Skip to main content

Інструкція користувача

Чому я не можу отримати або поновити сертифікат SSL для мого доменного імені KeenDNS?

Автоматичне поновлення або отримання сертифіката SSL може не працювати в таких випадках:

  1. У конфігурації роутера запити на порт TCP/443 перенаправляються на інший хост у локальній мережі.

    Рішення: видаліть правила переадресації для порту TCP/443.

  2. Доменне ім’я CDN-сервера центру сертифікації не може бути розпізнане через некоректну роботу DNS-резолвера інтернет-провайдера.

    Рішення: спробуйте налаштувати розпізнавання імен через DNS-сервери DoT/DoH. Зверніться до інструкцій Проксі-сервери DoH та DoT для шифрування DNS-запитів.

  3. Під час поновлення або отримання сертифіката SSL існує нестабільне з’єднання зі шлюзом вашого провайдера.

    Рішення: перевірте стабільність з’єднання з провайдером та зверніться до нього для діагностики.

  4. Порт керування для вбудованого сервера NGINX (за замовчуванням TCP/80) не встановлено. У системному журналі роутера можна побачити такі записи:

    ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.
ndm: Core::Pki::Tools: certificate for "domain" is expired.

    Рішення: якщо ви бачите це повідомлення в журналі, це означає, що вам потрібно налаштувати порт керування TCP/80 для веб-сервера роутера.

  5. Ваш інтернет-провайдер блокує домен та IP-адреси CDN-сервера центру сертифікації.

    Рішення: спробуйте налаштувати роутер для підключення до Інтернету через іншого провайдера. Наприклад, увімкніть точку доступу на смартфоні та підключіть до неї роутер через WISP-з’єднання, щоб отримати доступ до Інтернету через мережу мобільного оператора.

  6. Через невдалі спроби підключитися до сервера віддалена сторона призупинила процес отримання/поновлення сертифіката.

    Це може призвести до спрацювання обмежень на кількість запитів на сервері, і в системному журналі роутера можуть з’явитися такі записи:

    ndm: Acme::Tools: bad HTTP status: 429.
ndm: Acme::Client: unable to issue certificate for "domain": too many failed retries.

    Рішення: вам потрібно буде скинути налаштування до заводських і зачекати, поки сертифікат буде виданий для раніше зареєстрованого доменного імені — останнього, що використовувалося (не потрібно змінювати ім'я).

    Важливо! Не рекомендується завантажувати раніше збережену конфігурацію роутера (файл startup-config).

  7. Перевищено максимально дозволений простір для записів сертифікатів SSL у розділі Config_X операційної системи KeeneticOS. У системному журналі з'явиться така помилка:

    failed to store a new extended entry: new data size is too large

    Рішення: видаліть раніше налаштовані VPN-тунелі. Конфігурація OpenVPN займає найбільше місця, тому видалення одного з невикористовуваних тунелів OpenVPN може допомогти.

  8. Системний час не синхронізовано. У цьому випадку автоматичне та ручне відкликання сертифіката не працює, і в системному журналі можна побачити такі записи:

    ndm: Acme::Client: start automatic revocation of certificate for domain "mydomain.keenetic.pro".
ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.
ndm: Acme::Client: retry #2 after 20s.
ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.

    Рішення: перевірте з'єднання зі шлюзом провайдера. Для автоматичної синхронізації системного часу роутера потрібен стабільний доступ до Інтернету.

    Також рекомендується перевірити налаштування NTP-сервера в системі. Зверніться до інструкцій Налаштування часу.

У цьому розділі: