Обычно мы используем простой тест: создайте файл с именем 1234 (без расширения), содержащий «5678», в каталоге, из которого nginx обслуживает файл проверки. Если вы можете открыть этот файл в браузере на телефоне (используя мобильную связь, а не Wi-Fi), то серверы аутентификации Let’s Encrypt (один основной и три резервных) тоже смогут это сделать.
Хотя стоит добавить, что второй сервер с аналогичной ситуацией статического IP-адреса, на котором не запущен Discourse, но работает Apache для других сайтов (насколько я помню, сейчас с Certbot, но нужно уточнить), регулярно и без проблем обновляет сертификаты.
Это хороший знак с точки зрения внешней инфраструктуры. Что касается onion-маршрута, это означает, что мы ищем проблему от маршрута к серверу Discourse внутрь, к контейнеру acme.sh. Тот факт, что это работало какое-то время, а затем внезапно перестало, указывает на то, что вероятной причиной является либо какое-то обновление, либо изменение конфигурации.
Дайте знать, как только вы попробуете тест на ручное создание и доступ к файлу. Обычно это очень надежный тест.
Мы также используем этот инструмент для проверки ответа:
Адрес должен выглядеть так:
http://yourdomain.com/.well-known/acme-challenge/1234
Если тестирование файла 1234 вручную с телефона и через https://redirect-checker.org/ оба работают, это довольно явное указание на то, что источник ваших проблем — скрипт или параметры, используемые в процессе клиента ACME.
Бинго! Проблема решена. Корень зла заключался в плохом соединении через туннель, предоставляющий единственный IP-адрес, связанный с форумом Discourse. Хотя тесты через другие сайты, включая внешние, не выявили этого, ваш рекомендованный тест через мобильное устройство (о котором мне следовало подумать, но из-за всех остальных проведённых тестов я в этот раз просто не вспомнил) действительно показал проблему с производительностью. Судя по всему, она была настолько серьёзной, что препятствовала завершению обновления сертификатов (по маршруту, который использовал Let’s Encrypt). Как только туннель был выявлен как виновник, решение оказалось простым: немедленная пересборка приложения Discourse сразу же загрузила обновлённые сертификаты, и система вернулась к полной работоспособности. Спасибо, Джонатан, и всем остальным! Желаю вам отличного наступающего Нового года!
Прекрасно!
Рады, что вопрос был решён так быстро!
С очень счастливым Новым годом!
