ホーム » 「Let’s Encrypt」タグがついた投稿

タグアーカイブ: Let’s Encrypt

システム

最近の投稿

  • この一週間の必需品
    2025-07-03
    6/22頃からの風邪の症状。鼻水と喉の痛みがあって、鼻スプレーと喉スプレーでだましだましの2週間。 […]
  • あづぃ…
    2025-06-30
    2F廊下温度35℃、WBGT30℃越え。 […]
  • gemini-cli 便利
    2025-06-27
    Gemini をコマンドラインから使えるツール gemini-cli が公開されている。 […]
  • LINE bot が動いていない… 月当たり最大数オーバー
    2025-06-24
    我が家では、以前より 自宅専用の LINE bot を動かしていて、サーバからの通知に使っていた。 […]
  • rkhunter の設定
    2025-06-20
    卒研のセキュリティの説明の中で rkhunter を紹介。説明してたら、自宅サーバにはサーバ機以降後に […]

アーカイブ

カテゴリー

letsencryptのCAA関連のトラブル再び

2025-06-06

letsencrypt から自宅サイトの証明書の更新が切れるとの警告メール。

自動更新にしているはずなのに….

確認してみると、CAAのエラー

$ sudo /etc/dehydrated/update-dehydrated --force --cron
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]      "http-01"
["url"] "https://acme-v02.api.letsencrypt.org/acme/chall/xxxxxxx/xxxxxxxxxxxx/_VfALA"
["status"]          "invalid"
["validated"]       "2025-06-06T00:54:07Z"
["error","type"]    "urn:ietf:params:acme:error:caa"
["error","detail"]  "During secondary validation: While processing CAA for tsaitoh.net:
                     CAA record for tsaitoh.net prevents issuance"
["error"]           {"type":"urn:ietf:params:acme:error:caa",
                     "detail":"During secondary validation: While processing CAA for tsaitoh.net:
                               CAA record for tsaitoh.net prevents issuance"}
["token"]           "xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx"
["validationRecord",0,"url"]   "http://tsaitoh.net/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx"

mydns.jp で運用している DNS の設定に、IN CAA 0 issue “letsencrypt.org” を加える必要があるらしい。

でも、長年運用していたので、問題ないはずなんだけど、dig で確認すると、設定が消えている。

$ dig @8.8.8.8 tsaitoh.net CAA
tsaitoh.net.   300  IN  CAA 0 issue "\000"

実際、自分の記事で確認すると、CAA のトラブルの記事 でちゃんと設定していたはず。

サーバの移行によって、CAA レコードが消えたのかな…!?!? mydns の設定を間違って消したのかな…!?!?

ということで、mydns.jp で CAA の設定を修正して無事更新。

dovecot が動かない Let’s Encrypt 証明書問題

2021-10-01

数日前から、iphoneで自宅サーバのメールを見ると証明書が有効期限切れとのエラーが表示される。パソコンから Thunderbird で見るのには影響がないようだ。設定を色々と確認しても改善しない。

/var/log/mail.log を見ると、”SSL issue: alert number 46″ などのエラーメッセージが残っていて、dovecot と合わせてググると、Let’s Encrypt のルート証明書が、2021/09/30 で切れるといった記事が見つかり、これが影響しているようだ。

dovecot の設定の修正

さらに検索すると、ようやく対応記事が見つかった。ssl_cert の cert.pem を fullchain.pem に替えるだけ。こちらの資料を見ても、dovecot とか postfix なら fullchain.pem を使うような説明がある。

((( /etc/dovecot/conf.d/10-ssl.conf )))
# ssl_cert = </var/lib/dehydrated/certs/自宅サーバ名/cert.pem
ssl_cert = </var/lib/dehydrated/certs/自宅サーバ名/fullchain.pem

((( restart dovecot )))
$ sudo systemctl restart dovecot

postfix の設定の修正

同じような設定は postfix も使っていたはず。試しに、iphone でメールを出そうとすると、dovecot と同じような証明書が信用できないとのメッセージでメールが送れない。

((( /etc/postfix/main.conf )))
# smtpd_tls_cert_file=/var/lib/dehydrated/certs/自宅サーバ名/cert.pem
smtpd_tls_cert_file=/var/lib/dehydrated/certs/自宅サーバ名/fullchain.pem

((( restart postfix )))
$ sudo systemctl restart postfix

Google 検索

My Google   Yahoo

Microsoft

ファンサイト