Let's Encrypt 证书续订失败

我想我已经多年没见过 Let’s Encrypt 证书无法续期的情况了，但过去一两周里，我有三个站点的证书都过期了。重建可以解决问题，而我此前一直未能从日志中寻找线索。

下次在修复站点之前，我会多做些工作来诊断问题。

请参阅：

• Transitioning to ISRG's Root - Let's Encrypt
• DST Root CA X3 Expiration (September 2021) - Let's Encrypt

谢谢，Daniela！这看起来确实可能有关联，但我不知道该如何处理，也不清楚如何判断某个网站是否应强制获取新证书。我刚刚检查了几个网站，其中多个在过去几天内已更新证书。我认为在所有情况下，证书都已过期（我仅双重检查了刚刚修复的那一个）。因此，我越想越觉得这无法解释该问题——除非其中一些网站使用的基础镜像过于陈旧，导致无法获取新证书，因为该基础镜像中的根证书已过时？

啊！这可能就是原因。我管理的另一个基于 Docker 的 Debian 9 网站在使用 curl 时出现错误，因为其基础镜像存在问题。

这些站点中的 Discourse 基础镜像版本有多旧？请提供确切的镜像标签。

这是刚升级过的站点上的镜像列表（看来该运行 ./launcher cleanup 了！）。所以版本应该是 2.0.20210528-1735 吧？

REPOSITORY                      TAG                 IMAGE ID            CREATED             SIZE
local_discourse/app             latest              dab985be22b0        17 分钟前           2.84GB
discourse/base                  2.0.20210528-1735   482386bf57af        4 个月前            2.36GB
<none>                          <none>              38be7702e0fc        5 个月前            2.75GB
discourse/base                  2.0.20210415-1332   30e4746e631e        5 个月前            2.23GB
discourse/base                  2.0.20201221-2020   c0704d4ce2b4        9 个月前            2.11GB
discourse/base                  2.0.20201004-2310   b64c37d7ab06        12 个月前           2.4GB
discourse/base                  2.0.20200429-2110   dc919e1dae2c        17 个月前           2.13GB
local_discourse/mail-receiver   latest              711fb527de35        21 个月前           128MB
discourse/base                  2.0.20191219-2109   4a99baef7044        21 个月前           2.23GB
discourse/mail-receiver         release             06fe375fe2c8        22 个月前           128MB
discourse/base                  2.0.20190901-2315   10f636afbeaf        2 年前             2.29GB
discourse/base                  2.0.20190625-0946   2b3a5b47565f        2 年前             1.93GB
discourse/base                  2.0.20190505-2322   ed87227f60d2        2 年前             1.91GB
discourse/base                  2.0.20190321-0122   7db99586b5b5        2 年前             1.97GB
discourse/mail-receiver         1.1.2               44042627246b        4 年前             142MB

这是最后一个证书的证书信息：

签发时间：2021 年 6 月 26 日 星期六 19:31:09
过期时间：2021 年 9 月 24 日 星期五 19:31:08

不过似乎并不是所有站点或大多数站点都出现了这种情况。

没错。这已经是第三次发生了，每次我都把让站点恢复上线作为首要任务。下次我会尽量做好记录。

在日志中可以看到对 acme.sh 的调用，但输出被重定向到了 /dev/null。

哦，所以这里的信息丢失了。我们需要知道旧 local_discourse/app 的父层来源是什么。

我有一个使用最新镜像的测试站点，证书上周也顺利续期了。

是的。我刚刚查看了其他几个站点，它们也都正常。

我想我本应该给这个打上 #mystery 标签。

我遇到了同样的问题。只需重新构建，但我的 Discourse Let’s Encrypt 证书无法续期。
我该如何检查我的安装？

已解决重建并等待中

啊哈！就是那个与使用 ZeroSSL 作为默认 CA 有关的错误。我现在想起来，这在最近一段时间里曾是个问题。

这是我尚未重新构建的一个示例：

root@community:~# docker ps
CONTAINER ID   IMAGE                           COMMAND        CREATED        STATUS      PORTS                                      NAMES
9b97fe9b5c22   local_discourse/web_only        "/sbin/boot"   9 months ago   Up 5 days   0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp   web_only
b3eae8a90cd7   local_discourse/mail-receiver   "/sbin/boot"   9 months ago   Up 5 days   0.0.0.0:25->25/tcp                         mail-receiver
5e90805e6d0d   local_discourse/data            "/sbin/boot"   9 months ago   Up 5 days                                              data
root@community:~# docker images
REPOSITORY                      TAG                 IMAGE ID       CREATED         SIZE
local_discourse/web_only        latest              ffd890f053e7   9 months ago    2.39GB
local_discourse/mail-receiver   latest              0d49c641ca25   9 months ago    128MB
<none>                          <none>              e53ed7c5db0f   9 months ago    2.34GB
local_discourse/data            latest              8c1539b06db4   9 months ago    2.15GB
discourse/base                  2.0.20201221-2020   c0704d4ce2b4   9 months ago    2.11GB
discourse/base                  2.0.20201208-1739   9da970f9c0bd   9 months ago    2.1GB
discourse/mail-receiver         release             06fe375fe2c8   22 months ago   128MB

当我在容器中运行 acme 命令时，得到以下输出：

root@community-web-only:/# "/shared/letsencrypt"/acme.sh --cron --home "/shared/letsencrypt" 
[Mon 04 Oct 2021 02:01:39 PM UTC] ===Starting cron===
[Mon 04 Oct 2021 02:01:39 PM UTC] Already uptodate!
[Mon 04 Oct 2021 02:01:39 PM UTC] Upgrade success!
[Mon 04 Oct 2021 02:01:39 PM UTC] Auto upgraded to: 3.0.1
[Mon 04 Oct 2021 02:01:39 PM UTC] Renew: 'community.thedaily9.in'
[Mon 04 Oct 2021 02:01:41 PM UTC] Using CA: https://acme.zerossl.com/v2/DV90
[Mon 04 Oct 2021 02:01:41 PM UTC] No EAB credentials found for ZeroSSL, let's get one
[Mon 04 Oct 2021 02:01:41 PM UTC] acme.sh is using ZeroSSL as default CA now.
[Mon 04 Oct 2021 02:01:41 PM UTC] Please update your account with an email address first.
[Mon 04 Oct 2021 02:01:41 PM UTC] acme.sh --register-account -m my@example.com
[Mon 04 Oct 2021 02:01:41 PM UTC] See: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[Mon 04 Oct 2021 02:01:41 PM UTC] Please check log file for more details: /shared/letsencrypt/acme.sh.log
[Mon 04 Oct 2021 02:01:41 PM UTC] Error renew community.thedaily9.in.
[Mon 04 Oct 2021 02:01:41 PM UTC] Renew: 'community.thedaily9.in'
[Mon 04 Oct 2021 02:01:43 PM UTC] Using CA: https://acme.zerossl.com/v2/DV90
[Mon 04 Oct 2021 02:01:43 PM UTC] No EAB credentials found for ZeroSSL, let's get one
[Mon 04 Oct 2021 02:01:43 PM UTC] acme.sh is using ZeroSSL as default CA now.
[Mon 04 Oct 2021 02:01:43 PM UTC] Please update your account with an email address first.
[Mon 04 Oct 2021 02:01:43 PM UTC] acme.sh --register-account -m my@example.com
[Mon 04 Oct 2021 02:01:43 PM UTC] See: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[Mon 04 Oct 2021 02:01:43 PM UTC] Please check log file for more details: /shared/letsencrypt/acme.sh.log
[Mon 04 Oct 2021 02:01:43 PM UTC] Error renew community.thedaily9.in_ecc.
[Mon 04 Oct 2021 02:01:43 PM UTC] ===End cron===
root@community-web-only:/# 

我认为这个提交解决了该问题，我敢打赌出现此问题的网站都位于该提交之前。

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.