Q&A
CentOS6でApache2.2を利用した環境下なのですが、
httpd.confに
lang
1<Directory "/var/www/html"> 2SSLRequireSSL 3・・・・・
と記述し、ドキュメントルート以下全てを、
SSLのみ接続できようにしています。
httpからのリダイレクトもしていません。
前提・実現したいこと
Let's Encryptに乗り換えたのですが、
3ヶ月に1回とは言えサーバーを止めることができないので、
cronでwebrootでの更新を組んでいます。
httpd.confの末尾に
lang
1<Directory "/var/www/html/.well-known/acme-challenge"> 2 Order Allow,Deny 3 Allow from All 4</Directory>
として、更新時に認証ファイルにアクセスできる(と思い込み)設定し、
手動で証明書を更新すると問題なかった(と思う)ので、
特に気にしていなかったのですが、
いざ期限1ヶ月を切っても更新されず下記のエラーが出ました。、
発生している問題・エラーメッセージ
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Processing /etc/letsencrypt/renewal/ドメイン.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Cert is due for renewal, auto-renewing... Plugins selected: Authenticator webroot, Installer None Renewing an existing certificate Performing the following challenges: http-01 challenge for ドメイン Waiting for verification... Cleaning up challenges Attempting to renew cert (ドメイン) from /etc/letsencrypt/renewal/ドメイン.conf produced an unexpected error: Failed authorization procedure. ドメイン (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://ドメイン/.well-known/acme-challenge/英字羅列 "<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p". Skipping. All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/ドメイン/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/ドメイン/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 renew failure(s), 0 parse failure(s) IMPORTANT NOTES: - The following errors were reported by the server: Domain: ドメイン Type: unauthorized Detail: Invalid response from http://ドメイン/.well-known/acme-challenge/英字羅列 "<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p" To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.
試したこと
http://ドメイン/.well-known/acme-challenge/
以下にアクセスできていないと思い、
.well-knownにhtaccessを配置してhttpへのリダイレクトを試したり、
httpd.confに<Location>で.well-knownを全許可してみたり、
試してみましたが、うまくいきません。
SSLRequireSSLを.well-known以下だけ再帰的に解除できれば嬉しいのですが、
何か方法ないでしょうか。
宜しくお願いします。
回答1件
0
ベストアンサー
うーん…。いまいち SSLRequireSSL の必然性が良く分からないのですが。
非SSLで主要コンテンツに全くアクセスさせないなら、ポート80,443でバーチャルホストを分離し、ドキュメントルート自体を独立させれば良いので。
それはさておき、SSLRequireSSL をドキュメントルートにかけているのであれば、Let'sEncrypt用のコンテンツディレクトリを、ドキュメントルート外に置けば良いのではないでしょうか。
別に全てのコンテンツをドキュメントルート以下に設置しなければならないという決まりも(Apache的には)ないですし。Aliasを必要に応じて設定すれば。
ああ、ただSELinuxを有効にしていると、勝手に独自のディレクトリを使うことができないですね。そこは注意が必要です。
投稿2018/07/28 13:08
編集2018/07/28 13:11
総合スコア1672
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/07/31 09:45