我从 RouterOS 的 webfig CLI 尝试创建一个 LetsEncrypt 证书:
certificate/enable-ssl-certificate dns-name=my.domain.com
但它返回了错误:
进度:[错误] http 挑战验证失败,请确保 www 服务已启用并且 letsencrypt.org 服务器可以访问您的设备
我检查了路由器输入链上的TCP/80& TCP/443,但错误很明显,它们已被关闭。
创建正确的连接以成功安装 LetsEncrypt 证书还需要哪些其他依赖项?!?!
答案1
我在 MikroTik 上安装 LetsEncrypt 证书时只使用了 IPv6 全局单播地址,这让我开始研究 IPv6 配置。但这只是个幌子,我遇到的问题同样可能发生在 IPv4 地址上:
除了在 FW 中打开 TCP/80 和 TCP/443 以便 LetsEncrypt 访问路由器之外,我还必须在ip/服务为了www(TCP/80) & www-ssl(TCP/443),LetsEncrypt 可以访问该证书来完成证书注册过程。一旦我这样做,错误就消失了。
MikroTik 这样做是为了防止用户误打开输入链上的 TCP/80 和/或 TCP/443 并无意中将管理界面暴露给非预期受众,从而自毁前程。因此,您必须明确决定允许此连接。SSH 连接也是如此
请注意,尽管ip/services位于接口的 IPv4 部分,但您也可以在此处添加 IPv6 地址以允许 IPv6 HTTP/S 连接。
希望这将节省其他人大量浪费的时间...D'Oh!