Назад | Перейти на главную страницу

Как исправить сбой обновления LetsEncrypt с ошибкой «Невозможно подключиться к серверу учетных данных»?

Я успешно получил сертификат, используя Win-Acme установлен на Windows Server 2012. Программное обеспечение настроено на продление с помощью подключаемого модуля Route53 для автоматической проверки права собственности через DNS. Win-acme запускает задачу обновления, но выдает ошибку:

An error occurred during post-validation cleanup: Unable to reach credentials server

После отказа от возможности повторного запуска обновления отображается следующая ошибка:

[EROR] Create certificate failed: Authorization failed: Error preparing for challenge answer

Похоже, это связано с запросом API AWS. Я передаю роль IAM в командной строке, а также в программном обеспечении, следуя инструкциям Вот. Не уверен, что роль должна быть только именем или всем ARN, но я пробовал и то, и другое. Пример в Эта проблема похоже, использует только имя.

Разблокирован для .Net CLR.

Я также попытался добавить профиль AWS в файл Web_Config.xml, слепо пытаясь применить этот ответ. Похоже, это не работает.

Я проверил проблемы с брандмауэром. Все исходящие порты открыты.

Документация скудная, но я читал и перечитывал все, что мог выкопать, несколько раз, и не могу понять, почему возникает эта ошибка.

Также пробовал искать проблемы с win-acme (например). Безуспешно.

Искал плагин Route53 код чтобы узнать, смогу ли я найти ошибку. Безуспешно.

Рассмотрены вопросы по эта страница но ничего вопиющего.

Кто-нибудь может увидеть, что мне может не хватать? Мне не хватает какой-то конфигурации AWS, которой нет в документации?

Вот часть журнала Win-Acme.

2020-05-29 02:57:47.427 +00:00 [INF] No command line arguments provided
2020-05-29 02:57:47.497 +00:00 [INF] Software version 2.1.5.742 (RELEASE, PLUGGABLE) started
2020-05-29 02:57:47.499 +00:00 [INF] ACME server "https://acme-v02.api.letsencrypt.org/"
2020-05-29 02:57:47.970 +00:00 [INF] IIS version 8.0
2020-05-29 02:57:47.974 +00:00 [INF] Running with administrator credentials
2020-05-29 02:57:48.119 +00:00 [INF] Scheduled task looks healthy
2020-05-29 02:57:48.119 +00:00 [INF] Please report issues at https://github.com/win-acme/win-acme
2020-05-29 03:21:38.280 +00:00 [INF] Arguments: --validation route53 --validationmode dns-01 --route53iamrole MyRoleName --verbose
2020-05-29 03:21:38.318 +00:00 [DBG] Renewal period: 55 days
2020-05-29 03:21:38.328 +00:00 [INF] Software version 2.1.5.742 (RELEASE, PLUGGABLE) started
2020-05-29 03:21:38.329 +00:00 [INF] ACME server "https://acme-v02.api.letsencrypt.org/"
2020-05-29 03:21:38.340 +00:00 [VRB] SecurityProtocol setting: "SystemDefault"
2020-05-29 03:21:38.736 +00:00 [DBG] Connection OK!
2020-05-29 03:21:38.739 +00:00 [INF] IIS version 8.0
2020-05-29 03:21:38.744 +00:00 [INF] Running with administrator credentials
2020-05-29 03:21:38.797 +00:00 [INF] Scheduled task looks healthy
2020-05-29 03:21:38.798 +00:00 [INF] Please report issues at https://github.com/win-acme/win-acme
2020-05-29 03:21:38.799 +00:00 [VRB] Test for international support: 語言 язык لغة
2020-05-29 03:22:11.633 +00:00 [INF] Running in mode: "Interactive, Advanced"
2020-05-29 03:22:26.213 +00:00 [INF] Target generated using plugin Manual: *.mydomain.com
2020-05-29 03:23:32.456 +00:00 [VRB] Adding 8.8.8.8 as DNS server
2020-05-29 03:23:32.457 +00:00 [VRB] Adding 1.1.1.1 as DNS server
2020-05-29 03:23:32.458 +00:00 [VRB] Adding 8.8.4.4 as DNS server
2020-05-29 03:24:16.362 +00:00 [VRB] Checking *.mydomain.com
2020-05-29 03:24:16.367 +00:00 [VRB] Creating certificate order for hosts: ["*.mydomain.com"]
2020-05-29 03:24:16.376 +00:00 [VRB] Loading ACME account signer...
2020-05-29 03:24:16.378 +00:00 [DBG] Loading signer from C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Signer_v2
2020-05-29 03:24:16.432 +00:00 [VRB] Constructing ACME protocol client...
2020-05-29 03:24:16.439 +00:00 [DBG] Send GET request to "https://acme-v02.api.letsencrypt.org/directory"
2020-05-29 03:24:16.766 +00:00 [VRB] Request completed with status "OK"
2020-05-29 03:24:16.797 +00:00 [DBG] Send HEAD request to "https://acme-v02.api.letsencrypt.org/acme/new-nonce"
2020-05-29 03:24:16.914 +00:00 [VRB] Request completed with status "OK"
2020-05-29 03:24:16.922 +00:00 [DBG] Loading account information from C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Registration_v2
2020-05-29 03:24:16.999 +00:00 [DBG] Send POST request to "https://acme-v02.api.letsencrypt.org/acme/new-order"
2020-05-29 03:24:17.245 +00:00 [VRB] Request completed with status "Created"
2020-05-29 03:24:17.258 +00:00 [VRB] Order https://acme-v02.api.letsencrypt.org/acme/order/816*****/354******* created
2020-05-29 03:24:17.259 +00:00 [VRB] Handle authorization 1/2
2020-05-29 03:24:17.262 +00:00 [DBG] Send POST request to "https://acme-v02.api.letsencrypt.org/acme/authz-v3/487*******"
2020-05-29 03:24:17.506 +00:00 [VRB] Request completed with status "OK"
2020-05-29 03:24:17.521 +00:00 [INF] Authorize identifier: mydomain.com
2020-05-29 03:24:17.523 +00:00 [VRB] Challenge types available: ["dns-01"]
2020-05-29 03:24:17.670 +00:00 [INF] Authorizing mydomain.com using dns-01 validation (Route53)
2020-05-29 03:24:18.030 +00:00 [ERR] Error preparing for challenge answer
Amazon.Runtime.AmazonServiceException: Unable to reach credentials server
 ---> System.Net.Http.HttpRequestException: Response status code does not indicate success: 404 (Not Found).
 ---> System.Net.Http.HttpRequestException: Response status code does not indicate success: 404 (Not Found).
   at System.Net.Http.HttpResponseMessage.EnsureSuccessStatusCode()
   at Amazon.Util.AWSSDKUtils.ExecuteHttpRequest(Uri uri, String requestType, String content, TimeSpan timeout, IWebProxy proxy, IDictionary`2 headers)
   --- End of inner exception stack trace ---
   at Amazon.Util.AWSSDKUtils.ExecuteHttpRequest(Uri uri, String requestType, String content, TimeSpan timeout, IWebProxy proxy, IDictionary`2 headers)
   at Amazon.Runtime.URIBasedRefreshingCredentialHelper.GetContents(Uri uri, IWebProxy proxy, Dictionary`2 headers)

РЕДАКТИРОВАТЬ №2: Недавно я добавил в Route53 запись CAA с меткой проблемы для letsencrypt.org. Все еще та же ошибка.

изменить: моя роль iam не была привязана к моему экземпляру ec2 :)

У меня была такая же проблема при использовании роли iam. создание пользователя и использование ключа доступа / секретного ключа доступа сработали.

wacs --target iis --siteid [n] --emailaddress [X @ XX] --accepttos --installation iis --installationsiteid [n] --store Certificatestore --validation route53 --validationmode dns-01 --route53accesskeyid [ XXXX] --route53secretaccesskey [XXXX]

политика завивки

Маршрут 53: GetChange

Маршрут 53: ListHostedZones

Маршрут 53: ChangeResourceRecordSets

вероятно, не очень хорошо иметь их в командной строке, но это похоже на более позднюю проблему.