ssl - 证书管理器质询因连接超时而失败。可以从互联网手动连接到 URL。下一个调试步骤是什么？-6ren

ssl - 证书管理器质询因连接超时而失败。可以从互联网手动连接到 URL。下一个调试步骤是什么？

转载作者：行者123 更新时间：2023-12-04 07:43:07

我是 Kubernetes 新手，并且支持在 Kubernetes 中托管的特定网站。我试图弄清楚为什么 cert-manager 几周前没有在 QA 环境中更新证书。
查看各种证书相关资源的详细信息，问题似乎是挑战失败:

State: invalid, Reason: Error accepting authorization: acme: authorization error for [DOMAIN]: 400 urn:ietf:params:acme:error:connection: Fetching http://[DOMAIN]/.well-known/acme-challenge/[CHALLENGE TOKEN STRING]: Timeout during connect (likely firewall problem)

我认为该错误意味着 Let's Encrypt 无法访问 http://[DOMAIN]/.well-known/acme-challenge/[CHALLENGE TOKEN STRING] 上的挑战文件
(域和质询 token 字符串已编辑)
我尝试通过 PowerShell 连接到 URL:

PS C:\Users\Simon> invoke-webrequest -uri http://[DOMAIN]/.well-known/acme-challenge/[CHALLENGE TOKEN STRING] -SkipCertificateCheck

它返回 200 OK。
但是，PowerShell 会自动跟踪重定向并使用 WireShark 检查 Nginx Web 服务器正在执行 308 永久重定向到 https://[DOMAIN]/.well-known/acme-challenge/[CHALLENGE TOKEN STRING]
(相同的 URL，但只是将 HTTP 重定向到 HTTPS)
我知道 Let's Encrypt 应该能够处理 HTTP 到 HTTPS 的重定向。
鉴于 Let's Encrypt 试图访问的 URL 可以从 Internet 访问，我不知道下一步应该如何调查这个问题。有人可以提供任何建议吗？
这是 kubectl cert-manager 插件的完整输出，检查证书和相关资源的状态:

PS C:\Users\Simon> kubectl cert-manager status certificate -n qa containers-tls-secret

Name: containers-tls-secret
Namespace: qa
Created at: 2020-10-16T08:40:14+13:00
Conditions:
  Ready: False, Reason: Expired, Message: Certificate expired on Sun, 14 Mar 2021 17:41:12 UTC
  Issuing: False, Reason: Failed, Message: The certificate request has failed to complete and will be retried: Failed to wait for order resource "containers-tls-secret-q2cwr-3223066309" to become ready: order is in "invalid" state:
DNS Names:
- [DOMAIN]
Events:
  Type     Reason   Age                 From          Message
  ----     ------   ----                ----          -------
  Normal   Issuing  31s (x236 over 9d)  cert-manager  Renewing certificate as renewal was scheduled at 2021-02-12 17:41:12 +0000 UTC
  Normal   Reused   31s (x236 over 9d)  cert-manager  Reusing private key stored in existing Secret resource "containers-tls-secret"
  Warning  Failed   31s (x236 over 9d)  cert-manager  The certificate request has failed to complete and will be retried: Failed to wait for order resource "containers-tls-secret-q2cwr-3223066309" to become ready: order is in "invalid" state:
Issuer:
  Name: letsencrypt
  Kind: ClusterIssuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
  Events:  <none>
Secret:
  Name: containers-tls-secret
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: R3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: dadf29869b58d05e980c390fdc8783f52369228d
  Authority Key ID: 142eb317b75856cbae500940e61faf9d8b14c2c6
  Serial Number: 04f7356add94a7909afab94f0847a3457765
  Events:  <none>
Not Before: 2020-12-15T06:41:12+13:00
Not After: 2021-03-15T06:41:12+13:00
Renewal Time: 2021-02-13T06:41:12+13:00
CertificateRequest:
  Name: containers-tls-secret-q2cwr
  Namespace: qa
  Conditions:
    Ready: False, Reason: Failed, Message: Failed to wait for order resource "containers-tls-secret-q2cwr-3223066309" to become ready: order is in "invalid" state:
  Events:  <none>
Order:
  Name: containers-tls-secret-q2cwr-3223066309
  State: invalid, Reason:
  Authorizations:
    URL: https://acme-v02.api.letsencrypt.org/acme/authz-v3/10810339315, Identifier: [DOMAIN], Initial State: pending, Wildcard: false
  FailureTime: 2021-02-13T06:41:59+13:00
Challenges:
- Name: containers-tls-secret-q2cwr-3223066309-2302286353, Type: HTTP-01, Token: [CHALLENGE TOKEN STRING], Key: [CHALLENGE TOKEN STRING].8b00cc-ysOWGQ8vtmpOJobWOFa2cEQUe4Sun5NUKCws, State: invalid, Reason: Error accepting authorization: acme: authorization error for [DOMAIN]: 400 urn:ietf:params:acme:error:connection: Fetching http://[DOMAIN]/.well-known/acme-challenge/[CHALLENGE TOKEN STRING]: Timeout during connect (likely firewall problem), Processing: false, Presented: false

顺便说一句，invoke-webrequest 结果显示返回了一个 HTML 页面:

<!doctype html><html lang="en"><head><meta charset="utf-8"><title>Containers</title><base href="./"><meta name="viewport" content="width=device-width,initial-scale=1"><link rel="icon" href="favicon.ico…

这可能是问题吗？我不知道 Let's Encrypt 期望在 HTTP01 质询的 URL 中找到什么。允许网页还是期待不同的网页？
编辑:我现在怀疑 invoke-webrequest 返回的 HTML 页面不正常，因为我知道该文件应该包含 Let's Encrypt token 和 key 。这是完整的 HTML 页面:

<!doctype html>
<html lang="en">
    <head>
        <meta charset="utf-8">
        <title>Wineworks</title>
        <base href="./">
        <meta name="viewport" content="width=device-width,initial-scale=1">
        <link rel="icon" href="favicon.ico">
        <link rel="apple-touch-icon-precomposed" href="favicon-152.png">
        <meta name="msapplication-TileColor" content="#FFFFFF">
        <meta name="msapplication-TileImage" content="favicon-152.png">
        <script src="https://secure.aadcdn.microsoftonline-p.com/lib/1.0.16/js/adal.min.js"/>
        <link href="styles.025a840d59ecfcfe427e.bundle.css" rel="stylesheet"/>
    </head>
    <body>
        <app-root/>
        <script type="text/javascript" src="inline.ce954cfcbe723b5986e6.bundle.js"/>
        <script type="text/javascript" src="polyfills.7edc676f7558876c179d.bundle.js"/>
        <script type="text/javascript" src="main.da3590aac44ee76e7b3a.bundle.js"/>
    </body>
</html>

知道什么可能导致 cert-manager 在挑战位置放置错误类型的文件吗？

最佳答案

最后我无法确定证书更新失败的原因。但是，与证书相关的资源之一的事件表明以前的续订已经奏效。所以我认为无论问题是暂时的还是一次性的，都有可能，并且再次尝试更新证书可能会起作用。
阅读各种文章和博客文章，似乎删除 CertificateRequest 对象会提示 cert-manager 创建一个新对象，这应该会导致证书更新。此外，删除 CertificateRequest 对象也会自动删除关联的 ACME Order 和 Challenge 对象，因此无需手动删除它们。
删除 CertificateRequest 对象确实有效:证书已成功续订。但是，它并没有立即更新。进一步阅读表明证书更新可能需要一个小时(我没有检查它花费的确切时间，因此无法验证这一点)。
要删除 CertificateRequest:

kubectl delete certificaterequest <certificateRequest name>

例如:

kubectl delete certificaterequest my-certificate-zrt6p -n qa

如果您希望在删除 CertificateRequest 对象和 cert-manager 创建新对象后强制立即更新，而不是等待一个小时，如果您有 ，请运行以下 kubectl 命令。 kubectl 证书管理器插件 安装:

kubectl cert-manager renew <certificate name>

例如，要在命名空间 qa 中更新证书 my-certificate:

kubectl cert-manager renew my-certificate -n qa

注意:安装 kubectl cert-manager 插件的最简单方法是通过克鲁插件管理器:

kubectl krew install cert-manager

见 https://krew.sigs.k8s.io/docs/user-guide/setup/install/有关如何安装 Krew 的详细信息(这对所有 kubectl 插件都很有用，而不仅仅是 cert-manager)。
我从研究中发现的另一件事是，有时旧的证书 secret 会“卡住”，从而阻止创建新的 secret 。您可以删除证书 secret 以避免此问题。例如:

kubectl delete secret my-certificate -n qa

但是，我假设如果没有证书 secret ，您的网站将没有证书，这可能会阻止浏览器访问它。所以我只会删除现有的 secret 作为最后的手段。

关于ssl - 证书管理器质询因连接超时而失败。可以从互联网手动连接到 URL。下一个调试步骤是什么？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/67345650/

文章推荐： p5.js - 是否可以更改粒子颜色？

文章推荐： python - 使用 Pandas 链接数据转换方法的设计模式

文章推荐： marklogic - cts.estimate 显示错误的文档计数

文章推荐： python - 如何同时实现 2 个 python 范围函数？

python - 连接/连接/合并两个缺失一列的数据框
我知道这个问题可能已经被问过，但我检查了所有这些，我认为我的情况有所不同(请友善)。所以我有两个数据集，第一个是测试数据集，第二个是我保存在数据框中的预测(预测值，这就是没有数据列的原因)。我想合并两
Python - 如何组合/连接/连接 pandas 系列变量忽略空变量
在 .loc 方法的帮助下，我根据同一数据框中另一列中的值来识别 Panda 数据框中某一列中的值。下面给出了代码片段供您引用: var1 = output_df['Player'].loc[out
sftp - 服务器拒绝 SFTP 连接，但它会监听 FTP 连接
当我在 Windows 中使用 WinSCP 通过 Ubuntu 连接到 VMware 时，它提示: The server rejected SFTP connection, but it lis
java - 连接 3G 与 Wi-Fi 连接
我正在开发一个使用 xml web 服务的 android 应用程序。在 wi-fi 网络中连接时工作正常，但在 3G 网络中连接时失败(未找到 http 404)。这不仅仅发生在设备中。为了进行测
objective-c - 连接 Action 有效。连接 socket 不
我有一个XIB包含我的控件的文件，加载到 Interface Builder(Snow Leopard 上的 Xcode 4.0.2)中。文件的所有者被设置为 someClassController
mysql - 用户可以通过 PDO 连接，但不能通过 C mysql_real_connect 连接
我在本地计算机上管理 MySQL 数据库，并通过运行以下程序通过 C 连接到它: #include #include #include int main(int argc, char** arg
java - Spring 和 MySQL 连接(不断创建新连接而不是使用 hibernate 连接)
我不知道为什么每次有人访问我网站上的页面时，都会打开一个与数据库的新连接。最终我到达了大约 300 并收到错误并且页面不再加载。我认为它应该工作的方式是，我将 maxIdle 设置为 30，这意味着
python - 使用 Python 3 连接/连接 txt 文件中的行
希望清理 NMEA GPS 中的 .txt 文件。我当前的代码如下。 deletes = ['$GPGGA', '$GPGSA', '$GPGSV', '$PSRF156', ] searchquer
c# - 通过 C#.Net 创建/连接 VPN 连接
我有一个 URL、一个用户名和一个密码。我想在 C# .Net WinForms 中建立 VPN 连接。你能告诉我从哪里开始吗？任何第三方 API？代码示例将受到高度赞赏... 最佳答案您可以像
c++ - 将字符串 vector 连接(连接)到字符缓冲区，零字节作为分隔符/终止符
有没有更好的方法将字符串 vector 转换为字符 vector ，字符串之间的终止符为零。因此，如果我有一个包含以下字符串的 vector "test","my","string"，那么我想接收一
android - 在 Android Instrumented 测试中模拟无 Internet 连接/慢速 Internet 连接
我正在编写一个库，它不断检查 android 设备的连接，并在设备连接、断开连接或互联网连接变慢时给出回调。 https://github.com/muddassir235/connection_ch
Mysql 数据库无法使用 "loclhost"连接，但可以使用 "127.0.0.1"Centos 7 (Cloudlinux) 连接
我的操作系统:Centos 7 + CLOUDLINUX 7.7当我尝试从服务器登录Mysql时 [root@server3 ~]# Mysql -u root -h localhost -P 330
ruby-on-rails - 无法打开到本地主机的 TCP 连接:9200(连接被拒绝 - 连接(2)用于 "localhost"端口 9200)(Faraday::ConnectionFailed)
我收到错误:Puma 发现此错误:无法打开到本地主机的 TCP 连接:9200(连接被拒绝 - 连接(2)用于“本地主机”端口 9200)(Faraday::ConnectionFailed)在我的
ruby-on-rails - ActionView::Template::Error(无法打开到本地主机的 TCP 连接:9292(连接被拒绝 - 连接(2)用于 "localhost"端口 9292))
请给我一些解决以下错误的方法。这是一个聊天应用....代码和错误如下:: conversations_controller.rb def create if Conversation.bet
Excel 连接
我想将两个单元格中的数据连接到一个单元格中。我还想只组合那些具有相同 ID 的单元格。任务 ID 名称 4355.2 参与者 4355.2 领袖 4462.1 在线 4462.1 快速 4597.1
TSQL 连接
我经常需要连接 TSQL 中的字段... 使用“+”运算符时 TSQL 强制您处理的两个问题是 Data Type Precedence和 NULL 值。使用数据类型优先级，问题是转换错误。 1)
Facebook 连接
有没有在 iPad 或 iPhone 应用程序中使用 Facebook 连接。这个想法是登录这个应用程序，然后能够看到我的哪些 facebook 用户也在使用该应用程序及其功能。最佳答案是的。
连接/打印字符串文字
我在连接或打印字符串时遇到了一个奇怪的问题。我有一个 char * ，可以将其设置为字符串文字的几个值之一。 char *myStrLiteral = NULL; ... if(blah) myS
Xquery 连接
对于以下数据 - let $x := "Yahooooo !!!! Select one number - " let $y := 1 2 3 4 5 6 7 我想得到
Perl 连接
我正在看 UDEMY for perl 的培训视频，但是视频不清晰，看起来有错误。培训展示了如何使用以下示例连接 2 个字符串: #!usr/bin/perl print $str = "Hi";

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

ssl - 证书管理器质询因连接超时而失败。可以从互联网手动连接到 URL。下一个调试步骤是什么？