敬所有人!
我真的很沮丧,…我以为我是个好系统管理员,我的老板付钱让我做这份工作!但是,我花了大约十天的时间来尝试建立我的证书,但我就是做不到!
我在HERL 7.3x64超音速客机上。
我有两个域,它们都有一个服务器场/服务,第一个是“tergiversare.com”,第二个是“perserare.com”;这两个域都有一个位于智能防火墙设备集群后面的TCP负载平衡器(HA中的两个设备)。
第一个“问题”是,我必须保护许多主机,所以我已经为我的certbot命令中的每个公共主机名/服务添加了一个SAN条目,但是,在我的公共DNS(由Aruba托管)中,我有许多指向相同的公共记录的cname记录,负载平衡器的IP地址,这是因为TCP平衡器(2个公共IP和2个A记录)可以管理两个服务器场的所有TCP/UDP服务!
另一件应该证明所有这些cname是合理的事情是,在每个场中,我有很多集群服务,所以如果我想要保护一个“Webmail服务”,我必须保护3个主机:1°host是与虚拟IP/cname“webmail.tergiversare.com”(TCP平衡器)匹配的主机名;2°host是Webmail集群“webmail0.tergiversare.com”的第一个节点,3°host是第二个集群节点“webmail1.tergiversare.com”。
这是因为,当远程客户端尝试连接到“webmail.tergiversare.com”时,负载均衡器可以将连接传递到主机1或主机2,如果我只保护了“webmail.tergiversare.com”CN,当客户端重定向到“webmail0.tergiversare.com”时,它将从浏览器收到一条警告消息,说服务器名称与证书的CN名称不匹配!
现在,我有两个Web服务器Apache2.4.6,都有三个实例:“www.tergiversare.com”在TCP80/443上监听,“www.perserare.com”8080/488和“Adv.giversare.com”在81上,所有的实例都是由负载均衡器以循环机制提供服务,它们根据配置中定义的URL规则进行从“Public-IP:80/443”到Private-IP:XXXX的端口转发;
我的httpd.conf在/etc/httpd/conf/*中
DocumentRoot位于/var/www/html/*
我已经在我的站点的所有HTTPD.conf上添加了这些选项,用于.well-now/acme-challengl:
别名/.Well-Acme-挑战/var/www/html/letsencrypt/.well-known/acme-challengeOptions无
允许覆盖无
订单允许、拒绝
允许来自所有
但是现在,我已经为每个站点…创建了一个“.well-now/acme-challenges”文件夹
我已经将一个ext.txt放在.well-now/acme-challenges文件夹中,如果我(从互联网浏览器)调用它,我可以看到txt文件的内容。
现在,我已经尝试了所有类型的certbot命令,如“apache”、“apache certonly”、“webroot”以及指定hel HTTPD的apache路径,但没有办法获得这个该死的证书!
我使用的最后一个命令是:
Certbot certonly--staging-vvvv--Agree-tos-m Technet@tergiversare.com--rsa-key-size 4096--默认续订--webroot-w/var/www/html/tergiversare.com-d tergiversare.com-d www.tergiversare.com-d dns.tergiversare.com-d dns0.tergiversare.com-d sip.tergiversare.com-d voip.tergiversare.com-d rpx.giterversare.com-d prx.giterversare.com-d vlba.giterversare.com-d vlba.giversare.com-d vlba.giterversare.com-d rpx.giterversare.com-d rpx.giterversare.com-d vlba.giversare.com-d vlba.giterversare.com.tergiversare.com-d vlba1.tergiversare.com-d mail.tergiversare.com-d mail0.tergiversare.com-d webmail.tergiversare.com-d webmail0.tergiversare.com-d webmail1.tergiversare.com-d imap.tergiversare.com-d imap0.tergiversare.com-d pop.tergiversare.com-d pop0.giversare.com-d optp.giversare.com-d smtp0.giterversare.com-d smtp1.giterversare.com-d ssl。Tergiversare.com-d ssl0.tergiversare.com-d ssl1.tergiversare.com-d vpn.tergiversare.com-d vpn0.tergiversare.com-d vpn1.tergiversare.com-d ipsec.tergiversare.com-d ipsec0.tergiversare.com-d ipsec1.tergiversare.com-d cpa0.tergiversare.com-d cpa1.tergiversare.com-d fax.tergiversare.com-d mobile0.giversare.com-d mobile0.giversare.com-d-icamter.giversare.com-d mule.tergiversare.com-d jdl.tergiversare.com-d qmader0.tergiversare.com-d qmader0.tergiversare.com-d qmader1.tergiversare.com-d sftp.tergiversare.com-d xgate.tergiversare.com-w/var/www/html/perserare.com-d perserare.com-d www.perserare.com-d dns.perseare.com-d dns0.perserare.com-d Autodiscover.perseare.com-d rpx.perserare.com-d lba.mail.perserare.com-d www.perserare.com-d dns.perseare.com-d dns0.perserare.com-d Autodiscover.perserare.com-d lba.perserare.com-d mail.perserare.com-d-0.perserare.com-d mail1.perserare.com-d owa.perserare.com-d webmail.perserare.com-d webmail1.perserare.com-d imap.perserare.com-d imap0.perserare.com-d imap1.perserare.com-d pop.perserare.com-d pop0.perserare.com-d pop1.perserare.com-d smtp.perserare.com-d smtp0.perseare.com-d smtp1.perserare.com-d fax.perserare.com-d mobile.perserare.com-d mobile0。Perserare.com-d mobile1.perserare.com-d qManager.perserare.com-d qManager 0.perserare.com-d qManager 1.perserare.com-d lyncdiscover.perserare.com-d sip.perserare.com-d sip联合.perserare.com-d往返al.perserare.com-d voip.perserare.com-d vcs.perserare.com-d vcs0.perserare.com-d vcs1.perserare.com-d Collaboration.perserare.com-d edge.perserare.com
对于没有与请求匹配的HTTPD的每个CN,我总是收到此错误消息:
域名:smpt0.tergiversare.com
类型:连接
详细信息:无法连接到smtp0.tergiversare.com
域名:ssl1.tergiversare.com
类型:未经授权
详细信息:无效响应来自
Http://ssl1.tergiversare.com/.well-known/acme-challenge/T-ADlpYfbJb30HjzqTQ1yRUpV9ttGUJfgFotu3B_7tY
[83.211.183.251]:503