Let's Encrypt : fichiers *.cer vides

Soutien Installation
1

Je ne parviens pas à me connecter à une nouvelle installation standard de 30 minutes (discourse/docs/INSTALL-cloud.md at main · discourse/discourse · GitHub). AWS Lightsail, 2 Go de mémoire, Ubuntu 18.04 LTS x64 avec le port :443 ouvert. Le problème est que les fichiers *.cer de Let’s Encrypt sont vides. Pourquoi ?

Journaux nginx

root:/var/log/nginx# ls -ltrh
-rw-r–r-- 1 www-data www-data 0 Dec 6 05:45 error.letsencrypt.log
-rw-r–r-- 1 www-data www-data 0 Dec 6 05:45 access.letsencrypt.log
-rw-r–r-- 1 www-data www-data 1.8M Dec 6 08:19 error.log

tail error.log
PEM_read_bio_X509_AUX() failed (SSL: error:0909006C:PEM routines:get_name:no start line:Expecting: TRUSTED CERTIFICATE)

Les fichiers de certificat sur le site qui ne fonctionne pas. Notez la taille zéro des fichiers.

ls /shared/ssl/ -ltrh
-rw------- 1 root root 3.2K Dec 6 08:16 test.example.com.key
-rw-r–r-- 1 root root 0 Dec 6 08:16 test.example.com.cer
-rw------- 1 root root 302 Dec 6 08:16 test.example.com_ecc.key
-rw-r–r-- 1 root root 0 Dec 6 08:16 test.example.com_ecc.cer

Comparaison avec les fichiers de certificat sur un site fonctionnel

ls /shared/ssl/ -ltrh
-rw-r–r-- 1 root root 3.2K Nov 25 07:41 forum.working.com.key
-rw-r–r-- 1 root root 3.9K Nov 25 07:41 forum.working.com.cer
-rw------- 1 root root 302 Nov 29 00:11 forum.working.com_ecc.key
-rw-r–r-- 1 root root 3.3K Nov 29 00:11 forum.working.com_ecc.cer

J’ai reconstruit, redémarré et essayé une autre adresse e-mail dans LETSENCRYPT_ACCOUNT_EMAIL dans app.yml.

2

Cela m’est arrivé hier et je pense que le problème venait du fait que le nom de domaine ne résolvait pas vers le serveur (j’utilisais le mauvais nom d’hôte). discourse-setup effectue un test qui devrait détecter cela, cependant.

Supprimez les répertoires ssl et let’s encrypt de /var/discourse/shared/standalone après avoir corrigé le problème DNS.

3

Merci @pfaffman, cela a résolu le problème. Dans mon cas, lorsque j’ai lancé discourse-setup pour la première fois, je n’avais pas encore configuré le DNS, donc le test a échoué. À ce moment-là, j’ai corrigé le DNS et appuyé sur “n” pour réessayer ; cette fois, le test a réussi et la construction a continué, mais avec des fichiers de certificat de taille zéro.

Je pense qu’il s’agit d’un bug et j’essaierai de le reproduire quand j’aurai le temps. Peut-être que la configuration vérifie simplement si les fichiers de certificat existent, mais devrait vérifier s’ils sont valides, ou du moins pas de taille zéro.