处理LetsEncrypt证书签发错误acme-v02.api.letsencrypt.org timeout

原创 已于 2022-08-25 11:07:46 修改 · 7.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #Letsencrypt #Certbot

于 2022-08-25 11:03:52 首次发布
本文介绍了解决Let's Encrypt证书续签时出现的读取超时错误问题,通过更换服务器的公网IP地址解决了该问题。

现象

LetsEncrypt证书过期后,使用certbot签发证书报错:

[root@my-aliyun-server bin]# sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
An unexpected error occurred:
requests.exceptions.ReadTimeout: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Read timed out. (read timeout=45)
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

从服务器ping acme-v02.api.letsencrypt.org 是通的

[root@my-aliyun-server bin]# ping acme-v02.api.letsencrypt.org
PING ca80a1adb12a4fbdac5ffcbc944e9a61.pacloudflare.com (172.65.32.248) 56(84) bytes of data.
64 bytes from 172.65.32.248 (172.65.32.248): icmp_seq=1 ttl=48 time=178 ms
64 bytes from 172.65.32.248 (172.65.32.248): icmp_seq=2 ttl=48 time=178 ms
64 bytes from 172.65.32.248 (172.65.32.248): icmp_seq=3 ttl=48 time=178 ms

从服务器curl https地址,访问非常不稳定,SSL连接经常失败,偶尔成功。
从其它服务器curl是可以正常访问的。

[root@my-aliyun-server bin]# curl -v https://acme-v02.api.letsencrypt.org/directory
* About to connect() to acme-v02.api.letsencrypt.org port 443 (#0)
*   Trying 172.65.32.248...
* Connected to acme-v02.api.letsencrypt.org (172.65.32.248) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none

解决方案

证书签发出问题的服务器在阿里云北京,从阿里云北京等其它服务器可以正常访问 https://acme-v02.api.letsencrypt.org,推测有关部门阻断了这台服务器IP和特定境外IP的通信。
于是更换服务器的公网IP地址,问题解决。

参考资料
https://community.letsencrypt.org/t/httpsconnectionpool-host-acme-v02-api-letsencrypt-org-port-443-read-timed-out/115221

Nginx与Let‘s Encrypt的完美联姻:实现自动SSL证书更新,保障网站安全无忧
墨夶的博客
02-09 817
Let’s Encrypt是一个由互联网安全研究小组(ISRG)运营的非营利性证书颁发机构(CA),它致力于通过简化流程来推广HTTPS的广泛采用。与其他商业CA不同,Let’s Encrypt提供完全免费的DV(域名验证)SSL证书,并且鼓励开发者利用其API接口自动化整个证书管理过程。这不仅降低了成本,还大大减少了人工干预的风险。总之,通过遵循上述指南,你可以轻松地将Nginx与Let’s Encrypt结合在一起,实现SSL证书的自动化管理和更新。
letsencrypt 生成证书卡顿超时 解析部分地区疑似被污染
静下心来写代码
10-31 1555
执行命令,然后一直卡顿,也没提示 ./letsencrypt.sh letsencrypt.conf Generate CSR...domain.csr 查看脚本,38行是刚才提示的信息 38 echo "Generate CSR...$DOMAIN_CSR" 39 40 OPENSSL_CONF="/etc/ssl/openssl.cnf" 41 42 if [ ! -f "$OPEN...
ACME生成免费证书,默认自动续期
Charles的专栏
03-20 1561
除了使用dns的方式外,还可以使用http的方式来生成证书(如果不想通过网站根目录来验证,那么需要单独添加一个location来保证acme可以访问到生成的文件)由于acme被ZeroSSL收购,所以默认的证书服务商是ZeroSSL,但是此证书生成时会携带邮箱,因此更换为letsencrypt。申请好的账号信息(AliyunDNSFullAccess权限),填写在acme的account.conf文件中。acme默认生成的是ECC证书,如果需要生成RSA的证书,需要在原有的命令后面添加。
免费申请Let's Encrypt HTTPS 证书
虎头茉莉的专栏
06-25 516
背景知识 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种透过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完...
Traefik ACME证书申请超时问题分析与解决方案
gitblog_00891的博客
09-11 247
Traefik作为一款流行的反向代理和负载均衡工具,内置了ACME协议支持,可以自动从证书颁发机构(CA)获取和管理TLS证书。在实际生产环境中,当Traefik与响应较慢的ACME服务器交互时,可能会遇到证书申请超时的问题。 ## 问题现象 用户在使用Traefik v3.3.4版本时,配置了内部ACME服务器(http-01挑战类型)来自动获取证书。当ACME服务器处理请求时间较长(如42...
【计算机网络】『cURL』curl: (6) Could not resolve host无法解析主机地址
欢迎关注【微信公众号】测试开发Guide,从功能测试进阶测试开发
11-03 3万+
出问题的curl命令 可以看到命令参数最外层是用单引号 curl --location --request POST 'https://test-api.orionbase.cn/api/v1/bind/corp/machine' \ --header 'X-Auth-Token: 9c0e04eae20c0cbabce418457404edd8' \ --header 'Content-Type: application/json' \ --data-raw '{ "devices": [ {
curl: (6) Couldn‘t resolve host ‘xxxx‘报错问题解决
热门推荐
漠效的博客
08-16 14万+
当某一个网址外网访问(即使用手机端或电脑端对网页进行访问)正常,而内网(网站服务器内网)使用curl对网页进行查看时,却报如下错误。 curl: (6) Couldn’t resolve host ‘xxxxxx’ 原因及解决方法 原因:外网使用正常,证明提供服务未出问题。内部访问报错’dns找不到这个网址‘,可能是某dns服务器或dns解析出现了问题。 解决方法: 修...
curl: (6) Could not resolve host: ....; 未知的错误。报错记录
weixin_59467599的博客
05-07 8756
以上为小白记录问题,欢迎大家来批评和指正!检查是否能ping通外网。添加dns之后问题题解决。显示未知的名称或服务。
CURL状态码列表
AKmumu的专栏
09-20 2852
CURL状态码列表 状态码 状态原因 解释 0 正常访问 1 错误的协议 未支持的协议。此版cURL 不支持这一协议。 2 初始化代码失败 初始化失败。 3 URL格式不正确 URL 格式错误。语法不正确。
Let's Encrypt证书生成,certbot-auto 生成ssl通用证书 配置https 自动续期
lihao19910921的专栏
08-09 1万+
Let’s Encrypt是一个 CA 机构,但这个 CA 机构是免费的!!!签发证书不需要任何费用, 为了实现通配符证书,Let’s Encrypt 对 ACME 协议的实现进行了升级,只有 v2 协议才能支持通配符证书。 https://certbot.eff.org/ 证书生成工具, 我们可以通过网站选择对应的系统软件来生成。 我们通过certbot-auto自动生成工具来操作。 ...
acme.sh管理 SSL/TLS 证书
rufeike的博客
04-01 1798
acme.sh 是一个基于 ACME 协议的轻量级工具,用于自动化申请、续签和管理 SSL/TLS 证书(如 Let’s Encrypt 证书)。权限问题:确保证书目录可被 Web 服务器读取(如 Nginx 用户需访问 /path/to/key.pem)。acme.sh 自动创建定时任务,证书到期前会主动续签(Let’s Encrypt 证书有效期为 90 天)。证书文件默认保存在 ~/.acme.sh/example.com/。方式二:DNS 验证(无需服务器,适合通配符证书),并添加定时任务(通过。
全网最详细Let‘s Encrypt免费SSL证书获取与部署全攻略
最新发布
h363659487的博客
10-15 1116
Let's Encrypt作为全球最大的免费证书颁发机构,已为超过7.0亿网站提供安全加密服务 。其90天有效期的证书虽需定期更新,但通过自动化工具Certbot,可以实现"一次配置,永久有效"的HTTPS服务,大幅降低运维成本。本文将详细讲解如何在不同系统环境下申请普通域名证书和泛域名证书,并提供Nginx服务器配置与自动续期方案,帮助网站运营者和前端开发人员轻松实现网站HTTPS加密。
Let's Encrypt 证书 SSL通用证书 配置与自动续期
weixin_43139174的博客
11-09 1696
什么是 Let’s Encrypt? 部署 HTTPS 网站的时候需要证书证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用。Let’s Encrypt 由于是非盈利性的组织,需要控制开支,他们搞了一个非常有创意的事情,设计了一...
Failed to connect to port 443: Operation timed out
anly95的博客
03-12 9077
Failed to connect to port 443: Operation timed out
Let's Encrypt 发布 ACME v2,开始测试通配符证书
陈海峰的博客
01-09 4618
免费数字证书颁发机构 Let's Encrypt 发布了 ACME v2 协议 API 端点,正式宣布开始测试支持签发通配符数字证书ACME V2 版 API 接口。 可以使用以下的目录 URL 开始为你的客户端测试对于 ACME v2 的支持: https://acme-staging-v02.api.letsencrypt.org/directory 要注意的是,由于临时的环
解决报错之------curl: (7) Failed to connect to gitee.com port 443: Operation timed out
WW_wwww的博客
11-16 2930
电脑:Macos 10.15.7 现象:终端中下载Homebrew时遇到了如题的报错 解决方法: 1、手动下载安装脚本 2、修改脚本文件权限 3、手动运行脚本 1、先用浏览器访问Homebrew安装路径的地址( https://xxxxx/Homebrew.sh) 例如我用的是下面这个路径去下载Homebrew: /bin/zsh -c “$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)” 那么我们就取用其中的h
acmev2怎么用_Let's Encrypt 发布的 ACME v2 现已正式支持通配符证书,申请方式了解一下...
weixin_42513546的博客
12-24 847
通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端。Let's Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。更多有关 ACME v2...
python使用requests时报错requests.exceptions.SSLError: HTTPSConnectionPool
graceljh的博客
08-30 6198
在网上搜索资料:试了以下几种方法: 1、安装几个requests依赖包 pip install cryptography pip install pyOpenSSL pip install certifi 2、关闭证书验证(verify=False))可以解决这个问题或者说是在进行GET时,指定SSL证书. response = requests.get(‘http://www.baidu.co...
解决curl: (7) Failed to connect to raw.githubusercontent.com port 443 after 1 ms: Couldn‘t connect to
Huahua_1223的博客
07-18 7165
原因是 github 的一些域名的 DNS 解析被污染,导致DNS 解析过程无法通过域名取得正确的IP地址。DNS域名解析被污染指的是DNS解析过程中,返回了错误的IP地址,这通常是由于网络提供商或其他中间机构进行了DNS劫持或DNS污染。这会导致用户无法访问某些网站或下载资源,因为请求被引导到了错误的服务器。命令打开host文件,同样是在末尾处添加上GitHub 域的 IPv4 地址,再按。,在文件的末尾处添加上GitHub 域的 IPv4 地址并保存。对于linux或者macOS,通过。
root@lavm-1jdi3tufk3:~# ~/.acme.sh/acme.sh --set-default-ca --ca https://acme-v02.api.letsencrypt.org/directory [Wed Jul 16 09:41:01 AM CST 2025] Unknown parameter: --ca
07-17
~/.acme.sh/acme.sh --set-default-ca --server https://acme-v02.api.letsencrypt.org/directory ``` --- ## 完整推荐流程(更新 acme.sh + 指定 Let's Encrypt) ```bash # 更新 acme.sh 到最新版本(建议) ~/...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值