Skip to main content

Руководство пользователя

Почему не работает обновление или получение SSL-сертификата для доменного имени KeenDNS?

Автоматическое продление или получение SSL-сертификата может не сработать в следующих случаях:

  1. В конфигурации роутера запросы на порт TCP/443 перенаправлены на другой хост в локальной сети.

    Решение: Удалите правила переадресации для порта TCP/443.

  2. Не резолвится доменное имя CDN-сервера центра сертификации в связи с некорректной работой DNS-резолвера интернет-провайдера.

    Решение: Попробуйте настроить резолвинг через DoT/DoH DNS-серверы. Обратитесь к инструкции ???.

  3. В момент продления или получения SSL-сертификата наблюдается нестабильное подключение к шлюзу провайдера.

    Решение: Проверьте стабильность подключения к шлюзу провайдера, обратиться к интернет-провайдеру за диагностикой.

  4. Не установлен порт управления для встроенного NGINX-сервера (по умолчанию TCP/80). В системном журнале роутера можно увидеть следующие записи:

    ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.
    ndm: Core::Pki::Tools: certificate for "domain" is expired.

    Решение: Если в логе наблюдается указанное сообщение, это значит, что нужно установить TCP/80 порт управления для веб-сервера роутера.

  5. На стороне провайдера блокируются доменные и IP-адреса CDN-сервера центра сертификации.

    Решение: Попробуйте настроить на роутере подключение к интернету через другого провайдера. Например, включите собственную точку доступа на смартфоне и подключите к ней роутер через WISP-соединение для получения доступа в интернет через сеть мобильного оператора.

  6. Из-за неудачных попыток подключения к серверу, удалённая сторона поставила на паузу получение/продление сертификата.

    В связи с этим может быть вызван rate limits на сервере, при этом в системном журнале роутера можно увидеть следующие записи:

    ndm: Acme::Tools: bad HTTP status: 429.
    ndm: Acme::Client: unable to issue certificate for "domain": too many failed retries.

    Решение: Потребуется сделать сброс настроек до заводских установок и затем подождите процесс получения сертификата для ранее зарегистрированного доменного имени — последнего (изменять имя не нужно при этом).

    Важно! Загружать ранее сохраненную конфигурацию роутера (файл startup-config) не рекомендуется.

  7. Превышен максимально допустимый размер для записи SSL-сертификатов в раздел Config_X операционной системы KeeneticOS. При этом в системном журнале будет следующая ошибка:

    failed to store a new extended entry: new data size is too large

    Решение: Удалите ранее настроенные VPN-туннели, больше всего места занимает конфигурация OpenVPN, поэтому рекомендуется удалить один из работающих или неиспользуемых OpenVPN-туннелей.

  8. Не синхронизировано время системы. При этом не срабатывает автоматический и ручной отзыв сертификата, и в системном журнале можно увидеть следующие записи:

    ndm: Acme::Client: start automatic revocation of certificate for domain "mydomain.keenetic.pro".
    ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.
    ndm: Acme::Client: retry #2 after 20s.
    ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.

    Решение: Проверьте подключение к шлюзу провайдера. Должен быть стабильный доступ в интернет для автоматической синхронизации времени системы роутера.

    Также рекомендуется проверить настройки NTP-сервера в системе. Обратитесь к инструкции Установка времени.