Abbiamo un problema con il rinnovo SSL di certbot. Abbiamo diversi siti sotto /etc/nginx/sites-available/.
Abbiamo questo blocco di posizione per la directory .well-known
location ~ /\\.well-known {
auth_basic off;
root /etc/letsencrypt;
allow all;
}
e abbiamo configurazioni di rinnovo per ogni sito nella directory /etc/letsencrypt/renewal.
Questo è un esempio per uno di essi.
#renew_before_expiry = 30 days
version = 2.7.4
archive_dir = /etc/letsencrypt/archive/redacted.com
cert = /etc/letsencrypt/live/redacted.com/cert.pem
privkey = /etc/letsencrypt/live/redacted.com/privkey.pem
chain = /etc/letsencrypt/live/redacted.com/chain.pem
fullchain = /etc/letsencrypt/live/redacted.com/fullchain.pem
#Options used in the renewal process
[renewalparams]
allow_subset_of_names = True
account = 670273d7a9a89f2d3494cf6e38739b1c
rsa_key_size = 4096
post_hook = /bin/systemctl reload nginx
authenticator = webroot
webroot_path = /etc/letsencrypt,
server = https://acme-v02.api.letsencrypt.org/directory
key_type = rsa
[[webroot_map]]
redacted.com = /etc/letsencrypt
La nostra versione di certbot è 2.7.4, siamo passati da 1.32.0 e non ha funzionato nemmeno quello.
Sappiamo che il nostro problema è correlato a ip6tables ma abbiamo già regole ACCEPT per le porte 443 e 80.
Quando proviamo ad accedere ai file acme-challenge durante certbot renew --dry-run possiamo accedere ai file con successo. Quindi le porte 80 e 443 non dovrebbero essere il problema.
Quando cambiamo il filtro INPUT di ip6tables da DROP a ACCEPT, tutti i siti possono rinnovare, ma quando usiamo il filtro INPUT DROP, la maggior parte dei siti non riesce a rinnovare con questo errore.
Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems:
Domain: redacted.com
Type: connection
Detail: xxx.xxx.xxx.xxx: Fetching https://redacted.com/.well-known/acme-challenge/EIJFF3UFqtZJCZtG_Kv9Ca7BGA5LiuBdb9JIWxXIhVg: Timeout during connect (likely firewall problem)
Abbiamo già provato con il set minimo di regole e abbiamo provato ad aggiungere regole ACCEPT per le porte 80 e 443 in cima alla catena di input, ma non ha funzionato nemmeno. Quindi siamo bloccati qui.
Un esempio di configurazione nginx si trova nelle righe seguenti.
server {
listen [::]:80;
server_name .redacted.com;
return 301 https://redacted.com$request_uri;
}
server {
listen [::]:443 ssl http2;
server_name redacted.com;
access_log /var/www/log/access/redacted.access.log main buffer=32k;
error_log /var/www/log/error/redacted.com.error.log notice;
limit_conn gulag 200;
root /var/www/web/redacted.com/web;
index index.php;
ssl_certificate /etc/letsencrypt/live/redacted.com/fullchain.pem;
ssl_trusted_certificate /etc/letsencrypt/live/redacted.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/redacted.com/privkey.pem;
include ssl_params;
## Standard site protection
include snippets/standard.conf;
location ~ /\\.well-known {
auth_basic off;
root /etc/letsencrypt;
allow all;
}
## Deny illegal Host headers
if ($host !~* ^(redacted.com|redacted.com)$ ) {
return 444;
break;
}
## Drupal configuration
include snippets/drupal7-php7.4.conf;
## php handling
include snippets/php7.4.conf;
}
A proposito, possiamo vedere codici HTTP 200 nei log di nginx per i file acme durante il rinnovo di certbot.