Let's Encrypt 无法生成 SSL 证书
如果您使用 Coolify 代理的默认设置,而您的网站突然显示关于不安全连接的警告,则很可能您的网站正在使用 Coolify 代理的自签名证书。本指南将帮助您解决此问题。
1. 了解 HTTP 验证
Coolify 在后台使用 Let's Encrypt ↗ 为您的网站生成 SSL 证书。默认情况下,Let's Encrypt 使用 HTTP 验证来验证域名所有权。
Let's Encrypt 向您的服务器发送一个 HTTP 请求,其中包含嵌入在 URL 中的唯一令牌。当您的服务器返回正确的令牌时,就确认您控制着该域名。
2. 检查 80 端口可访问性
确保您服务器的 80 端口已打开并可从互联网访问。如果 80 端口被阻止,Let's Encrypt 无法完成 HTTP 验证。解除对 80 端口的阻止应该能解决这个问题。
3. 第三方代理的使用
如果您通过第三方服务(如 Cloudflare ↗)代理您的网站,Let's Encrypt 可能无法验证您的域名。在这种情况下,您必须使用 DNS 验证或停止通过第三方服务代理您的域名。
4. 关于证书有效性的说明
Let's Encrypt 证书的有效期为 90 天。如果存储在您服务器上的证书有效,即使 80 端口关闭或您的域名正在被代理,您的域名也可能看起来工作正常,因为 Coolify 会继续使用该有效证书直到过期。
5. 检查 Let's Encrypt 服务状态
有时,Let's Encrypt 可能在其端出现问题。从 这里 ↗ 检查 Let's Encrypt 状态。如果有问题,请等待他们修复,一旦问题解决后再尝试。
6. 强制重新生成证书
如果存储在您服务器上的证书已损坏或过期,您可以删除它们并强制 Coolify 生成新的证书。
- 打开您的服务器终端并运行:bash
rm /data/coolify/proxy/acme.json - 然后,从仪表板上点击"重启代理"按钮来重启 Coolify 代理。
指南:如何从仪表板重启代理?
- 在 Coolify 仪表板上选择您的服务器
- 点击"重启代理"按钮
7. 检查您的 WAF 设置
如果您使用 Web 应用程序防火墙 (WAF),请确保它没有阻止 Let's Encrypt 请求。
8. 检查 Coolify 代理日志
在 Coolify 代理日志中,如果您看到带有 429 状态码的错误消息,这意味着 Let's Encrypt 已对您服务器的 IP 地址进行了速率限制。
在这种情况下,请等待一段时间后再次检查您的域名。大多数用户不会遇到这种情况,但如果您使用共享 IP 地址,这种情况可能会发生。
指南:如何检查 Coolify 代理日志?
- 在 Coolify 仪表板上选择您的服务器
- 转到代理部分并点击刷新按钮
支持
如果上述步骤都不起作用,请尝试以下附加选项:
- 社区帮助: 加入我们的 Discord 社区 ↗ 并在支持论坛频道中发帖。
- 分享内容: 包含您的问题描述、任何错误消息以及您已经尝试过的步骤。