Perché non riesco a ottenere o rinnovare un certificato SSL per il mio nome di dominio KeenDNS?
Il rinnovo automatico o l'ottenimento di un certificato SSL potrebbero non funzionare nei seguenti casi:
Nella configurazione del router, le richieste alla porta
TCP/443vengono reindirizzate a un altro host sulla rete locale.Soluzione: Rimuovere le regole di inoltro per la porta
TCP/443.Il nome di dominio del server CDN del centro di certificazione non può essere risolto a causa del funzionamento errato del resolver DNS del provider Internet.
Soluzione: Provare a configurare la risoluzione dei nomi tramite server DNS DoT/DoH. Fare riferimento alle istruzioni Server proxy DoH e DoT per la crittografia delle richieste DNS.
Al momento del rinnovo o dell'ottenimento di un certificato SSL, la connessione al gateway dell'ISP non è stabile.
Soluzione: Verificare la stabilità della connessione all'ISP e contattarlo per la diagnostica.
La porta di gestione per il server NGINX integrato (predefinita
TCP/80) non è impostata. Le seguenti voci possono essere visualizzate nel registro di sistema del router:ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80. ndm: Core::Pki::Tools: certificate for "domain" is expired.
Soluzione: Se viene visualizzato questo messaggio di registro, significa che è necessario impostare la porta di controllo
TCP/80per il server web del router.L'ISP blocca il dominio e gli indirizzi IP del server CDN del centro di certificazione.
Soluzione: Provare a configurare il router per la connessione a Internet tramite un altro provider. Ad esempio, abilitare un punto de acceso sullo smartphone e collegarvi il router tramite una connessione WISP per accedere a Internet attraverso la rete dell'operatore mobile.
A causa di tentativi di connessione al server non riusciti, la parte remota ha messo in pausa il processo di ottenimento/rinnovo del certificato.
Ciò potrebbe attivare limiti di velocità sul server e le seguenti voci potrebbero apparire nel registro di sistema del router:
ndm: Acme::Tools: bad HTTP status: 429. ndm: Acme::Client: unable to issue certificate for "domain": too many failed retries.
Soluzione: Sarà necessario ripristinare le impostazioni di fabbrica e quindi attendere che il certificato venga rilasciato per il nome di dominio registrato in precedenza — l'ultimo utilizzato (non è necessario modificare il nome).
Importante! Si sconsiglia di caricare la configurazione del router salvata in precedenza (file startup-config).
Lo spazio massimo consentito per i record dei certificati SSL nella sezione
Config_Xdel sistema operativo KeeneticOS è stato superato. Nel registro di sistema verrà visualizzato il seguente errore:failed to store a new extended entry: new data size is too large
Soluzione: Eliminare i tunnel VPN configurati in precedenza. La configurazione di OpenVPN occupa la maggior parte dello spazio, quindi l'eliminazione di uno dei tunnel OpenVPN non utilizzati può essere d'aiuto.
L'ora di sistema non è sincronizzata. In questo caso, la revoca automatica e manuale del certificato non funziona e nel registro di sistema possono essere visualizzate le seguenti voci:
ndm: Acme::Client: start automatic revocation of certificate for domain "mydomain.keenetic.pro". ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred. ndm: Acme::Client: retry #2 after 20s. ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.
Soluzione: Controllare la connessione al gateway dell'ISP. Per la sincronizzazione automatica dell'ora di sistema del router è necessario un accesso stabile a Internet.
Si consiglia inoltre di controllare le impostazioni del server NTP nel sistema. Fare riferimento alle istruzioni Impostazioni dell'ora.