web-dev-qa-db-ja.com

PleskでLetsEncrypt.orgから無料のSSL証明書を設定する際に発生するレート制限

事前に構築されたPleskホスティングcpanelからletsencryt.orgから直接ホスティングドメインにSSLを追加しようとすると、エラーが発生しました。

SSL/TLS証明書

エラー:xyz.example.net。のLet's Encrypt SSL/TLS証明書を発行できませんでした
xyz.example.netの「登録ドメインごとの証明書」レート制限を超えました。 Let's Encryptでは、登録されたドメインごとに1週間に発行できる証明書は20個までです。
詳細については、関連するナレッジベースの記事を参照してください。

詳細

https://acme-v01.api.letsencrypt.org/acme/new-certからの無効な応答。

詳細:

タイプ:urn:acme:error:rateLimited
ステータス:429
詳細:新しい証明書の作成中にエラーが発生しました:: example.netに対して既に発行された証明書が多すぎます: https://letsencrypt.org/docs/rate-limits/ を参照してください

ドメインもサブドメインも暗号化されていませんか?

私がやるべきことと同じことを達成するために?
または
以下に示すように、コマンドラインツールからCertbotを手動でインストールします

Sudo apt-get update
Sudo apt-get install software-properties-common
Sudo add-apt-repository ppa:certbot/certbot
Sudo apt-get update
Sudo apt-get install python-certbot-nginx
Sudo certbot --nginx

同じIPから作成されたすべてのDNS/Webスペースが反映されるように、Webインターフェースからホスティングドメインに直接インストールすることはできませんか。可能ですか?そうでない場合、ドメイン/ウェブスペースごとに個別のSSLを作成することになっていますか?

Advisor拡張から:

enter image description here

httpspleskopenssllets-encrypt
1
Nishanth ॐ

1つに複数の質問があります。

レート制限を暗号化しましょう

レート制限部分については、Let's Encryptに同じことを頻繁に要求しすぎたことを意味します。 「ホスティングドメインにSSLを追加しようとしたとき」と言うとき、あなたは正確に何をしましたか?

エラーメッセージに示されているように、登録されたドメインごとに1週間に20個を超える証明書を発行することはできません。ここで警告:www.example.netおよびxxx.example.netを実行すると、両方の場合で登録済みドメインはexample.netであるため、この50の制限に対して2のカウントがあります。

だから、何らかの理由でどこかにループがあったか、証明書を要求するためにボタンをクリックしすぎた可能性があります(CPanelまたはこの特定のLet's Encrypt拡張機能については何も知りません)。または、1つの登録済みドメインの下で、異なる名前に対して多くの証明書を要求しましたか?

いずれにしても、1週間待つか、別のドメイン名を使用してテストをやり直す必要があります。 Let's Encryptには、システムを学習およびデバッグするための「テスト」インターフェースもあります。これはここに文書化されています: https://letsencrypt.org/docs/staging-environment/ CPanel拡張機能をプラグインする方法があるので、システムをテストして理解を深めることができます。その後、運用システムに切り替えることができます。

サーボット

任意のホストにcertbotをインストールし、それを操作して証明書を生成することもできます。問題の一部のみを解決し、更新の管理、証明書を使用したウェブサーバーの設定などが必要であることに注意してください(certbotは役立ちますが、証明書に必要なDNSまたはHTTP検証と同じように、少なくとも設定する必要があります)発行)。

上記とまったく同じレート制限ルールが適用されることに注意してください。そのため、同じドメインまたは登録済みドメインに対して「頻繁に」証明書を要求してcertbotを誤用している場合、同じ方法でHTTPエラーが発生し、証明書は発行されません。

ドメイン/ウェブスペースごとに個別のSSLを作成する

あなたの質問の最後の段落はすべて明確ではないので、いくつかのヒントを与えようとします。

まず、SSLを言うのをやめてください。このプロトコルは20年前のもので、TLSに置き換えられました。そして、あなたの場合でさえ、TLS(直接正確にはX.509証明書)に直接問題があるのではなく、問題があるので、とにかく本当に関係ありません。

現在、certbot(または同等のもの)が実行される(証明書を作成および更新する)ホスト、HTTP検証に使用されるWebサイト、DNS検証に使用されるネームサーバー、および管理される証明書を使用する最終Webサイトは、技術的にすべて異なるボックスで分離できます。しかし、管理を明らかに簡素化するために、それらをすべて同じサーバー上に配置することもできます(ただし、おそらくセキュリティは低下します)。もちろん、両方ではなく、HTTP検証またはDNS検証のいずれかを使用します。

証明書自体については、www.example.comwww.example.netがあると想像してください。さまざまなオプションがあります。

  • www.example.com(およびSANリストに追加されたexample.comを含む)と、www.example.netを含む2つの別々の証明書。ドメインが同時に登録されていないか、同じ方法または同じ人によって管理されていない場合に意味があります
  • または、SANリストに4つの名前(.comおよび.netあり、なしwww.)を持ち、この単一の証明書を使用するように両方のWebサイトを構成する1つの証明書のみ。

最初のケースでは、おそらくメンテナンスが2倍になりますが、柔軟性とセキュリティが向上します。 2番目のケースは、ユーザーに「バンドル」されていることを見せたくない場合(ただし、他の方法で発見できる場合)、とにかく100を超える名前がある場合、Let's Encrypt Limitを使用すると問題になります。

また、2つのドメインが同じ「ルート」の下にないため、その場合はワイルドカード証明書を使用できません。 www.example.comadmin.example.comの両方を保護する場合は、SANに各Webサイト名をリストする代わりに、*.example.comのワイルドカード証明書を要求できます。証明書の一部。

1
Patrick Mevzek