Let's Encrypt ACME faalt ondanks _acme-challenge - Internet en hosting

Vraag

zondag 23 maart 2025 11:01

Acties:

0 Henk 'm!

Topicstarter

Ik ben gisteren overgestapt op MIJN.HOST aangezien deze support heeft voor LEGO DNS-01.

Ik ben nu een validatie aan het doen op de STAGING omgeving.
We voeren het volgende commando uit:

code:

MIJNHOST_PROPAGATION_TIMEOUT=180 MIJNHOST_API_KEY=DIE_IS_GEHEIM lego \
>   --email="ikke@mijndomein.com" \
>   --domains="dryrun.mijndomein.com" \
>   --domains="*.dryrun.mijndomein.com" \
>   --dns="mijnhost" \
>   --dns.resolvers="ns1.mijn.host:53,ns2.mijn.host:53,ns3.mijn.host:53" \
>   --server="https://acme-staging-v02.api.letsencrypt.org/directory" \
>   --path="/tmp/lego" \
>   --accept-tos \
>   run

Dit eindigt in een error

code:

2025/03/23 10:30:21 [INFO] [dryrun.mijndomein.com, *.dryrun.mijndomein.com] acme: Obtaining bundled SAN certificate
2025/03/23 10:30:22 [INFO] [*.dryrun.mijndomein.com] AuthURL: https://acme-staging-v02.api.letsencrypt.org/acme/authz/191041814/16513283914
2025/03/23 10:30:22 [INFO] [dryrun.mijndomein.com] AuthURL: https://acme-staging-v02.api.letsencrypt.org/acme/authz/191041814/16513283924
2025/03/23 10:30:22 [INFO] [*.dryrun.mijndomein.com] acme: use dns-01 solver
2025/03/23 10:30:22 [INFO] [dryrun.mijndomein.com] acme: Could not find solver for: tls-alpn-01
2025/03/23 10:30:22 [INFO] [dryrun.mijndomein.com] acme: Could not find solver for: http-01
2025/03/23 10:30:22 [INFO] [dryrun.mijndomein.com] acme: use dns-01 solver
2025/03/23 10:30:22 [INFO] [*.dryrun.mijndomein.com] acme: Preparing to solve DNS-01
2025/03/23 10:30:23 [INFO] [*.dryrun.mijndomein.com] acme: Trying to solve DNS-01
2025/03/23 10:30:23 [INFO] [*.dryrun.mijndomein.com] acme: Checking DNS record propagation. [nameservers=ns1.mijn.host:53,ns2.mijn.host:53,ns3.mijn.host:53]
2025/03/23 10:30:25 [INFO] Wait for propagation [timeout: 3m0s, interval: 2s]
2025/03/23 10:30:26 [INFO] [*.dryrun.mijndomein.com] acme: Waiting for DNS record propagation.
...
...
2025/03/23 10:33:25 [INFO] [*.dryrun.mijndomein.com] acme: Waiting for DNS record propagation.
2025/03/23 10:33:27 [INFO] [*.dryrun.mijndomein.com] acme: Cleaning DNS-01 challenge
2025/03/23 10:33:29 [INFO] [dryrun.mijndomein.com] acme: Preparing to solve DNS-01
2025/03/23 10:33:29 [INFO] [dryrun.mijndomein.com] acme: Trying to solve DNS-01
2025/03/23 10:33:29 [INFO] [dryrun.mijndomein.com] acme: Checking DNS record propagation. [nameservers=ns1.mijn.host:53,ns2.mijn.host:53,ns3.mijn.host:53]
2025/03/23 10:33:31 [INFO] Wait for propagation [timeout: 3m0s, interval: 2s]
2025/03/23 10:33:31 [INFO] [dryrun.mijndomein.com] acme: Waiting for DNS record propagation.
2025/03/23 10:33:33 [INFO] [dryrun.mijndomein.com] acme: Waiting for DNS record propagation.
...
...

2025/03/23 10:36:31 [INFO] [dryrun.mijndomein.com] acme: Waiting for DNS record propagation.
2025/03/23 10:36:33 [INFO] [dryrun.mijndomein.com] acme: Cleaning DNS-01 challenge
2025/03/23 10:36:35 [INFO] Deactivating auth: https://acme-staging-v02.api.letsencrypt.org/acme/authz/191041814/16513283914
2025/03/23 10:36:35 [INFO] Deactivating auth: https://acme-staging-v02.api.letsencrypt.org/acme/authz/191041814/16513283924
2025/03/23 10:36:35 Could not obtain certificates:
    error: one or more domains had a problem:
[*.dryrun.mijndomein.com] propagation: time limit exceeded: last error: authoritative nameservers: NS ns2.mijn.host.:53 returned REFUSED for _acme-challenge.dryrun.mijndomein.com.
[dryrun.mijndomein.com] propagation: time limit exceeded: last error: authoritative nameservers: NS ns3.mijn.host.:53 returned REFUSED for _acme-challenge.dryrun.mijndomein.com.

Het gekke is dat ik eigenlijk de challenge lijk te zien. Maar toch faalt het?

code:

host -t TXT _acme-challenge.dryrun.mijndomein.com ns1.mijn.host ; host -t TXT _acme-challenge.dryrun.mijndomein.com ns2.mijn.host ; host -t TXT _acme-challenge.dryrun.mijndomein.com ns3.mijn.host
Using domain server:
Name: ns1.mijn.host
Address: 5.254.117.200#53
Aliases: 

_acme-challenge.dryrun.mijndomein.com descriptive text "0km2QGgsfc0LwyayoWoEKb8v2bRg2waRd_WxYXLcnnI"
Using domain server:
Name: ns2.mijn.host
Address: 45.140.188.195#53
Aliases: 

_acme-challenge.dryrun.mijndomein.com descriptive text "0km2QGgsfc0LwyayoWoEKb8v2bRg2waRd_WxYXLcnnI"
Using domain server:
Name: ns3.mijn.host
Address: 83.96.241.95#53
Aliases: 

_acme-challenge.dryrun.mijndomein.com descriptive text "0km2QGgsfc0LwyayoWoEKb8v2bRg2waRd_WxYXLcnnI"

Getest met en zonder de "dns.resolvers". Lijken me overbodig toch? Hoewel de output dan wel iets anders is

code:

1	2025/03/23 09:51:52 [INFO] [*.dryrun.mijndomein.com] acme: Checking DNS record propagation. [nameservers=192.168.1.1:53]

code:

1	2025/03/23 10:30:23 [INFO] [*.dryrun.mijndomein.com] acme: Checking DNS record propagation. [nameservers=ns1.mijn.host:53,ns2.mijn.host:53,ns3.mijn.host:53]

Alle reacties

zondag 23 maart 2025 11:46

Acties:

0 Henk 'm!

dbzokphp

Dat is wel gek inderdaad. Het enige wat ik kan bedenken is dat er ergens iets niet goed gaat omdat je een wildcard op een subdomein probeert aan te vragen, hoewel het normaal wel zou moeten kunnen.
Je zou dit wellicht eens kunnen testen met het root domein.

Anders misschien de MIJNHOST_PROPAGATION_TIMEOUT nog hoger zetten, hoewel dat eigenlijk ook niet zou hoeven.

zondag 23 maart 2025 12:21

Acties:

0 Henk 'm!

MisterE

Topicstarter

ik had gisteravond ook al een "test" subdomein gemaakt (wist niet zeker of nodig) en soortgelijke test gedaan maar lijkt hetzelfde te eindigen

[ Voor 10% gewijzigd door MisterE op 23-03-2025 12:26 ]

zondag 23 maart 2025 12:59

Acties:

0 Henk 'm!

MisterE

Topicstarter

Eens een test gedaan met alleen het hoofddomein met langere tijd, dus:

code:

1 2	--domains="domein.com" MIJNHOST_PROPAGATION_TIMEOUT=600

Als ik inlog op het DNS control panel van MIJN.HOST dan zie ook de entry:

code:

1	_acme-challenge.domein.com. 120 TXT "_DPaMk4uuOXCh_qVJpixFy2EEoji_QM0O_1WtUYO46k"

Ook dit faalt. Nou is het wel zo dat ik alleen e-mail hosting gekozen heb bij MIJN.HOST. Zij moeten dus op het hoofddomein het cert regelen voor de webmail.

Maar met wat WHOIS sites zie ik ook echt de nameservers van hun.

[ Voor 3% gewijzigd door MisterE op 23-03-2025 13:23 ]

zondag 23 maart 2025 13:18

Acties:

0 Henk 'm!

MisterE

Topicstarter

Ik probeer nu met:

code:

1	--dns.propagation-disable-ans="true" \

Ik heb het idee dat de 2 hosters vechten om wie de authoritative is?

code:

1
2
3

2025/03/23 13:15:17 Could not obtain certificates:
    error: one or more domains had a problem:
[dryrun.mijndomein.com] invalid authorization: acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: During secondary validation: Incorrect TXT record "oqBA7axJAlvc04bQ6QBTRoUaqU5HTznW5HIdnvxG_Hw" found at _acme-challenge.dryrun.mijndomein.com

[ Voor 3% gewijzigd door MisterE op 23-03-2025 13:24 ]

zondag 23 maart 2025 17:37

Acties:

0 Henk 'm!

MisterE

Topicstarter

Ow bijzonder. Ging net een keer goed, toen gaf ik de opties mee:

code:

1 2	--dns.resolvers="ns1.mijn.host:53,ns2.mijn.host:53,ns3.mijn.host:53" \ --dns.propagation-disable-ans="true" \

Was wat aan het experimenteren zonder deze opties. Maar als ik nu weer hetzelfde commando uitvoer dan gaat het weer fout. Dus dat voelt alsof we geluk moeten hebben om op de juiste server(s) te komen.

code:

1	invalid authorization: acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: Incorrect TXT record

maandag 24 maart 2025 22:39

Acties:

0 Henk 'm!

MisterE

Topicstarter

Ok, gevonden.
Ging een lampje branden toen dit geen resultaat gaf maar ik hem WEL bij de provider in de webgui zag.

code:

1	dig TXT _acme-challenge.dryrun.mijndomein.com @ns1.mijn.host

Ik forceer namelijk poort 53 naar mijn opnsense DNS.
En dus komt request "ns1.mijn.host" vrolijk uit op Unbound.

Ik zou toch ook verwachten dat Unbound de setting ook moet overnemen? Maar wellicht is dat een timing issue. En dus de verklaring waarom het 1x goed ging.
Terug naar de tekentafel voor deze DNS hack

Pagina: 1

Reageer