Certificado não atualizou

Please fill out the fields below so we can help you better. Note: you must provide your domain name to get help. Domain names for issued certificates are all made public in Certificate Transparency logs (e.g. crt.sh | example.com), so withholding your domain name here does not increase secrecy, but only makes it harder for us to provide help.

My domain is: glpi.colorquimica.com.br

I ran this command: sudo certbot certonly --manual --preferred-challenges dns --force-renewal --email ti@colorquimica.com.br --agree-tos --no-eff-email --manual-public-ip-logging-ok --domains glpi.colorquimica.com.br

It produced this output: There were too many requests of a given type :: Error creating new order :: too many certificates (5) already issued for this exact set of domains in the last 168 hours: glpi.colorquimica.com.br, retry after 2023-10-20

My web server is (include version):

The operating system my web server runs on is (include version): Ubuntu 22.04.1

My hosting provider, if applicable, is:

I can login to a root shell on my machine (yes or no, or I don't know): sim

I'm using a control panel to manage my site (no, or provide the name and version of the control panel):

The version of my client is (e.g. output of certbot --version or certbot-auto --version if you're using Certbot):

O certificado iria expirar hoje, mas foi realizado o procedimento de atualização no dia 17/10, porém, após fazer o procedimento através do comando mencionado acima, tendo colocado o valor no TXT _acme-challenge.glpi no Cloudflare, o certificado não foi atualizado. Hoje tentei realizar o procedimento novamente, porém, não retornou o valor para colocar no TXT, pensei que era algum problema e tentei por várias vezes executar o comando até que a mensagem de erro sobre o limite apareceu.

O que eu devo fazer? Meu certificado não atualizou e agora o site está sem HTTPS, impactando no seu funcionamento.

The error is because you have exceeded the Rate Limits of Let's Encrypt for production certificates. Your use of --force-renewal has partly caused this problem. It is very rare that you should use that so please stop.

The more important thing is you keep getting certs but are not properly applying them to your service. I don't know what service you have because the DNS A record points to a private IP address. You can use certs for private servers. But, I cannot give specific advice without more info from you.

You should review why your service is not using the certs you already got. You can see the most recent with the sudo certbot certificates command

The public logs show this for your domain. Also review the Let's Encrypt Rate Limit page (link here)

2 Likes

Olá, Mike

Estou usando este comando pois consta no meu manual de procedimento de atualização do certificado do GLPI, não fui eu quem criei. Qual seria o comando correto?

"sudo certbot certonly --manual --preferred-challenges dns --force-renewal --email ti@colorquimica.com.br --agree-tos --no-eff-email --manual-public-ip-logging-ok --domains glpi.colorquimica.com.br"

Quando executo este comando ele gera um valor, conforme imagem abaixo:

Esse valor é informado no registro do DNS colorquimica.com.br, no TXT _acme-challenge.glpi

O que ocorreu foi:
Dia 17/10 nós atualizamos o certificado através do comando o qual gerou um novo valor, nós inserimos este valor no TXT do DNS, porém, o certificado não atualizou a data, tendo expirado hoje. Hoje executei o comando novamente, porém em nenhuma das vezes que eu executei ele foi mostrado o valor para substituir no TXT do DNS. Então eu não sei se o valor que estou usando não deveria ser deste último certificado.. o que acontece é que eu não sei qual é pois não foi mostrado no cmd.

What does this command show?

2 Likes

image

What's wrong with that certificate? Why are you forcing renewals leading to the rate limit when you've got your perfectly fine certificate right there? Why aren't you using it?

2 Likes

Eu não sei o que há de errado.. o que acontece é que a data de validade do certificado não atualizou...

image

Please review your glpi configuration. And maybe you need to restart it to start using the new certificate

3 Likes

Depending on how your webserver is configured it might or might not just require a reload indeed.

Unfortunately you didn't provide the webserver in the questionnaire, so you're on your own for that.

Eu reiniciei o servidor do GLPI e a data foi atualizada..

image

Vou rir para não chorar.. obrigado! Podem encerrar o tópico.

3 Likes

@ticolorquimica No geral, o Certbot sabe atualizar os arquivos no disco (certificado, certificado de cadeia, e chave privada) mas não sabe dizer ao aplicativo que foram atualizados. Só usando Apache ou nginx ele tem como reiniciar o serviço automaticamente ao renovar o certificado.

Mas existe uma opção chamada --deploy-hook que permite emitir um comando cada vez que o certificado for renovado. Com essa opção, o Certbot executaria tal comando para reiniciar o serviço, e logo o serviço detectaria a presença do certificado atualizado.

2 Likes

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.