美博園 > 

安全翻牆推薦, 資訊安全

  • 2019-12-10 13:58
  • 短網址
  • 字型大小
  • 字型大小無極縮小 回復原始字型大小 字型大小無極放大
    • 分享到 Twitter 分享到 MeWe 分享到 Whatsapp 分享到 Telegram 分享到 Line mail傳送

Let's Encrypt SSL 證書安裝不了的若干問題解決

【美博翻牆2019.12.9】Let's Encrypt 提供免費的SSL加密證書,不僅為網頁網站的安全提供了方便和普及,也為翻牆加密提供了安全方便。但是,安裝Let's Encrypt SSL證書時,有時有網友會遇到各種問題不能順利安裝。自從v2ray翻牆技術問世後,結合網頁加密及偽裝的翻牆,仍然是目前最好的翻牆方法。有關v2ray安裝時可能遇到的問題及解決方法,請參考:V2ray自建代理遇到的一些問題及解決 - 美博園

-------------
美博翻牆(allinfa.com)發布的幾個目前最好的自建代理,可自行選擇使用:
自建最強科學上網3+:trojan + Caddy(SSL證書自動續期)
自建最強科學上網2+:V2Ray + Caddy + Tls + WebSocket
自建最強科學上網5+:V2ray + Caddy + Tls + HTTP/2
自建最強科學上網4:NaiveProxy + Caddy
美博點評:V2Ray、trojan、NaiveProxy代理的異同及相關問題
美博認為這幾個組合都是目前翻牆思路最好、最強的翻牆方法,可等同使用。
-------------

本文就其中一個環節,安裝Let's Encrypt SSL證書出現的問題及解決方法專文討論於此,與網友分享,也請網友補充完善。

一、Let's Encrypt SSL證書安裝的二個必備的前提條件

Let's Encrypt SSL證書是為了網頁網站加密,所以,要成功安裝Let's Encrypt SSL證書,必須具備二個基本條件:

其一是:要有站點。不論站點大小,即使是一個網頁也行,就像是美博的v2ray方法只是建立的一個用於偽裝的html網頁,這都是可以的,但是一定要有,沒有網頁就安裝不了Let's Encrypt證書;

其二是:要有網域及其正確解析。既然是網站,當然要有網域,而且這個網域還要正確解析,不正確解析,不能安裝成功Let's Encrypt SSL 證書,這裡要注意的地方有幾點:

1)網域要正確解析,請按照美博前文方法:網域購買及設置與ip伺服器關聯

2)特別要指出的是,上文有圖示說明,不僅僅是不帶www的網域要解析,帶www的子網域也要正確解析,即 子網域 www 的 A記錄也是必須做的,不然不能安裝證書成功,其實只要按照上文每一步都做到就好;

要注意的是:若你使用的是二級網域,即這樣的子網域 abc.domainexample.com,那麼,不管是頂級網域或是二級網域,都要有 www A 紀錄 都指到同一個伺服器的 IP。即:在做DNS時,
二級網域 abc.domainexample.com 和 其三級網域 www.abc.domainexample.com 也要作網域解析,也要指向同一個 IP。

3)網域指向伺服器ip(解析)後,不一定會立即生效,也許立即生效,也許幾分鐘,也許要等半小時,甚至幾個小時或更長時間才會生效。有時候沒有立即生效,是因為以前的緩存在,清除瀏覽器緩存就好。

網域指向ip是否生效,即是否正確解析網域已經指向伺服器ip,當用「網域」(不是伺服器ip)做SSH連接伺服器時,如果能夠連接上,說明網域已經正確解析,請參考:【SSH連接軟體-Xshell下載及使用教程】介紹的方法。

也可在網站查詢: (請注意:這裡的abcdef.com要改為你自己的網域)
https://www.whatsmydns.net/#A/abcdef.com
和(必須)
https://www.whatsmydns.net/#A/www.abcdef.com

4)如果你的網域 DNS A 紀錄指向到別的伺服器 IP 了,以前安裝的EasyEngine 的 Let's Encrypt證書自動更新程序也會停止。

二、伺服器的系統選擇問題

安裝Let』s Encrypt證書概括來講可以安裝到任何系統的網站上,但也有一些網站構建組合的限制,如:

1、美博介紹的v2ray方法【自建最強科學上網:v2ray + websocket + web + nginx (EasyEngine)】,採用的是EasyEngine作為前端管理nginx的Web服務器程序,EasyEngine現在支持的作業系統只有:Ubuntu 12.04、14.04、16.04、18.04和 Debian 7、8,其他系統不支持,所以,在用這種方法製作代理時,SSL證書的安裝就受限於這幾個系統。

當然這個不是SSL證書的問題,如果用其他系統,首先EasyEngine就安裝不上。如果用非EasyEngine管理,SSL證書幾乎可適用於所有系統。之所以採用Easyengine,是因為EasyEngine是國外一間專門幫人優化網站的公司rtcamp寫出來的網頁伺服器管理程序,它內置了 NGINX 和 Let's Encrypt,不用再慢慢設定,很方便我們翻牆的要求,也方便新手操作,會自動續約Let's Encrypt證書。

2、有網友發現:如果使用 CentOS+Apache,也可以安裝Let's Encrypt,但是安裝完成後,用https訪問頁面,會出現自簽名證書頁面,提示「此連接不受信任」。美博的教程沒有用到這個系統組合,不用理會這一條,只是做個記錄。

三、查看Let's Encrypt安裝出錯的記錄文件

若用EasyEngine安裝SSL證書,出現錯誤或者不能安裝,可以查看日誌文件來看問題記錄。若網友遇到,請自行排查:

打開SSH連接伺服器,輸入:
查看簡單的記錄:

tail /var/log/ee/ee.log

查看比較詳細的記錄:

cat /var/log/ee/ee.log

這個日誌里有詳細證書安裝記錄:

cat /var/log/letsencrypt/letsencrypt.log

四、GPG keys問題,讓Let's Encrypt SSL 證書不能安裝

近期有網友反映:按照教程【自建最強科學上網:v2ray + websocket + web + nginx (EasyEngine)】做到「12、安裝 Let』s Encrypt 的SSL證書」時,提示:

ee site create 你自己的網域 --html --letsencrypt
……
…… please wait...
  Oops Something went wrong!!
  Check logs for reason `tail /var/log/ee/ee.log` & Try Again!!!

第一步、輸入:

wget -qO - https://download.opensuse.org/repositories/home:/strycore/xUbuntu_18.04/Release.key | sudo apt-key add -

[Enter]

注意:這是系統 Ubuntu_18.04 的命令

會顯示 OK

第二步、再輸入:

sudo apt-get update

第三步、再輸入第12步命令:

ee site create 你自己的網域 --html --letsencrypt

如果已經可以安裝Letsencrypt證書,就不進行下面的步驟;若還是不能安裝,請再繼續下面步驟。

第四步、查詢出錯記錄

按照上面「三、查看Let's Encrypt安裝出錯的記錄文件」所述方法,打開日誌記錄文件時,若看到其中一段有這樣的記錄,你的記錄不一定是與下面的完全一樣:

舉例,日期是隨意寫的
2000-12-21 13:15:45,148 (INFO) ee : Adding repository for NGINX, please wait...
2000-12-21 13:15:45,149 (DEBUG) ee : Adding ppa of Nginx
2000-12-21 13:15:45,149 (DEBUG) ee : Running command: gpg --keyserver hkp://keys.gnupg.net --recv-keys 3050AC3CD2AE6F03
2000-12-21 13:15:45,528 (DEBUG) ee : Command Output: , 
  Command Error: gpg: WARNING: unsafe ownership on homedir '/home/dougs/.gnupg'
  gpg: key 3050AC3CD2AE6F03: 1 signature not checked due to a missing key
  gpg: key 3050AC3CD2AE6F03: "home:rtCamp OBS Project " not changed
gpg: Total number processed: 1
gpg:              unchanged: 1
2000-12-21 13:15:45,528 (DEBUG) ee : Running command: gpg -a --export --armor 3050AC3CD2AE6F03 | apt-key add - 
2000-12-21 13:15:45,973 (DEBUG) ee : Command Output: OK

Command Error: gpg: WARNING: unsafe ownership on homedir '/home/dougs/.gnupg'
Warning: apt-key output should not be parsed (stdout is not a terminal)
…… 很多內容略
2000-12-21 13:15:54,207 (INFO) ee :   Oops Something went wrong!!
2000-12-21 13:15:54,208 (ERROR) ee :   Check logs for reason `tail /var/log/ee/ee.log` & Try Again!!!

說明這是gpg: key過期問題,這個問題的原因與Ubuntu、Debian系統有關,儘管Ubuntu、Debian已經修復了很多gpg問題,但時不時還是會遇到,只要修正 gpg: key的問題就好,很簡單。

解決辦法:記錄下這個十六進位數字的key值,即上例中的 3050AC3CD2AE6F03 這一串,你的記錄可能不會是這些數字,是其它的,但樣子就是這樣的一串值,也可能你看到的還不止一個,可能有幾個,都要記錄下來。

第五步、然後,接著在SSH輸入命令:

先執行:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys

然後再執行:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3050AC3CD2AE6F03

注意:3050AC3CD2AE6F03這個要換成你自己看到的,若是多個就加空格並排寫,如:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3050AC3CD2AE6F03 5550AC3CD2AE6F03 6660AC3CD2AE6F03

會顯示如:

Executing: /tmp/apt-key-gpghome.JUOuXd6PAd/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys 3050AC3CD2AE6F03
gpg: key 3050AC3CD2AE6F03: 1 signature not checked due to a missing key
gpg: key 3050AC3CD2AE6F03: "home:rtCamp OBS Project " 1 new signature
gpg: Total number processed: 1
gpg:         new signatures: 1

如上可能解決遇到的沒有gpg、或gpg:key過期問題。

接下就可以接著原來的步驟、按照v2ray教程執行安裝Let's Encrypt證書的命令了。

以上是美博遇到過的gpg問題解決方案。網友在操作過程中,也可能遇到其它gpg問題,這是linux系統的問題,網友可執行網上搜尋解決辦法,也可把日誌文件發到 聯繫我們 - 美博園,我們看看是什麼問題。

五、建議全新伺服器安裝代理

如果你已經安裝有網站或伺服器用作其他用途,現在要安裝代理(如v2ray)到這個伺服器上,那麼在現有站點的現有伺服器上安裝EE,也可能會出錯,出現Let's Encrypt SSL 證書不能安裝的問題。

解決辦法:建議在全新伺服器上安裝代理,哪怕是買一個最便宜的伺服器也足夠自己或少數幾人使用。

六、其它一些不能安裝Let's Encrypt SSL 證書的問題

新手在安裝Let's Encrypt SSL 證書或使用命令輸入時,常出現一些問題:

1、命令輸入錯誤
在輸入命令時,寫錯字母、增減空格、不小心增加符號等;
輸入法處於「中文輸入」狀態,輸入命令時是中文的全形符號,自然會出錯。所以,在輸入命令時,電腦輸入法必須處於英文狀態;
關於複製命令,這是最常用的方式,一般建議採用,但是,複製時也會偶爾遇到一些詭異的事情,自動出現空格,符號自動被改變等等,所以,複製時命令若執行錯誤,可先檢查,命令是否有錯,特別是像 --這種符號有時會自動改變為全形符號;

2、暫時Let』s Encrypt伺服器忙碌,換個網路不太忙的時候試試,這個國內可能有網友遇到過;.

3、有個別的會遇到,如有使用dyndns之類的服務,也連不上Let's Encrypt 伺服器,這個美博沒有遇到過;

4、有個別網友反映,使用IPv6也不能執行Let's Encrypt SSL 證書安裝,這個美博也沒有遇到過。

六、頻繁安裝出錯

Let』s Encrypt 證書頒發的速率及次數限制 - 美博園

以上是美博園(allinfa.com)這幾年遇到的Let's Encrypt SSL 證書不能安裝的情況及解決辦法,若有其他情況,歡迎網友補充完善。

***
=== 自建最強代理 v2ray、trojan、NaiveProxy 系列文章參考 ===

自建最強科學上網3+:trojan + Caddy(SSL證書自動續期) - 美博園
關於v2fly(V2Ray)更新版本的提醒 - 美博園
自建最強科學上網5+:V2ray + Caddy + Tls + HTTP/2
自建最強科學上網2+:V2Ray + Caddy + Tls + WebSocket
自建最強科學上網4:NaiveProxy + Caddy
「trojan+Caddy」SSL證書自動續期的Caddyfile配置解決方案 - 美博園
美博點評:V2Ray、trojan、NaiveProxy代理的異同及相關問題 - 美博園
自己搭建代理伺服器:VPS的選擇 - 美博園
自己搭建代理伺服器:Vultr VPS 購買圖文教程 - 美博園
自己搭建代理伺服器:Vultr VPS 系統安裝圖文教程 - 美博園
自己搭建代理伺服器:檢測ip是否被牆及更換ip - 美博園
自己搭建代理伺服器:網域購買及設置與ip伺服器關聯 - 美博園
SSH連接軟體-Xshell下載及使用教程 - 美博園
WinSCP:連接遠端伺服器的管理傳輸工具的使用教程 - 美博園
其它參考:
v2ray客戶端代理上網 - Windows、Android、Mac、ios - 美博園
Let』s Encrypt 證書頒發的速率及次數限制 - 美博園
Let's Encrypt SSL 證書安裝不了的若干問題解決 - 美博園
如何開啟Google TCP BBR 加速 - 美博園
V2ray自建代理遇到的一些問題及解決 - 美博園
原文鏈接:https://allinfa.com/zh-tw/letsencrypt-ssl-answers.html
原文標題:Let's Encrypt SSL 證書安裝不了的若干問題解決 - 美博園
美博園文章均為「原創 - 首發」,請尊重辛勞撰寫,轉載請以上面完整鏈接註明來源!
軟體著作權歸原作者!個別轉載文,本站會註明為轉載。
« 前文:
:後文 »

網 友 留 言

12條評論 in “Let's Encrypt SSL 證書安裝不了的若干問題解決”
  1. 圍繞 says:
    2021年12月2日 at 11:51

    sysctl: cannot stat /proc/sys/net/ipv4/tcp_tw_recycle: No such file or directory
    怎麼解決?

    Reply
    • 美博園 says:
      2021年12月2日 at 12:53

      @圍繞
      這是提示沒有找到相應的資料夾存在,可以往上檢查看看建立某個資料夾的步驟,是不是有輸入錯誤、或者空格之類的,導致應該建立的資料夾不存在。

      Reply
  2. ding says:
    2020年3月13日 at 12:33

    你好,安裝過程中出現了
    2000-12-21 13:15:54,207 (INFO) ee : Oops Something went wrong!!
    2000-12-21 13:15:54,208 (ERROR) ee : Check logs for reason `tail /var/log/ee/ee.log` & Try Again!!!

    按照教程中的:
    sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys
    步驟執行了,沒有用啊,執行還是顯示相同的錯誤,看日誌錯誤也一樣

    Reply
  3. 網域 says:
    2019年12月25日 at 21:50

    我想請問,文中說「二級網域 abc.domainexample.com 和 其三級網域 www .abc.domainexample.com 也要作網域解析,也要指向同一個 IP。」
    這個要怎麼做?

    Reply
  4. Beers says:
    2019年12月23日 at 13:11

    我也是之前碰到這個問題,折騰了好久才成功解決,作者的一個命令有問題,是「三、查看Let's Encrypt安裝出錯的記錄文件」 的第一個命令 tail /var/log/ee/ee.log ,應改用 cat /var/log/ee/ee.log 這個命令,這樣才能看到真正詳細的出錯提示,其實原因就是gpg: key過期的問題,解決方法參考鏈接:https://rtcommunity2.rssing.com/chan-63981296/all_p370.html

    Reply
  5. surfing says:
    2019年12月11日 at 20:04

    美博園您好,我在安裝Let』s Encrypt證書時遇到了這個問題,已經嘗試了很多遍仍然無法解決:網域解析已經完成,我是使用網域(而非vps ip地址)登陸的xshell。也已經通過網站驗証網域解析通過。
    但是在「ee site create abc.com --html --letsencrypt」這個步驟時就會出錯。使用「tail /var/log/ee/ee.log」命令會反饋如下
    Hit:2 https://archive.ubuntu.com/ubuntu bionic InRelease
    Get:3 https://archive.ubuntu.com/ubuntu bionic-updates InRelease [88.7 kB]
    Get:4 https://archive.ubuntu.com/ubuntu bionic-backports InRelease [74.6 kB]
    Ign:5 https://download.opensuse.org/repositories/home:/rtCamp:/EasyEngine/xUbuntu_18.04 InRelease
    Get:6 https://download.opensuse.org/repositories/home:/rtCamp:/EasyEngine/xUbuntu_18.04 Release [1,014 B]
    Get:7 https://download.opensuse.org/repositories/home:/rtCamp:/EasyEngine/xUbuntu_18.04 Release.gpg [481 B]
    Ign:7 https://download.opensuse.org/repositories/home:/rtCamp:/EasyEngine/xUbuntu_18.04 Release.gpg
    Reading package lists...
    日期時間,774 (INFO) ee : Oops Something went wrong!!
    日期時間,775 (ERROR) ee : Check logs for reason `tail /var/log/ee/ee.log
    而cat /var/log/letsencrypt/letsencrypt.log命令則會反饋
    No such file or directory
    請問我是否在哪一步出了錯誤或是有什麼疏忽呢?

    Reply

這裡是你留言評論的地方


請留言


8 + 2 =
【您可以使用 Ctrl+Enter 快速發送】
Copyright © 2007 - 2025 , Design by 美博園. 著作權所有. 若有著作權問題請留言通知本站管理員. 【回到頂部】