[BUG]证书创建问题

[P02-1010751281]

联系方式

[email protected]

1Panel 版本

v1.1.3

问题描述

阿里云dns无法创建证书，自动和手动均不行。 系统：debian 11.6（pve虚拟化） 内网DNS和DHCP：AdguardHome

自动： 服务内部错误: error: one or more domains had a problem: [xxx.xxxxxxx.xxxx] [xxx.xxxxxxx.xxxx] acme: error presenting token: alicloud: zone site. not found in AliDNS for domain xxx.xxxxxxx.xxxx

手动： 超时，或者没反应。

切换dns233.5.5.5，1.1.1.1，1panel依旧异常。 但acme.sh均可正常获取（ecc没问题另外一种我没试），但内网AdguardHome获取时间较长（最长的时候，三个域名一起，大概得将近一分钟才能刷新吧）。

重现步骤

正常申请域名即可。

期待的正确结果

No response

相关日志输出

自动：
2023/04/24 21:16:45 [INFO] acme: Trying to resolve account by key
2023/04/24 21:16:46 [INFO] [xxx.xxxxxxx.xxxx] acme: Obtaining bundled SAN certificate
2023/04/24 21:16:46 [INFO] [xxx.xxxxxxx.xxxx] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz-v3/222128455977
2023/04/24 21:16:46 [INFO] [xxx.xxxxxxx.xxxx] acme: Could not find solver for: tls-alpn-01
2023/04/24 21:16:46 [INFO] [xxx.xxxxxxx.xxxx] acme: Could not find solver for: http-01
2023/04/24 21:16:46 [INFO] [xxx.xxxxxxx.xxxx] acme: use dns-01 solver
2023/04/24 21:16:46 [INFO] [xxx.xxxxxxx.xxxx] acme: Preparing to solve DNS-01
2023/04/24 21:16:46 [INFO] [xxx.xxxxxxx.xxxx] acme: Cleaning DNS-01 challenge
2023/04/24 21:16:47 [WARN] [xxx.xxxxxxx.xxxx] acme: cleaning up failed: alicloud: zone site. not found in AliDNS for domain xxx.xxxxxxx.xxxx 
2023/04/24 21:16:47 [INFO] Deactivating auth: https://acme-v02.api.letsencrypt.org/acme/authz-v3/222128455977
手动：
2023/04/24 21:43:19 [INFO] acme: Trying to resolve account by key
2023/04/24 21:44:18 [INFO] acme: Trying to resolve account by key
2023/04/24 21:44:19 [INFO] [xxx.xxxxxxx.xxxx] acme: Obtaining bundled SAN certificate
2023/04/24 21:44:20 [INFO] [xxx.xxxxxxx.xxxx] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz-v3/222129517937
2023/04/24 21:44:20 [INFO] [xxx.xxxxxxx.xxxx] acme: Could not find solver for: tls-alpn-01
2023/04/24 21:44:20 [INFO] [xxx.xxxxxxx.xxxx] acme: Could not find solver for: http-01
2023/04/24 21:44:20 [INFO] [xxx.xxxxxxx.xxxx] acme: use dns-01 solver
2023/04/24 21:44:20 [INFO] [xxx.xxxxxxx.xxxx] acme: Preparing to solve DNS-01
2023/04/24 21:44:20 [INFO] [xxx.xxxxxxx.xxxx] acme: Trying to solve DNS-01
2023/04/24 21:44:20 [INFO] [xxx.xxxxxxx.xxxx] acme: Checking DNS record propagation using [192.168.31.3:53 192.168.31.3:53]
2023/04/24 21:44:22 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2023/04/24 21:44:22 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:44:25 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:46:40 [INFO] acme: Trying to resolve account by key
2023/04/24 21:46:40 [INFO] [xxx.xxxxxxx.xxxx] acme: Obtaining bundled SAN certificate
2023/04/24 21:46:41 [INFO] [xxx.xxxxxxx.xxxx] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz-v3/222129517937
2023/04/24 21:46:41 [INFO] [xxx.xxxxxxx.xxxx] acme: Could not find solver for: tls-alpn-01
2023/04/24 21:46:41 [INFO] [xxx.xxxxxxx.xxxx] acme: Could not find solver for: http-01
2023/04/24 21:46:41 [INFO] [xxx.xxxxxxx.xxxx] acme: use dns-01 solver
2023/04/24 21:46:41 [INFO] [xxx.xxxxxxx.xxxx] acme: Preparing to solve DNS-01
2023/04/24 21:46:41 [INFO] [xxx.xxxxxxx.xxxx] acme: Trying to solve DNS-01
2023/04/24 21:46:41 [INFO] [xxx.xxxxxxx.xxxx] acme: Checking DNS record propagation using [192.168.31.3:53 192.168.31.3:53]
2023/04/24 21:46:43 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2023/04/24 21:46:43 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:46:46 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:46:49 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:46:51 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:46:54 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:47:27 [INFO] [xxx.xxxxxxx.xxxx] acme: Waiting for DNS record propagation.
2023/04/24 21:47:29 [INFO] [xxx.xxxxxxx.xxxx] acme: Cleaning DNS-01 challenge.
2023/04/24 21:47:29 [INFO] Deactivating auth: https://acme-v02.api.letsencrypt.org/acme/authz-v3/222129517937

附加信息

xxxx@xxxxxxxxx:~/.acme.sh$ ./acme.sh --issue --dns dns_ali -d xxx.xxxxxxx.xxxx --ecc [2023年 04月 24日 星期一 22:47:32 CST] Using CA: https://acme.zerossl.com/v2/DV90 [2023年 04月 24日 星期一 22:47:32 CST] Creating domain key [2023年 04月 24日 星期一 22:47:32 CST] The domain key is here: /home/xxxx/.acme.sh/xxx.xxxxxxx.xxxx_ecc/xxx.xxxxxxx.xxxx.key [2023年 04月 24日 星期一 22:47:32 CST] Single domain='xxx.xxxxxxx.xxxx' [2023年 04月 24日 星期一 22:47:32 CST] Getting domain auth token for each domain [2023年 04月 24日 星期一 22:47:38 CST] Getting webroot for domain='xxx.xxxxxxx.xxxx' [2023年 04月 24日 星期一 22:47:38 CST] Adding txt value: fiNDPgN66LYOo-rhTAmFmsgolHIZX6xJ35iXjPZhzSo for domain: _acme-challenge.xxx.xxxxxxx.xxxx [2023年 04月 24日 星期一 22:47:42 CST] The txt record is added: Success. [2023年 04月 24日 星期一 22:47:42 CST] Let's check each DNS record now. Sleep 20 seconds first. [2023年 04月 24日 星期一 22:48:03 CST] You can use '--dnssleep' to disable public dns checks. [2023年 04月 24日 星期一 22:48:03 CST] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck [2023年 04月 24日 星期一 22:48:03 CST] Checking xxx.xxxxxxx.xxxx for _acme-challenge.xxx.xxxxxxx.xxxx [2023年 04月 24日 星期一 22:48:04 CST] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35 [2023年 04月 24日 星期一 22:48:14 CST] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 28 [2023年 04月 24日 星期一 22:48:14 CST] Not valid yet, let's wait 10 seconds and check next one. [2023年 04月 24日 星期一 22:48:31 CST] Let's wait 10 seconds and check again. [2023年 04月 24日 星期一 22:48:42 CST] You can use '--dnssleep' to disable public dns checks. [2023年 04月 24日 星期一 22:48:42 CST] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck [2023年 04月 24日 星期一 22:48:42 CST] Checking xxx.xxxxxxx.xxxx for _acme-challenge.xxx.xxxxxxx.xxxx [2023年 04月 24日 星期一 22:48:42 CST] Domain pxxx.xxxxxxx.xxxx '_acme-challenge.xxx.xxxxxxx.xxxx' success. [2023年 04月 24日 星期一 22:48:42 CST] All success, let's return [2023年 04月 24日 星期一 22:48:42 CST] Verifying: xxx.xxxxxxx.xxxx [2023年 04月 24日 星期一 22:48:48 CST] Processing, The CA is processing your order, please just wait. (1/30) [2023年 04月 24日 星期一 22:48:53 CST] Success [2023年 04月 24日 星期一 22:48:53 CST] Removing DNS records. [2023年 04月 24日 星期一 22:48:53 CST] Removing txt: fiNDPgN66LYOo-rhTAmFmsgolHIZX6xJ35iXjPZhzSo for domain: _acme-challenge.xxx.xxxxxxx.xxxx [2023年 04月 24日 星期一 22:48:58 CST] Removed: Success [2023年 04月 24日 星期一 22:48:58 CST] Verify finished, start to sign. [2023年 04月 24日 星期一 22:48:58 CST] Lets finalize the order. [2023年 04月 24日 星期一 22:48:58 CST] Le_OrderFinalize='https://acme.zerossl.com/v2/DV90/order/8enNCSVCXXzIV9hQXUAHcw/finalize' [2023年 04月 24日 星期一 22:49:03 CST] Order status is processing, lets sleep and retry. [2023年 04月 24日 星期一 22:49:03 CST] Retry after: 15 [2023年 04月 24日 星期一 22:49:19 CST] Polling order status: https://acme.zerossl.com/v2/DV90/order/8enNCSVCXXzIV9hQXUAHcw [2023年 04月 24日 星期一 22:49:22 CST] Downloading cert. [2023年 04月 24日 星期一 22:49:22 CST] Le_LinkCert='https://acme.zerossl.com/v2/DV90/cert/WQF_HarigvfFTKnh1jzbSg' [2023年 04月 24日 星期一 22:49:28 CST] Cert success.

[zhengkunwang223]

检查一下参数中是否含有空格

[cyril-cheng]

zerossl经常出问题，而且他家的api现在也有申请总量限制了，历史超过100张证书就会随机出现你上面的这种错误。

[P02-1010751281]

zerossl经常出问题，而且他家的api现在也有申请总量限制了，历史超过100张证书就会随机出现你上面的这种错误。

不是，是1panel申请出错了,acme.sh没出错能正常申请证书。acme.sh默认的CA是zeroSSL的，1panel的是letsencrypt的，附加信息acme.sh的。

[P02-1010751281]

检查一下参数中是否含有空格

没有（邮箱，key，secretkey和acme-challenge（手动的）都检查了）。 自动的话，阿里云我没有看到添加和删除acme-challenge。 手动的话，我怀疑是本地缓存的影响（毕竟换过dns也没用）。

是不是key和secretkey要加引号？ 还有就是要不要考虑用https://dns.alidns.com/resolve?name=xxx.xxxxxxxxxx.xxxx&type=xxx,https://doh.pub/dns-query?name=_acme-challenge.lentech.site&type=xxx,https://cloudflare-dns.com/dns-query?name=xxx.xxxxxxxxxx.xxxx&type=xxx来验证acme-challenge响应（type=TXT）。

[zhengkunwang223]

检查一下参数中是否含有空格

没有（邮箱，key，secretkey和acme-challenge（手动的）都检查了）。 自动的话，阿里云我没有看到添加和删除acme-challenge。 手动的话，我怀疑是本地缓存的影响（毕竟换过dns也没用）。

是不是key和secretkey要加引号？ 还有就是要不要考虑用https://dns.alidns.com/resolve?name=xxx.xxxxxxxxxx.xxxx&type=xxx,https://doh.pub/dns-query?name=_acme-challenge.lentech.site&type=xxx,https://cloudflare-dns.com/dns-query?name=xxx.xxxxxxxxxx.xxxx&type=xxx来验证acme-challenge响应（type=TXT）。

应该不是 没有用户反馈过这个问题 我们自己测试也没有出现过这种问题

[P02-1010751281]

检查一下参数中是否含有空格

没有（邮箱，key，secretkey和acme-challenge（手动的）都检查了）。 自动的话，阿里云我没有看到添加和删除acme-challenge。 手动的话，我怀疑是本地缓存的影响（毕竟换过dns也没用）。 是不是key和secretkey要加引号？ 还有就是要不要考虑用https://dns.alidns.com/resolve?name=xxx.xxxxxxxxxx.xxxx&type=xxx,https://doh.pub/dns-query?name=_acme-challenge.lentech.site&type=xxx,https://cloudflare-dns.com/dns-query?name=xxx.xxxxxxxxxx.xxxx&type=xxx来验证acme-challenge响应（type=TXT）。

应该不是 没有用户反馈过这个问题 我们自己测试也没有出现过这种问题

我1pctl restart后把DNS里的名称改成cn-hangzhou（因为我翻代码实在看不出来，看到zone就突发奇想）就没问题了，虽然超时，但最后成功申请了。所以说，这个名称是有什么要求吗？然后就是超时的问题了（为什么我感觉1panel申请比lego要慢好多）。

[zhengkunwang223]

1panel直接用了lego的源码请求的证书，理论上不会有差异，后期我们会加入 zerossl 和 buypass证书申请

[JanYork]

这个问题如何解决？有方法吗

[yanxu4780]

我也遇到这个问题了，一样是在阿里云的DNS

[kezhengjie]

我在使用 go-acme/lego 中也遇到了这个错误，定位到问题是因为阿里云服务器默认的dns解析有问题，查询soa记录时有时候会返回cdn记录导致的，尤其是在你的裸域名同时也是cname的时候能比较稳定的复现， 所以日志中会出现类似 alicloud: zone xxx. 这样的错误（xxx是你的域名的顶级域），

修改你服务器的dns就可以了，默认是用的/etc/resolv.conf， 如果是阿里云的服务器里面大概率是有一条 nameserver 127.0.0.53, 国外的改成 8.8.8.8，国内的改成 114或者其他dns。 希望对大家有帮助。

阿里云工单提了一直不回= =降本增笑了

[P02-1010751281]

我在使用 go-acme/lego 中也遇到了这个错误，定位到问题是因为阿里云服务器默认的dns解析有问题，查询soa记录时有时候会返回cdn记录导致的，尤其是在你的裸域名同时也是cname的时候能比较稳定的复现， 所以日志中会出现类似 alicloud: zone xxx. 这样的错误（xxx是你的域名的顶级域），

修改你服务器的dns就可以了，默认是用的/etc/resolv.conf， 如果是阿里云的服务器里面大概率是有一条 nameserver 127.0.0.53, 国外的改成 8.8.8.8，国内的改成 114或者其他dns。 希望对大家有帮助。

阿里云工单提了一直不回= =降本增笑了

我是内网（HomeLAB），因为后来发现不知道是AdguardHome的缓存还是本地的缓存导致txt解析超时，而且acme.sh貌似是走的DoH所以没这个问题，现在是用systemd-resolved配DoT和DnsCrypt(allow-downgrade)解决的。