Описание
Выпуск SSL-сертификата Let's Encrypt (LE) для платформы завершается ошибкой:
При попытке подключения нового SSL-сертификата произошла ошибка, поэтому необходимо повторить процедуру подключения сертификата. Старый сертификат продолжает действовать.
Это происходит, когда для домена активна DNS-запись CAA (Certificate Authority Authorization), которая запрещает letsencrypt.org выпускать сертификаты.
Запись CAA указывает, каким центрам сертификации (ЦС) разрешено выпускать SSL-сертификаты для домена. Все ЦС, кроме указанных в записи, блокируются.
Диагностика
Чтобы подтвердить причину проблемы, выполните следующую команду на сервере платформы:
host -t CAA domain.comdomain.com has CAA record 0 issue "comodoca.com"Ожидаемый результат: запись не включает letsencrypt.org. Это подтверждает причину ошибки.
Решение
Чтобы разрешить выпуск сертификата, обновите CAA-запись в DNS-зоне вашего домена:
- Перейдите в личный кабинет вашего доменного регистратора.
- Измените или удалите CAA-запись:
- редактирование. Оставьте только одну CAA-запись вида:
domain.com. 300 IN CAA 0 issue "letsencrypt.org"После этого только letsencrypt.org сможет выпускать сертификаты для домена;
- удаление. Если вы удалите CAA-запись, ограничение будет снято. Выпуск сертификатов смогут выполнять любые доверенные центры сертификации.
- редактирование. Оставьте только одну CAA-запись вида:
- Сохраните изменения и дождитесь обновления DNS-записей (как правило, от нескольких минут до 24 часов).
- Повторите выпуск сертификата.
Связанные статьи: