Skip to main content

Kullanım Kılavuzu

Neden KeenDNS alan adım için SSL sertifikası alamıyorum veya yenileyemiyorum?

Bir SSL sertifikasının otomatik olarak yenilenmesi veya alınması aşağıdaki durumlarda çalışmayabilir:

  1. Yönlendirici yapılandırmasında, TCP/443 bağlantı noktasına gelen istekler yerel ağdaki başka bir ana bilgisayara yönlendirilir.

    Çözüm: TCP/443 bağlantı noktası için yönlendirme kurallarını kaldırın.

  2. İnternet sağlayıcısının DNS çözümleyicisinin hatalı çalışması nedeniyle sertifika merkezinin CDN sunucusunun alan adı çözümlenemiyor.

    Çözüm: Ad çözümlemesini DoT/DoH DNS sunucuları aracılığıyla yapılandırmayı deneyin. DNS İsteklerinin Şifrelenmesi için DoH ve DoT Proxy Sunucuları talimatlarına bakın.

  3. SSL sertifikası yenilenirken veya alınırken, İSS'nizin ağ geçidiyle olan bağlantınız kararsızdır.

    Çözüm: İSS ile olan bağlantının kararlılığını kontrol edin ve tanılama için onlarla iletişime geçin.

  4. Dahili NGINX sunucusu için yönetim bağlantı noktası (varsayılan olarak TCP/80) ayarlanmamıştır. Yönlendiricinin sistem günlüğünde aşağıdaki girdiler görülebilir:

    ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.
ndm: Core::Pki::Tools: certificate for "domain" is expired.

    Çözüm: Bu günlük iletisini görüyorsanız, yönlendiricinin web sunucusu için TCP/80 kontrol bağlantı noktasını kurmanız gerekir.

  5. İSS'niz, sertifika merkezinin CDN sunucusunun alan adını ve IP adreslerini engeller.

    Çözüm: Yönlendiriciyi başka bir sağlayıcı üzerinden İnternet'e bağlanacak şekilde yapılandırmayı deneyin. Örneğin, akıllı telefonunuzda bir erişim noktası etkinleştirin ve mobil operatörün ağı üzerinden İnternet'e erişmek için yönlendiriciyi ona bir WISP bağlantısı aracılığıyla bağlayın.

  6. Sunucuya bağlanmaya yönelik başarısız denemeler nedeniyle, uzak taraf sertifika alma/yenileme sürecini duraklatmıştır.

    Bu durum, sunucudaki hız sınırlarını tetikleyebilir ve yönlendiricinin sistem günlüğünde aşağıdaki girdiler görünebilir:

    ndm: Acme::Tools: bad HTTP status: 429.
ndm: Acme::Client: unable to issue certificate for "domain": too many failed retries.

    Çözüm: Ayarları fabrika varsayılanlarına sıfırlamanız ve ardından daha önce kaydedilmiş olan son alan adı için (adı değiştirmenize gerek yoktur) sertifikanın düzenlenmesini beklemeniz gerekecektir.

    Önemli! Daha önce kaydedilmiş yönlendirici yapılandırmasının (startup-config dosyası) yüklenmesi önerilmez.

  7. KeeneticOS işletim sisteminin Config_X bölümünde SSL sertifika kayıtları için izin verilen maksimum alan aşılmıştır. Sistem günlüğünde aşağıdaki hata görünecektir:

    failed to store a new extended entry: new data size is too large

    Çözüm: Önceden yapılandırılmış VPN tünellerini silin. OpenVPN yapılandırması en çok alanı kapladığından, kullanılmayan OpenVPN tünellerinden birini silmek yardımcı olabilir.

  8. Sistem saati senkronize değil. Bu durumda, otomatik ve manuel sertifika iptali çalışmaz ve sistem günlüğünde aşağıdaki girdiler görülebilir:

    ndm: Acme::Client: start automatic revocation of certificate for domain "mydomain.keenetic.pro".
ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.
ndm: Acme::Client: retry #2 after 20s.
ndm: Acme::Client: time is not set, "mydomain.keenetic.pro" revocation deferred.

    Çözüm: İSS'nin ağ geçidiyle olan bağlantıyı kontrol edin. Yönlendiricinin sistem saatinin otomatik olarak senkronize edilmesi için kararlı İnternet erişimi gereklidir.

    Ayrıca sistemdeki NTP sunucusu ayarlarının kontrol edilmesi de tavsiye edilir. Zaman Ayarları talimatlarına bakın.

Bu bölümde: