Letsencrypt certbot - неправильный сертификат возвращен

Question

Я пытаюсь установить сертификат в системе Ubuntu 16.04 под управлением Apache.

super@fulton:~$ sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Which names would you like to activate HTTPS for?
-------------------------------------------------------------------------------
1: fulton.geek.nz
-------------------------------------------------------------------------------
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for fulton.geek.nz
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. fulton.geek.nz (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge. Requested dee657b32542a5344ac78e1c213268c6.7a4ba1bb64bebec8e35cb74fa42693a6.acme.invalid from 114.23.222.208:443. Received 1 certificate(s), first certificate had names "fulton.geek.nz"

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: fulton.geek.nz
   Type:   unauthorized
   Detail: Incorrect validation certificate for tls-sni-01 challenge.
   Requested
   dee657b32542a5344ac78e1c213268c6.7a4ba1bb64bebec8e35cb74fa42693a6.acme.invalid
   from 114.23.222.208:443. Received 1 certificate(s), first
   certificate had names "fulton.geek.nz"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

То, что, кажется, происходит, - то, что проблема letencrypt возвращает сертификат snakeoil по умолчанию, а не то, что он ожидает. Я знаю, что он получает сертификат змеиной нефти, потому что я заменил его сертификатом с другим дн, и сообщенное имя изменилось.

Любые идеи, как выяснить, что не так?

Answer 1

Я до сих пор не знаю точно, что пошло не так с certbot, но было совершенно ясно, что apache отвечал на вызов sni, а не certbot, даже когда перед запуском certbot у меня было отключение apache. Это всегда бежало потом. Решение было простым "sudo certbot certonly --standalone" с отключенным apache. Затем я установил сертификат вручную.

Я предполагаю, что certbot каким-то образом удалось запустить apache (я знаю, что он выполняет apache2ctl configtest может запускать apache в моей системе). Если apache работает, то когда certbot пытается запустить что-то, прослушивающее порт 443, произойдет сбой.

Если это то, что происходит, то можно ожидать, что ошибка будет обнаружена и сообщена! Странный.

Вот ссылка на хороший пост о других вещах, которые вызывают это сообщение