Erro ao revogar certificado vencido

Estou tentando revogar um certificado vencido através do seguinte comando:

./certbot-auto revoke --cert-path /etc/letsencrypt/archive/meudominio.com.br/cert1.pem

E apresenta o seguinte erro:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
An unexpected error occurred:
The client lacks sufficient authorization :: Certificate is expired
Please see the logfiles in /var/log/letsencrypt for more details.

Hi @luisthiago3108

why do you want to revoke a certificate? That’s only required if the private key is stolen or if you do not longer control the domain.

And the error message is simple: The certificate isn’t valid, it’s expired. So revocation isn’t longer possible and required: The certificate is dead.

2 Likes

If it’s expired, I need to delete! I can’t renew.

I’m trying pulling of the docker image within my server, however I can’t to do download because the certificate it’s expired.

Acho que tem um mal-entendido aqui. O certificado vencido pode sim ser renovado, apenas pedindo, e substitutindo, outro certificado.

Se isso não funciona, pode dar mais detalhes sobre o que está tentando fazer?

**Então! **

Esse certificado expirou, tentei renovar, mas deu erro! Eu acabei seguindo uns tutorias na internet e apaguei os arquivos na mão. Agora o problema ficou maior que o anterior.

Gerou esse erro:

Error while running nginx -c /etc/nginx/nginx.conf -t.

nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/docker.fasolti.com.br/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(’/etc/letsencrypt/live/docker.fasolti.com.br/fullchain.pem’,‘r’) error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed

Esse servidor roda um nginx fazendo balanceamento de outras aplicações. Tem 3 domínios diferentes com chaves letsencrypt neste servidor. Apenas o docker.fasolti.com.br que deu problema para renovar.

O 1º erro que deu ao tentar renovar, foi o seguinte:

return self.net.post(*args, **kwargs)

File “/opt/eff.org/certbot/venv/lib64/python3.4/site-packages/acme/client.py”, line 1194, in post
return self._post_once(*args, **kwargs)
File “/opt/eff.org/certbot/venv/lib64/python3.4/site-packages/acme/client.py”, line 1208, in _post_once
response = self._check_response(response, content_type=content_type)
File “/opt/eff.org/certbot/venv/lib64/python3.4/site-packages/acme/client.py”, line 1063, in _check_response
raise messages.Error.from_json(jobj)
acme.messages.Error: urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Certificate is expired
2019-10-31 11:57:01,632:ERROR:certbot.log:An unexpected error occurred:
2019-10-31 11:57:01,632:ERROR:certbot.log:The client lacks sufficient authorization :: Certificate is expired

Obrigado pelas informações adicionais, @luisthiago3108.

Sim, um certificado vencido não pode mais ser revogado (mas pode ainda ser renovado). O erro que recebeu quer dizer que não é possível/relevante revogar o certificado vencido.

E esse erro indica que apagou o certificado vencido (ou com rm, ou com certbot --delete) sem também retirar as referências a ele da configuração nginx.

Revogar e/ou apagar certificados quase nunca melhora uma situação, sobretudo quando os certificados continuem em uso pelo servidor (mesmo se já vencidos).

O mais fácil para consertar esse problema é provavelmente apagar também o arquivo em /etc/nginx que contém o server block com a definição do site HTTPS do docker.fasolti.com.br, primeiro verificando que é um arquivo que só contém esse server block e nenhum outro. Se não tem certeza, pode colar o conteúdo aqui para a gente discutir.

É possível encontrar o arquivo relevante com

sudo grep -r docker.fasolti.com.br/fullchain.pem /etc/nginx

Legal, sua ajuda está tendo grande valia! Eu posso gerar novamente um certificado para esse domínio? qual comando posso utilizar?

Sim, por exemplo com ./certbot-auto --nginx -d meudominio.com.br -d www.meudominio.com.br de novo.

(na hipótese de você ter uma configuração válida para o site HTTP no nginx)

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.