Почему не работает обновление или получение SSL-сертификата для доменного имени KeenDNS?
Автоматическое продление или получение SSL-сертификата может не сработать в следующих случаях:
В конфигурации роутера запросы на порт
TCP/443
перенаправлены на другой хост в локальной сети.Решение: Удалите правила переадресации для порта
TCP/443
.Не резолвится доменное имя CDN-сервера центра сертификации в связи с некорректной работой DNS-резолвера интернет-провайдера.
Решение: Попробуйте настроить резолвинг через DoT/DoH DNS-серверы. Обратитесь к инструкции ???.
В момент продления или получения SSL-сертификата наблюдается нестабильное подключение к шлюзу провайдера.
Решение: Проверьте стабильность подключения к шлюзу провайдера, обратиться к интернет-провайдеру за диагностикой.
Не установлен порт управления для встроенного NGINX-сервера (по умолчанию
TCP/80
). В системном журнале роутера можно увидеть следующие записи:ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80. ndm: Core::Pki::Tools: certificate for "domain" is expired.
Решение: Если в логе наблюдается указанное сообщение, это значит, что нужно установить TCP/80 порт управления для веб-сервера роутера.
На стороне провайдера блокируются доменные и IP-адреса CDN-сервера центра сертификации.
Решение: Попробуйте настроить на роутере подключение к интернету через другого провайдера. Например, включите собственную точку доступа на смартфоне и подключите к ней роутер через WISP-соединение для получения доступа в интернет через сеть мобильного оператора.
Из-за неудачных попыток подключения к серверу, удалённая сторона поставила на паузу получение/продление сертификата.
В связи с этим может быть вызван rate limits на сервере, при этом в системном журнале роутера можно увидеть следующие записи:
ndm: Acme::Tools: bad HTTP status: 429. ndm: Acme::Client: unable to issue certificate for "domain": too many failed retries.
Решение: Потребуется сделать сброс настроек до заводских установок и затем подождите процесс получения сертификата для ранее зарегистрированного доменного имени — последнего (изменять имя не нужно при этом).
Важно! Загружать ранее сохраненную конфигурацию роутера (файл startup-config) не рекомендуется.
Превышен максимально допустимый размер для записи SSL-сертификатов в раздел
Config_X
операционной системы KeeneticOS. При этом в системном журнале будет следующая ошибка:failed to store a new extended entry: new data size is too large
Решение: Удалите ранее настроенные VPN-туннели, больше всего места занимает конфигурация OpenVPN, поэтому рекомендуется удалить один из работающих или неиспользуемых OpenVPN-туннелей.
Не синхронизировано время системы. При этом не срабатывает автоматический и ручной отзыв сертификата, и в системном журнале можно увидеть следующие записи:
ndm: Acme::Client: start automatic revocation of certificate for domain "mydomain.keenetic.pro". ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred. ndm: Acme::Client: retry #2 after 20s. ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.
Решение: Проверьте подключение к шлюзу провайдера. Должен быть стабильный доступ в интернет для автоматической синхронизации времени системы роутера.
Также рекомендуется проверить настройки NTP-сервера в системе. Обратитесь к инструкции Установка времени.