いつも参考にさせていただいております。ありがとうございます。

certbot-autoでLet's Encryptの証明書新規取得時のエラー

新規ドメインを取得し、SSL証明書を取得しようとしましたが、何度やってもエラーが出ます。原因が分かりません。理由がお分かりになる方、ご教授願えませんでしょうか。よろしくお願い申し上げます。

環境

CentOS8のApache HTTPdがすでに動作しており、バーチャルホストで新規ドメインを追加したいです。

サーバの現状

すでに複数ドメインを運営しているため、ファイアウォール等の問題はなく、HTTPdも正常に動作しています。それらはSSLで動作しており、certbot-autoでLet's Encryptの証明書を取得したため、certbot-autoやwebrootプラグインも正常に動作しています。証明書は一つの証明書で複数ドメインに対応するもので、apacheのそのドメインのパスとドメイン名を複数羅列し取得したもので、正常に取得でき、動作も問題ないです。

やってみたこと

まずrevokeコマンドで、現在の証明書を削除。cert1.pemなど関連ファイルが削除されたことを確認。以下のようなコマンドで証明書を再取得しようとしました。

certbot-auto certonly --webroot -w /var/www/html1 -d example1.com -w /var/www/html2 -d example2.com -w /var/www/html3 -d example3.com

ところが、example3.comのみでエラーが出ます。試しに、

certbot-auto certonly --webroot -w /var/www/html1 -d example1.com -w /var/www/html2 -d example2.com

と、新規取得ドメインを除外して取得すると正常に取得できます。そこで、単一ドメインの証明書を取得しようとしましたが、同エラーでした。

certbot-auto certonly --webroot -w /var/www/html3 -d example3.com

##example3.comの状況
HTTPdのバーチャルホストにはすでに新規取得ドメインであるexample3.comは追加しています。SSL（<VirtualHost *:443>）に転送する設定などはせず、<VirtualHost *:80>に必要内容を記述しました。ドメイン取得後、十分な時間（一週間弱）経ったのでDNSも浸透し、example3.comのテストページはブラウザで（HTTPで）正常に表示されます。

エラーで表示されるhttp://example3.com/.well-known/acme-challenge/を実際に作ってみましたが、indexを置くとブラウザで正常に表示されます。

##エラーメッセージ
Some challenges have failed.

IMPORTANT NOTES:

The following errors were reported by the server:

Domain: example3.com
Type: connection
Detail: Fetching
http://example3.com/.well-known/acme-challenge/VcqjwTlpUVftevg98egW-K30993Npmb8-d3aZdi-Cxhg:
Connection refused

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.

##エラーメッセージの解読
要は、ドメイン確認のために一時的に作ったファイルにアクセスできないよっていうことですよね。

まず、certbot-auto動作中の一瞬の間に確認したところ、上記の確認用テンポラリファイルが正常に作られていることは確認できたので、バーチャルホストのディレクトリの権限や所有者の問題は発生していない、ということになります。

次に、DNSなどの話ですが、先述の通り、http://example3.com/.well-known/acme-challenge/を実際に作ってみましたが、indexを置くとブラウザで正常に表示されます。そのため、DNSもファイアウォールもHTTPdの設定も正常であることが確認できます。

##他の問題は？
もちろん一度HTTPdを止めてからcertbot-autoしてますし、同様のコマンドで既存のバーチャルドメインの証明書の破棄→再取得は出来たので、サーバ環境に問題はなさそうです。DNSも正常のようですし、nslookupやdigでも正常に引けています。ブラウザでも正常に表示されることから、エラーメッセージにあるようなDNSのレコードにも問題はなさそうです。

##エラーの原因は？
特定の新規に取得した新ドメインのみで発生するエラーとなっています・・・。全く思い当たる節がありません。何かエラーの原因に思い当たるところがあればご教授願えませんでしょうか。

よろしくお願い申し上げます。

退会済みユーザー

2020/04/12 06:08

DNS登録してないか、DNSが浸透する前にやっているか。

TaichiYanagiya

2020/04/12 06:45

certbot のログを調べると何かわかるかもしれません。例えば、example3.com の VirtualHost が複数存在すると、httpd では最初の設定が有効になりますが、certbot は別の VirtualHost 設定箇所に .well-known 用の Alias を追加して、外部から確認できないなど。

Ponkun

2020/04/12 08:45

> Kosuke_Shibuyaさんご回答ありがとうございます。そうですよね。現状でnslookupやdigで正常に引けてるとはいえ、取得し、ネームサーバ登録後一週間のドメインなので、サーバに問題なければ、DNS浸透問題くらいしか思い当たらないですよね・・・。＞TaichiYanagiyaさんご回答ありがとうございます。バーチャルホストの記述を確認しましたが、複数存在するといったことはありませんでした。ログは見ましたが詳しくは読んでないので、ちょっと読んでみますね。ありがとうございます！

退会済みユーザー

2020/04/12 09:31

あとはfirewall でしょうね