Je pense que cela fait des années que je n’ai pas vu un certificat Let’s Encrypt échouer à se renouveler, mais j’ai eu trois sites au cours de la dernière semaine ou deux avec des certificats périmés. Une reconstruction résout le problème et, jusqu’à présent, je n’ai pas cherché d’indices dans les journaux.
La prochaine fois, je ferai un peu plus pour diagnostiquer le problème avant de le corriger pour le site.
Veuillez consulter :
Merci, Daniela ! Cela semble effectivement pouvoir être lié, mais je ne sais pas quoi faire dans ce cas ni comment déterminer si un site doit forcer l’obtention d’un nouveau certificat. Je viens de vérifier quelques sites et plusieurs ont renouvelé leur certificat ces derniers jours. À ma connaissance, dans tous les cas, le certificat avait expiré (je n’ai vérifié en détail que celui que je viens de corriger), donc plus j’y réfléchis, moins je pense que cela explique le problème — sauf si certains de ces sites utilisaient une image de base suffisamment ancienne pour échouer à récupérer un nouveau certificat parce que cette image de base contenait un certificat racine obsolète ?
AH ! Cela pourrait expliquer le problème. Un autre site basé sur Docker avec Debian 9 que je gère rencontre des erreurs avec curl car son image de base est défectueuse.
Quel est l’âge de l’image de base Discourse sur ces sites ? Veuillez partager l’étiquette exacte de l’image.
Voici la liste des images du site que je viens de mettre à niveau (il est temps de lancer ./launcher cleanup !). Donc, je suppose que c’était 2.0.20210528-1735 ?
REPOSITORY TAG IMAGE ID CREATED SIZE
local_discourse/app latest dab985be22b0 17 minutes ago 2.84GB
discourse/base 2.0.20210528-1735 482386bf57af 4 months ago 2.36GB
<none> <none> 38be7702e0fc 5 months ago 2.75GB
discourse/base 2.0.20210415-1332 30e4746e631e 5 months ago 2.23GB
discourse/base 2.0.20201221-2020 c0704d4ce2b4 9 months ago 2.11GB
discourse/base 2.0.20201004-2310 b64c37d7ab06 12 months ago 2.4GB
discourse/base 2.0.20200429-2110 dc919e1dae2c 17 months ago 2.13GB
local_discourse/mail-receiver latest 711fb527de35 21 months ago 128MB
discourse/base 2.0.20191219-2109 4a99baef7044 21 months ago 2.23GB
discourse/mail-receiver release 06fe375fe2c8 22 months ago 128MB
discourse/base 2.0.20190901-2315 10f636afbeaf 2 years ago 2.29GB
discourse/base 2.0.20190625-0946 2b3a5b47565f 2 years ago 1.93GB
discourse/base 2.0.20190505-2322 ed87227f60d2 2 years ago 1.91GB
discourse/base 2.0.20190321-0122 7db99586b5b5 2 years ago 1.97GB
discourse/mail-receiver 1.1.2 44042627246b 4 years ago 142MB
Voici les informations du certificat pour le dernier certificat :
Issued On Saturday, June 26, 2021 at 7:31:09 PM
Expires On Friday, September 24, 2021 at 7:31:08 PM
Cependant, cela ne semble pas concerner tous les sites, ni même beaucoup.
Exactement. C’est juste la troisième fois que cela arrive et à chaque fois, j’ai priorisé la remise en ligne du site. La prochaine fois, je ferai plus attention à prendre de meilleures notes.
On voit les appels à acme.sh dans les logs, mais la sortie est redirigée vers /dev/null.
Ah, donc l’information est perdue ici. Nous devrions savoir quelle était la source de la couche parente de l’ancien local_discourse/app.
J’ai un site de test avec la dernière image et le certificat a été renouvelé sans problème la semaine dernière.
Oui. Et je viens de vérifier une demi-douzaine d’autres, et ils sont tous bons aussi.
Je suppose que j’aurais dû taguer cela #mystery.
J’ai le même problème. J’ai simplement reconstruit, mais mon certificat Let’s Encrypt pour Discourse ne se renouvelle pas. Comment puis-je vérifier mon installation ?
Problème résolu : reconstruction en cours et attente.
Aha ! C’est cette erreur liée à l’utilisation de ZeroSSL comme autorité de certification (CA) par défaut. Je me souviens maintenant que c’était un problème il y a pas si longtemps.
En voici une que je n’ai pas encore reconstruite :
root@community:~# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9b97fe9b5c22 local_discourse/web_only "/sbin/boot" 9 months ago Up 5 days 0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp web_only
b3eae8a90cd7 local_discourse/mail-receiver "/sbin/boot" 9 months ago Up 5 days 0.0.0.0:25->25/tcp mail-receiver
5e90805e6d0d local_discourse/data "/sbin/boot" 9 months ago Up 5 days data
root@community:~# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
local_discourse/web_only latest ffd890f053e7 9 months ago 2.39GB
local_discourse/mail-receiver latest 0d49c641ca25 9 months ago 128MB
<none> <none> e53ed7c5db0f 9 months ago 2.34GB
local_discourse/data latest 8c1539b06db4 9 months ago 2.15GB
discourse/base 2.0.20201221-2020 c0704d4ce2b4 9 months ago 2.11GB
discourse/base 2.0.20201208-1739 9da970f9c0bd 9 months ago 2.1GB
discourse/mail-receiver release 06fe375fe2c8 22 months ago 128MB
Et lorsque j’exécute la commande acme dans le conteneur, voici ce que j’obtiens :
root@community-web-only:/# "/shared/letsencrypt"/acme.sh --cron --home "/shared/letsencrypt"
[Mon 04 Oct 2021 02:01:39 PM UTC] ===Démarrage du cron===
[Mon 04 Oct 2021 02:01:39 PM UTC] Déjà à jour !
[Mon 04 Oct 2021 02:01:39 PM UTC] Mise à niveau réussie !
[Mon 04 Oct 2021 02:01:39 PM UTC] Mise à niveau automatique vers : 3.0.1
[Mon 04 Oct 2021 02:01:39 PM UTC] Renouvellement : 'community.thedaily9.in'
[Mon 04 Oct 2021 02:01:41 PM UTC] Utilisation de l'AC : https://acme.zerossl.com/v2/DV90
[Mon 04 Oct 2021 02:01:41 PM UTC] Aucun identifiant EAB trouvé pour ZeroSSL, allons-en chercher un
[Mon 04 Oct 2021 02:01:41 PM UTC] acme.sh utilise désormais ZeroSSL comme autorité de certification par défaut.
[Mon 04 Oct 2021 02:01:41 PM UTC] Veuillez d'abord mettre à jour votre compte avec une adresse e-mail.
[Mon 04 Oct 2021 02:01:41 PM UTC] acme.sh --register-account -m my@example.com
[Mon 04 Oct 2021 02:01:41 PM UTC] Voir : https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[Mon 04 Oct 2021 02:01:41 PM UTC] Veuillez consulter le fichier journal pour plus de détails : /shared/letsencrypt/acme.sh.log
[Mon 04 Oct 2021 02:01:41 PM UTC] Erreur de renouvellement pour community.thedaily9.in.
[Mon 04 Oct 2021 02:01:41 PM UTC] Renouvellement : 'community.thedaily9.in'
[Mon 04 Oct 2021 02:01:43 PM UTC] Utilisation de l'AC : https://acme.zerossl.com/v2/DV90
[Mon 04 Oct 2021 02:01:43 PM UTC] Aucun identifiant EAB trouvé pour ZeroSSL, allons-en chercher un
[Mon 04 Oct 2021 02:01:43 PM UTC] acme.sh utilise désormais ZeroSSL comme autorité de certification par défaut.
[Mon 04 Oct 2021 02:01:43 PM UTC] Veuillez d'abord mettre à jour votre compte avec une adresse e-mail.
[Mon 04 Oct 2021 02:01:43 PM UTC] acme.sh --register-account -m my@example.com
[Mon 04 Oct 2021 02:01:43 PM UTC] Voir : https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[Mon 04 Oct 2021 02:01:43 PM UTC] Veuillez consulter le fichier journal pour plus de détails : /shared/letsencrypt/acme.sh.log
[Mon 04 Oct 2021 02:01:43 PM UTC] Erreur de renouvellement pour community.thedaily9.in_ecc.
[Mon 04 Oct 2021 02:01:43 PM UTC] ===Fin du cron===
root@community-web-only:/#
Je pense que ce commit résout le problème, et je parie que les sites concernés sont antérieurs à ce commit.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.