شهادة Let's Encrypt لم تتجدد تلقائيًا

مرحبًا،

لقد قمت بالبحث في هذا الموضوع، ولكن حسب ما أستطيع استنتاجه، وبما أنني استخدمت الطريقة الافتراضية في Discourse للحصول على شهادة Let’s Encrypt، فيجب أن يتم تجديدها تلقائيًا. لكن ذلك لم يحدث. (انظر الصورة أدناه)

بعد البحث في هذا المنتدى، قمت بتثبيت certbot عبر ssh، ولكن عند كتابة الأمر “certbot certificates”، لا يتم العثور حتى على الشهادة المنتهية الصلاحية، لذا فإن أمر “certbot renew” لا يفعل شيئًا.

هل هناك شيء أفتقده؟ ما الذي يجب عليّ فعله بالضبط لتجديد شهادتي في تثبيت Discourse؟

أرجو إعلامي. شكرًا لك!

2021-10-04_12-32-11444×1221 104 KB

ربما يكون هذا مرتبطًا؟ Letsencrypt certificate failure to renew

شكرًا لك يبدو أن الحل الموصى به هناك هو إعادة بناء التطبيق والانتظار. حسنًا، قمت بإعادة بناء التطبيق هذا الصباح كإجراء وقائي عام. إذا كان هذا هو الحل حقًا، فربما يُحل الأمر تلقائيًا لاحقًا اليوم؟

ما زال يظهر كأنه منتهي الصلاحية…

ما إصدار لينكس الذي تعمل عليه؟

هل قمت أيضًا بتشغيل apt-get update / upgrade؟

يبدو أنه Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-159-generic x86_64).

ونعم، قمت بتشغيل apt-get update و apt-get upgrade وأعدت تشغيل الخادم.

كنت آمل أن يقوم نوع من التحديث بحل المشكلة…

لقد قمت للتو بالتحقق من شهادتك. إنها سارية.

شكرًا لك، غافين. يُبلغ النظام بأنه صالح في متصفح كروم من جهتي، ولكن عند النقر على معلومات الشهادة نفسها، تظهر بأنها منتهية الصلاحية. (انظر لقطة الشاشة المرفقة)

هل تعرض تاريخ انتهاء صلاحية جديد وصالح؟

2021-10-04_13-00-02311×283 12.7 KB

2021-10-04_13-00-13444×117 14.4 KB

يبدو كل شيء جيدًا من جهتي.

تاريخ جديد وكل شيء

آه، جيد. ما زال التاريخ الصحيح غير ظاهر في متصفح كروم، حتى بعد مسح ذاكرة التخزين المؤقت للمتصفح، لكنني تحققت للتو في سفاري، ورأيت تاريخًا جديدًا وصحيحًا.

لذا، يبدو أن إعادة بناء التطبيق كان الحل، وآمل أن تكون المشكلة في كروم مجرد مشكلة في التخزين المؤقت.

شكرًا لك على التحقق من ذلك لي.

لا مشكلة، في أي وقت

أعتقد أن هذا هو الحال. قد يكون من الصعب أحيانًا جعل <بعض المتصفحات> تُبلغ عن الشهادة الصحيحة (وهذا أكثر مما أعرفه).

لقد شهدتُ عدة حالات كان لا بد فيها من مسح ذاكرة التخزين المؤقت وإعادة تشغيل Chrome قبل أن يظهر الشهادة الصالحة.

بعض المتصفحات تحتفظ بسلسلة ثقة مخزنة تتضمن شهادة الورقة القديمة X1 - التي أوقفتها LetsEncrypt. فتعاني هذه المتصفحات “اختناقًا” عندما تصل إلى تلك الشهادة القديمة وتكتشف أنها منتهية الصلاحية.
المعضلة: المتصفحات المحدثة سعيدة بسلسلة الثقة الأقصر الجديدة، بينما لا تزال المتصفحات الأقدم تريد سلسلة الثقة الأطول. الأمر كله يتعلق بتحديث كل شيء لتعزيز الأمان.

إحدى الطرق لتحديث خادمك باستخدام acme.sh الإصدار 3.0.1 أو أحدث لاستخدام سلسلة الثقة المفضلة هي:

Preferred Chain · acmesh-official/acme.sh Wiki · GitHub

تعيين سلسلة ISRG المفضلة الأقصر على مستوى النظام افتراضيًا مع letsencrypt، ثم تجديد جميع الشهادات:

acme.sh --upgrade
acme.sh --set-default-chain --preferred-chain "ISRG" --server  letsencrypt
acme.sh --renewAll --force

في الواقع، هذه واحدة من الحالات القليلة جدًا التي يكون فيها استخدام العلم --force مناسبًا.
لكن احذر… قد ترفض المتصفحات الأقدم سلسلة الثقة الأقصر وتصرّ على الحصول على الشهادة. ويمكن أيضًا تنزيل هذه كسلسلة ثقة بديلة. أعتقد أن Lets Encrypt توفر رابطًا مخصصًا لهذا الغرض. سأذهب إلى هناك للحصول عليه وأشاركه هنا.

Roger, JimPas. شكرًا لك. حتى بعد مسح ذاكرة التخزين المؤقت في Chrome وإعادة تشغيله، ما زلت أرى الشهادة القديمة. (لكن في متصفحات أخرى، يمكنني رؤية أن الشهادة قد تم تجديدها.)

أرجو إعلامي إذا تمكنت من العثور على رابط سلسلة الثقة البديلة.

شكرًا لك على مساعدتك!

هل قمت بتحديث متصفح كروم؟

اكتب هذا في شريط العناوين chrome://settings/help

نعتذر عن التأخير - حدثت حادثة صغيرة الليلة الماضية. إليك الروابط لتحميل شهادات X1 و X2 والشهادة الوسيطة للورقة.
شهادات جذر ISRG (تنسيق PEM):

ISRG Root X1
https://letsencrypt.org/certs/isrgrootx1.pem
ISRG Root X2
https://letsencrypt.org/certs/isrg-root-x2.pem

الشهادة الوسيطة (تنسيق PEM):

Let’s Encrypt R3
https://letsencrypt.org/certs/lets-encrypt-r3.pem