Почему не удается выполнить запрос на получение сертификата в RouterOS?

Question

Трифон

цифровые-сертификаты , mikrotik

Почему не удается выполнить запрос на получение сертификата в RouterOS?

Я пытаюсь запросить новый сертификат в RouterOS, но получаю ошибку, которую не могу понять. Вот текст ошибки:  
```
[frolov@HomeNet] > /certificate enable-ssl-certificate dns-name=hm.myname.ru  
progress: [error] http-01 challenge validation failed,  
urn:ietf:params:acme:error:connection - 123.45.67.89: Fetching  
<a href="http://hm.myname.ru/.well-known/acme-challenge/H5k0FtrbtaWwX-Ubn5oSO" rel="nofollow">hm.myname.ru/.well-known/acme-challenge/H5k0Ftrbta...</a>  
9bUweixhsPaHyp6fuyI_To: Error getting validation data  
```
Где 123.45.67.89 - это мой внешний IP, а доменное имя используется для SSTP. Ранее данный запрос выполнялся успешно. Также хочу отметить, что на 80 порту MikroTik ничего не активно. Как мне решить эту проблему?

6 декабря 2024 г. 11:23

Ответы на вопрос 2

Похожие вопросы

Answer 1

Ошибка, которую вы получаете, связана с процессом проверки доменного имени при запросе сертификата через HTTP-01 challenge. Этот метод проверки требует, чтобы ваш маршрутизатор мог ответить на запрос к URL-адресу, который ведет к вашему доменному имени (в данном случае, `hm.myname.ru/.well-known/acme-challenge/...`). Вот несколько шагов, которые могут помочь решить проблему:

1. **Проверка доступа к вашему домену**:
Убедитесь, что ваше доменное имя (`hm.myname.ru`) правильно направлено на ваш внешний IP-адрес (123.45.67.89). Это можно проверить с помощью команды `ping` или через online сервисы.

2. **Проверка настроек маршрутизатора**:
Убедитесь, что ваш MikroTik маршрутизатор настроен для обработки HTTP-запросов на порту 80. Если у вас нет никакого сервиса, работающего на этом порту, то вызов для `/.well-known/acme-challenge/...` не пройдет. Вы можете временно настроить HTTP-сервер для обработки этих запросов.

3. **Настройка HTTP-сервера**:
Если в самом MikroTik ничего не активно на порту 80, вам нужно либо включить функцию HTTP-сервера, либо использовать другой механизм для вызова `/.well-known/acme-challenge/...`. Например, вы можете настроить веб-сервер на другой машине (например, на Raspberry Pi или локальном сервере) и перенаправить HTTP-запросы к вашему MikroTik.

4. **Порт 80 в Firewall**:
Убедитесь, что правила брандмауэра MikroTik разрешают входящие соединения на порту 80. Если есть блокировка, то внешние запросы не достигнут вашего маршрутизатора.

5. **Использование других методов проверки**:
Если вы не можете настроить HTTP-сервер на MikroTik, вы можете рассмотреть использование других методов проверки, таких как DNS-01 challenge. Это требует добавления TXT-записи в настройки DNS вашего домена, что может быть более удобным в зависимости от ваших возможностей доступа.

6. **Логи и отладка**:
Проверьте логи MikroTik, чтобы увидеть, могут ли там появиться дополнительные подсказки о причине неудачи валидации. Логи могут содержать информацию о возможных проблемах с сетевыми запросами.

Следуя этим шагам, вы должны быть в состоянии устранить проблему и успешно запросить новый сертификат.

Answer 2

была такая же ошибка 
 нужно открыть порт input tcp 80 
 включить ip service 80 и 443 и если у них есть ограничения "availiable from", то убрать их 
 в итоге сертификат получен успешно по имени сервиса ddns.