cert
    lineage = le_client.obtain_and_enroll_certificate(domains, certname)
  File "/usr/lib/python2.7/dist-packages/certbot/client.py", line 357, in obtain_and_enroll_certificate
    certr, chain, key, _ = self.obtain_certificate(domains)
  File "/usr/lib/python2.7/dist-packages/certbot/client.py", line 318, in obtain_certificate
    self.config.allow_subset_of_names)
  File "/usr/lib/python2.7/dist-packages/certbot/auth_handler.py", line 81, in get_authorizations
    self._respond(resp, best_effort)
  File "/usr/lib/python2.7/dist-packages/certbot/auth_handler.py", line 138, in _respond
    self._poll_challenges(chall_update, best_effort)
  File "/usr/lib/python2.7/dist-packages/certbot/auth_handler.py", line 202, in _poll_challenges
    raise errors.FailedChallenges(all_failed_achalls)
FailedChallenges: Failed authorization procedure. mijndomain.nl (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://mijndomain.nl/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE: "<!DOCTYPE html>
<html>
        <head>
                <link rel="icon" href="/img/favicon.png" sizes="16x16">
                <meta http-equiv="Content-Type" conte"
Failed authorization procedure. mijndomain.nl (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://mijndomain.nl/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE: "<!DOCTYPE html>
<html>
        <head>
                <link rel="icon" href="/img/favicon.png" sizes="16x16">
                <meta http-equiv="Content-Type" conte"

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: mijndomain.nl
   Type:   unauthorized
   Detail: Invalid response from
   http://mijndomain.nl/.well-known/acme-challenge/Rj_4NgcH2UPzL1OHOvr2RahgWa3ZKUBgI6yWzQjHlPE:
   "<!DOCTYPE html>
   <html>
           <head>
                   <link rel="icon" href="/img/favicon.png"
   sizes="16x16">
                   <meta http-equiv="Content-Type" conte"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

[ Voor 73% gewijzigd door Kelfox op 20-10-2017 15:42 . Reden: alle verbose logging bijgevoegd. ]

vrijdag 20 oktober 2017 15:44

Acties:

Kelfox

Topicstarter

In de verbose log valt mij alleen op dat de addressesTried leeg is. Dus domain resolved naar juiste ip-adres, maar vervolgens gebeurt er niets.

vrijdag 20 oktober 2017 18:24

Acties:

Kelfox

Topicstarter

Waarschijnlijk is dit het probleem:
De dnsnaam van mijn domain heeft een AAAA record (ipv6). Letsencrypt prefereert eerst ipv6, en het AAAA dns record wijst niet naar mijn server, maar die van de provider.

Oplossing is dus om de AAAA records te verwijderen, of te laten wijzen naar je server ip en daar dan nginx te configureren voor ipv6.

Pf......... goed weekend

Pagina: 1

Reageer