论坛宕机，然后是关于防火墙配置的证书续订错误？

您好！

我的论坛昨晚宕机了，大约在 10 到 17 小时前（我无法精确说明）。页面似乎在加载缓存版本，并且很多资源未能加载。

我尝试停止并重新启动容器，但没有成功。

我重建了它（一次），现在出现了一个证书过期的消息。

https://www.ssllabs.com/ssltest/analyze.html?d=unicyclist.com 返回：
有效至 2022 年 4 月 13 日星期三 23:22:28 UTC（已过期 11 小时 15 分钟） EXPIRED

acme.sh.log 告诉我：

创建新订单错误。找不到 Le_OrderFinalize。 {
  "type": "urn:ietf:params:acme:error:rateLimited",
  "detail": "创建新订单时出错 :: 最近授权失败次数过多：请参阅 https://letsencrypt.org/docs/rate-limits/",
  "status": 429
}

我更仔细地查看了日志，发现之前从三月份开始，每天都有几次（根据我的日志，不足以触发 Letsencrypt 的速率限制）：

unicyclist.com:验证错误：获取 http://unicyclist.com/.well-known/acme-challenge/uSv1JIUxVs-Nn7Zn2cIZO355KGaqrtutELs4pgw67_Y：连接超时（可能是防火墙问题）

我在三月初在 Hetzner 上设置了这些防火墙规则：

image1450×747 38.2 KB

所以，基本上，我有几个问题：

1. 这些 Hetzner 防火墙规则可能是问题所在吗？如果是，缺少哪些规则可能导致此问题？顺便说一句，我现在已经删除了所有这些规则。

2. 为什么我今天早上在一次重建中收到了 10 次 unicyclist.com:验证错误：获取 […] 连接超时（可能是防火墙问题） 消息？一次重建会触发 Letsencrypt 的速率限制吗？

3. 既然我已经达到了速率限制，这是否意味着我的论坛基本上要停一周，而我无能为力？

我使用的解决方案是添加第二个主机名（例如 www，但也可以是任何名称），如 设置具有多个域名的 Let’s Encrypt 中所述，但我认为模板已发生了一些更改，导致这些说明不起作用。我几天前为另一个站点所做的是编辑 /etc/runit/1.d/letsencrypt，并在看到 -d realdomain 的地方添加 -d newdomain。然后确保新域指向你的服务器，然后运行 /etc/runit/1.d/letsencrypt。

你可能还需要打开 80 端口。我的理解是，当有有效证书时，不需要它，但你没有有效证书，所以我认为它需要从 80 端口读取才能启动。打开 80 端口没有坏处，因为有些人可能会尝试通过 http:// 访问，如果你打开了 80 端口，他们可以被重定向到 https。

我会努力更新这些说明，但我明天有卡车要来，与其在 meta 上发帖，不如准备搬家。

感谢您的回复！
使用新的域名/子域名是否需要重新烘焙所有帖子？
我有 160 万篇帖子。重新烘焙还会触发 Youtube 嵌入速率限制，就像我从 vBulletin 导入此论坛时遇到的那样。

使用临时新域名/子域名的缺点是我不拥有论坛托管的域名，这非常令人沮丧。所有者的回复可能会很慢，如果出现任何问题，还需要来回发送电子邮件……很不实用
我确实在 Challenge Types - Let's Encrypt 中看到，在某些“挑战”（我不知道 Discourse 在续订证书时使用哪种挑战）中，端口 80 应该是可用的。

除此之外，我真的很想了解一下在一次重建过程中似乎有 10 次挑战失败（这是否等于一次证书请求？）的情况。

也许官方的回复会很有趣？

因为如果由于某种原因这会触发比 Let’s Encrypt 的速率限制允许的更多的证书请求，那么它就不应该这样运行

acme.sh.log 摘录：

[Thu 14 Apr 2022 10:29:01 AM UTC] payload
[Thu 14 Apr 2022 10:29:01 AM UTC] POST
[Thu 14 Apr 2022 10:29:01 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:01 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header  -L '
[Thu 14 Apr 2022 10:29:01 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:01 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:01 AM UTC] Pending
[Thu 14 Apr 2022 10:29:01 AM UTC] sleep 2 secs to verify
[Thu 14 Apr 2022 10:29:03 AM UTC] checking
[Thu 14 Apr 2022 10:29:03 AM UTC] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:03 AM UTC] payload
[Thu 14 Apr 2022 10:29:03 AM UTC] POST
[Thu 14 Apr 2022 10:29:03 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:03 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header  -L '
[Thu 14 Apr 2022 10:29:04 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:04 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:04 AM UTC] unicyclist.com:Verify error:Fetching http://unicyclist.com/.well-known/acme-challenge/uSv1JIUxVs-Nn7Zn2cIZO355KGaqrtutELs4pgw67_Y: Timeout during connect (likely firewall problem)
[Thu 14 Apr 2022 10:29:04 AM UTC] pid

几秒钟后：

[Thu 14 Apr 2022 10:29:18 AM UTC] payload
[Thu 14 Apr 2022 10:29:19 AM UTC] POST
[Thu 14 Apr 2022 10:29:19 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157816830/tzknWw'
[Thu 14 Apr 2022 10:29:19 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header  -L '
[Thu 14 Apr 2022 10:29:19 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:19 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:19 AM UTC] unicyclist.com:Verify error:Fetching http://unicyclist.com/.well-known/acme-challenge/UUi8goql9f4QjXwqdk_CUISDmwUpLHqhrSqwbr5D2aY: Timeout during connect (likely firewall problem)
[Thu 14 Apr 2022 10:29:19 AM UTC] pid

在此次重建过程中，像这样进行了 10 次。

我对此了解不多，所以也许我完全误解了事情。

您应该打开端口 80。这是续订证书所必需的。此外，首次通过 HTTP 访问您网站的用户将无法访问，因为他们无法获得永久重定向到 HTTPS。

我重新配置了端口 80 可用，论坛已恢复在线。我无需等待一周。

谢谢！

太好了！ （关于我绕过 Let’s Encrypt 请求过多的方法，您无需更改论坛 URL，只需在证书请求中添加第二个域名即可。它可以是您拥有的任何其他域名，因此您可以将某个您拥有的域名指向论坛并按我建议的那样重建，但谢天谢地您不需要这样做。）

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.