ホーム » 「Let’s Encrypt」タグがついた投稿
タグアーカイブ: Let’s Encrypt
letsencryptのCAA関連のトラブル再び
letsencrypt から自宅サイトの証明書の更新が切れるとの警告メール。
自動更新にしているはずなのに….
確認してみると、CAAのエラー
$ sudo /etc/dehydrated/update-dehydrated --force --cron ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "http-01" ["url"] "https://acme-v02.api.letsencrypt.org/acme/chall/xxxxxxx/xxxxxxxxxxxx/_VfALA" ["status"] "invalid" ["validated"] "2025-06-06T00:54:07Z" ["error","type"] "urn:ietf:params:acme:error:caa" ["error","detail"] "During secondary validation: While processing CAA for tsaitoh.net: CAA record for tsaitoh.net prevents issuance" ["error"] {"type":"urn:ietf:params:acme:error:caa", "detail":"During secondary validation: While processing CAA for tsaitoh.net: CAA record for tsaitoh.net prevents issuance"} ["token"] "xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx" ["validationRecord",0,"url"] "http://tsaitoh.net/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx"
mydns.jp で運用している DNS の設定に、IN CAA 0 issue “letsencrypt.org” を加える必要があるらしい。
でも、長年運用していたので、問題ないはずなんだけど、dig で確認すると、設定が消えている。
$ dig @8.8.8.8 tsaitoh.net CAA tsaitoh.net. 300 IN CAA 0 issue "\000"
実際、自分の記事で確認すると、CAA のトラブルの記事 でちゃんと設定していたはず。
サーバの移行によって、CAA レコードが消えたのかな…!?!? mydns の設定を間違って消したのかな…!?!?
ということで、mydns.jp で CAA の設定を修正して無事更新。
dovecot が動かない Let’s Encrypt 証明書問題
数日前から、iphoneで自宅サーバのメールを見ると証明書が有効期限切れとのエラーが表示される。パソコンから Thunderbird で見るのには影響がないようだ。設定を色々と確認しても改善しない。
/var/log/mail.log を見ると、”SSL issue: alert number 46″ などのエラーメッセージが残っていて、dovecot と合わせてググると、Let’s Encrypt のルート証明書が、2021/09/30 で切れるといった記事が見つかり、これが影響しているようだ。
dovecot の設定の修正
さらに検索すると、ようやく対応記事が見つかった。ssl_cert の cert.pem を fullchain.pem に替えるだけ。こちらの資料を見ても、dovecot とか postfix なら fullchain.pem を使うような説明がある。
((( /etc/dovecot/conf.d/10-ssl.conf ))) # ssl_cert = </var/lib/dehydrated/certs/自宅サーバ名/cert.pem ssl_cert = </var/lib/dehydrated/certs/自宅サーバ名/fullchain.pem ((( restart dovecot ))) $ sudo systemctl restart dovecot
postfix の設定の修正
同じような設定は postfix も使っていたはず。試しに、iphone でメールを出そうとすると、dovecot と同じような証明書が信用できないとのメッセージでメールが送れない。
((( /etc/postfix/main.conf ))) # smtpd_tls_cert_file=/var/lib/dehydrated/certs/自宅サーバ名/cert.pem smtpd_tls_cert_file=/var/lib/dehydrated/certs/自宅サーバ名/fullchain.pem ((( restart postfix ))) $ sudo systemctl restart postfix