Let’s Encryptの取得や自動更新が失敗する場合の確認ポイント

Let’s EncryptでWebサイトのSSLサーバー証明書の取得や更新に失敗することがあります。Webサイトの実在確認方式で更新を行う場合には

http(80)番ポートでWebサイトへ自動で生成される
/.well-known/acme-challenge/xxxxxx
へWAN側のサーバーからアクセスを行い実在確認を行います

失敗する場合の原因としては、/.well-known/acme-challenge/xxxxxx に正常にアクセスできない場合に更新に失敗します

 

Webサイトへのアクセスが出来ない

  •  https(443)のみをアクセス許可して、http(80)をブロックしている
  •  WebサイトにSSLクライアント認証やOTP認証などの認証が設定されている

リバースプロキシで運用している

リバースプロキシで運用の場合に、/.well-known/acme-challenge/xxxxxx にアクセスができないと更新に失敗します

回避策は、更新時にはリバースプロキシをオフにして /.well-known/acme-challenge/xxxxxx にアクセスを許可します

 

 

Firewallでブロックしている

実在確認は、WAN側のランダムな5台のサーバーから /.well-known/acme-challenge/xxxxxx にアクセスを行います

外部の3台のサーバーからのアクセスが成功の場合でも、残り2台からのアクセスが出来ないと更新に失敗します

例えば、Firewallで国別でWebアクセスをブロックしている場合に、当該の外部サーバーがブロックされて更新に失敗します

Let’s Encryptのログ

 Timeout during connect (likely firewall problem)

タイムアウト&ファイヤーオールの問題の可能性の記述がある場合、Firewallでブロックしてる可能性があります

 

Webサーバー側のアクセスログ

 

正常な場合(5台のサーバーからWebサイトへのアクセス)

 

 

3.135.xxx.yyy – – [15/May/2024:16:06:45 +0900] “GET /.well-known/acme-challenge/oSS9JuZUqxT6BsZAZmfmcG0Pwv_80fm4ng_GaQ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

18.142.xxx.yyy – – [15/May/2024:16:06:45 +0900] “GET /.well-known/acme-challenge/oSS9JuZUqxT6BsZAZmfmcG0Pwv_80fm4ng_GaQ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

16.170.xxx.yyy – – [15/May/2024:16:06:45 +0900] “GET /.well-known/acme-challenge/oSS9JuZUqxT6BsZAZmfmcG0Pwv_80fm4ng_GaQ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

18.236.xxx.yyy – – [15/May/2024:16:06:47 +0900] “GET /.well-known/acme-challenge/oSS9JuZUqxT6BsZAZmfmcG0Pwv_80fm4ng_GaQ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

23.178.xxx.yyy – – [15/May/2024:16:06:48 +0900] “GET /.well-known/acme-challenge/oSS9JuZUqxT6BsZAZmfmcG0Pwv_80fm4ng_GaQ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

 

Firewallでブロックの場合(4台目以降のWebへのアクセスが無い)

 

 

35.91.xxx.yyy – – [15/May/2024:15:18:46 +0900] “GET /.well-known/acme-challenge/la02J9tKqOVSMEnShZHmB1M5BkYKwaQVhsJ3oIJ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

66.133.xxx.yyy – – [15/May/2024:15:18:47 +0900] “GET /.well-known/acme-challenge/la02J9tKqOVSMEnShZHmB1M5BkYKwaQVhsJ3oIJ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

18.226.xxx.yyy – – [15/May/2024:15:18:56 +0900] “GET /.well-known/acme-challenge/la02J9tKqOVSMEnShZHmB1M5BkYKwaQVhsJ3oIJ HTTP/1.1” 200 87 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

 

規定回数以上、更新に失敗している

一定期間に、規定回数以上に更新に失敗すると「正常な環境」であっても、更新ができません