Errori comuni ACME e relative soluzioni
Durante l'emissione, l'installazione o il rinnovo di un certificato SSL tramite SeFlowSSL CaaS (Sectigo ACME), possono verificarsi errori restituiti dal client ACME oppure dall'autorità di certificazione.
Questa guida raccoglie gli errori più comuni e le relative soluzioni.
1. A requested identifier has not been delegated: domain.tld
Questo errore indica generalmente che si sta tentando di emettere un certificato per un dominio che non è incluso nell'ordine ACME associato alle credenziali utilizzate.
Verificare i seguenti punti:
- Utilizzare esclusivamente il nome del dominio e non l'URL completo.
Corretto:
-d domain.tldErrato:
-d http://domain.tld
-d https://domain.tld- Verificare che il dominio richiesto sia effettivamente presente nell'ordine associato alle credenziali ACME utilizzate.
Non includere domini, sottodomini o hostname che non risultano autorizzati all'interno dell'ordine.
Ad esempio:
- domain.tld
- www.domain.tld
sono normalmente consentiti se presenti nell'ordine.
Al contrario:
- mail.domain.tld
- vpn.domain.tld
- server.domain.tld
genereranno un errore se non inclusi esplicitamente nel certificato.
Se l'errore continua a comparire dopo le verifiche sopra indicate, contattare il supporto SeFlow fornendo il comando utilizzato e il dominio coinvolto.
2. Problemi con Certbot quando si utilizzano più credenziali EAB
Per impostazione predefinita, Certbot utilizza un solo account ACME per ogni autorità di certificazione.
Se sullo stesso server vengono configurati più ordini ACME differenti utilizzando credenziali EAB diverse, Certbot potrebbe tentare di riutilizzare le credenziali già registrate causando errori di autenticazione o autorizzazione.
Sintomi comuni:
- Ordini ACME che funzionavano in precedenza smettono di emettere certificati.
- Errore di autorizzazione per domini validi.
- Utilizzo dell'account ACME errato.
- Emissione del certificato associata all'ordine sbagliato.
La soluzione consigliata consiste nell'utilizzare un unico account EAB per server.
Se occorre emettere certificati aggiuntivi sullo stesso server, è preferibile aggiungere i nuovi domini all'ordine esistente invece di creare più ordini separati con credenziali EAB differenti.
Quando si utilizza Certbot, mantenere una sola registrazione ACME per ciascun server riduce significativamente il rischio di conflitti tra account e credenziali EAB.
Quando contattare il supporto
È consigliabile aprire una richiesta di assistenza quando:
- La validazione ACME continua a fallire senza una causa evidente.
- Il dominio risulta correttamente configurato ma l'emissione viene rifiutata.
- Le credenziali EAB sembrano corrette ma il client restituisce errori di autenticazione.
- Il certificato non viene rinnovato automaticamente.
- Sono presenti errori non documentati in questa guida.
Quando si contatta il supporto, includere sempre:
- Dominio interessato.
- Client ACME utilizzato.
- Comando eseguito.
- Messaggio di errore completo.
- Log rilevanti del client ACME.
