Certificate firewall

Meu nome de domínio é: suitehotel.com.br

Executei esse comando:
letsencrypt --authenticator standalone --installer apache -d suitehotel.com.br

Produziu essa saída:
root@suitehotel:/var/www/suitehotel/.well-known# letsencrypt --authenticator standalone --installer apache -d suitehotel.com.br
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer apache
http-01 challenge for suitehotel.com.br
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. suitehotel.com.br (http-01): urn:ietf:params:acme:error:connection :: The server could not connect to the client to verify the domain :: During secondary validation: 45.180.72.235: Fetching http://suitehotel.com.br/.well-known/acme-challenge/E9V6kYRAgtS_c2_xq9_GmiaKhgjSoUwWKOMIWnxFwGI: Timeout during connect (likely firewall problem)

IMPORTANT NOTES:

  • The following errors were reported by the server:

    Domain: suitehotel.com.br
    Type: connection
    Detail: During secondary validation: 45.180.72.235: Fetching
    http://suitehotel.com.br/.well-known/acme-challenge/E9V6kYRAgtS_c2_xq9_GmiaKhgjSoUwWKOMIWnxFwGI:
    Timeout during connect (likely firewall problem)

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you're using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.
    Meu servidor web é (com versão):
    Version: 2.4.38-3+deb10u7

O sistema operacional no meu servidor web é (com versão): debian10
O serviço de hospedagem do meu site (se aplicável) é: máquina local
Posso acessar um shell root na minha máquina (sim ou não, ou não sei): sim
Uso um painel de controle para administrar meu site (não, ou indique o nome e a versão do painel de controle): não

Oi @marloncgarcia,

Realmente parece ter um firewall, bloqueando porta 80 e permitindo porta 443.

Com o jeito de obter certificados que você está tentando, a Let's Encrypt precisa acessar seu sistema na porta 80.

Se a política de firewall não foi criada intencionalmente, sugiro conferir no seu roteador, e até com seu provedor (Net 1 Onne) para verificar que não bloqueiam conexões do público na porta 80.

2 Likes

GeoLocation blocking?

1 Like

I can't say, how do I know if it's because of the geo location?

Oi @schoen obrigado pelo seu retorno, irei verificar o roteador amanhã quando chegar, obrigado !! Tenho outra pergunta para lhe fazer se eu consigo acessar o servidor na porta 80, não é para estar aberta ?

Is there a firewall or other device that can Geo block?

1 Like

Acessar por dentro da mesma rede, ou acessar pela Internet? (Por exemplo, numa conexão de celular?)

1 Like

consigo tanto dentro da rede como fora @schoen.

not that I know @rg305

Coloque a entrada CNAME no DNS desse jeito deu certo:
certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d *.suitehotel.com.br -d suitehotel.com.br
Obrigado pela ajuda de vocês !!

1 Like

Parabéns! Uma dificuldade com essa solução é que a renovação não será automática. Terá que executar a mesma coisa cada vez em que precisar de outro certificado, e criar os registros DNS outra vez também.

1 Like

@schoen é verdade !! Pedi para o pessoal técnico rever o firewall e tudo mais, e não acharam bloqueio na rede. Realmente não sei o que pode ser. Até achei que fosse alguma coisa relacionada ao DNS da Net 1. Contudo não encontrei nada que estivesse fora do lugar.

Ainda não posso acessar o site na porta 80 e ainda me parece um firewall (com bloqueio geográfico, acho eu, se não encontra o mesmo comportamento daí).

2 Likes


Geolocalização não parece ser não.
Agradecido @schoen

1 Like

E agora posso acessar. Você mudou a hospedagem do site de alguma forma?

2 Likes

Eu acredito que quando você foi acessar o serviço estava fora.