Omni II, 2.16.D.12.0-8. Поломано автообновление сертификатов?

[Pop70]

Сегодня обнаружил, что просрочен сертификат на домене ххх.keenetic.pro.

После перезапуска роутера, запись в журнале, что сертификат просрочен, и... И всё. Обновить даже не пытается (в отличии от ...kinetic.io, который "administrativly disabled").

Через CLI (ip http ssl acme get) обновился.

[Pop70]

Снова здорова!

Скажите хоть что-нибудь.

[Pop70]

Господа! Пожалуйста, объясните ситуацию!

Если уже где-то обсуждалось, ткните носом. Задолбало раз в месяц видеть отвалившийся по возрасту сертификат, и лезть в CLI.

[Pop70]

self-test и лог в cкрытом сообщении выше

[PASPARTU]

 

В 30.05.2022 в 03:09, Pop70 сказал:

Сегодня обнаружил, что просрочен сертификат на домене ххх.keenetic.pro.

После перезапуска роутера, запись в журнале, что сертификат просрочен, и... И всё. Обновить даже не пытается (в отличии от ...kinetic.io, который "administrativly disabled").

Через CLI (ip http ssl acme get) обновился.

Автоматическое продление/получение SSL-сертификата может не сработать в случаях, когда:  1. Запросы на порт TCP/443 перенаправлены на другой хост в локальной сети роутера.  Решение: Удалить правила переадресации для порта TCP/443.  2. Не резолвится доменное имя CDN-сервера центра сертификации в связи с некорректной работой DNS-резолвера провайдера.  Решение: Настроить резолвинг через DoT/DoH DNS-адрес "Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов". Не установлен порт управления для встроенного NGINX-сервера (по умолчанию TCP/80). В системном журнале можно увидеть следующие записи:  [E] Nov  7 17:29:11 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80. [E] Nov  7 17:29:18 ndm: Core::Pki::Tools: certificate for "domain" is expired.  Решение: Если в логе наблюдаете данную ошибку, это значит, что нужно установить TCP\80 порт управления для веб-сервера роутера.На стороне провайдера блокируются доменные и IP-адреса CDN-сервера центра сертификации acme-v02.api.letsencrypt.org  Решение: Подключить VPN-туннель и маршрутизировать весь трафик через шлюз VPN-провайдера. Например можно использовать Wireguard VPN: "Доступ в Интернет через VPN-провайдера по протоколу WireGuard".

[Pop70]

7 часов назад, PASPARTU сказал:

 

Автоматическое продление/получение SSL-сертификата может не сработать в случаях, когда:  1. Запросы на порт TCP/443 перенаправлены на другой хост в локальной сети роутера.  Решение: Удалить правила переадресации для порта TCP/443.  2. Не резолвится доменное имя CDN-сервера центра сертификации в связи с некорректной работой DNS-резолвера провайдера.  Решение: Настроить резолвинг через DoT/DoH DNS-адрес "Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов". Не установлен порт управления для встроенного NGINX-сервера (по умолчанию TCP/80). В системном журнале можно увидеть следующие записи:  [E] Nov  7 17:29:11 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80. [E] Nov  7 17:29:18 ndm: Core::Pki::Tools: certificate for "domain" is expired.  Решение: Если в логе наблюдаете данную ошибку, это значит, что нужно установить TCP\80 порт управления для веб-сервера роутера.На стороне провайдера блокируются доменные и IP-адреса CDN-сервера центра сертификации acme-v02.api.letsencrypt.org  Решение: Подключить VPN-туннель и маршрутизировать весь трафик через шлюз VPN-провайдера. Например можно использовать Wireguard VPN: "Доступ в Интернет через VPN-провайдера по протоколу WireGuard".

Вы лог посмотрели?

Я посмотрел, и не увидел даже попытки обновления сертификата на свой домен. Зато, была попытка обновить сертификат на служебый домен, и только на него.

Порты не перенаправлены, 80й порт открыт на морду роутера, 443 тоже, api сервер резолвится и доступен, вручную (через CLI) сертификат прекрасно обновляется.