Let's Encrypt SSL 证书安装不了的若干问题解决

【美博翻墙2019.12.9】Let's Encrypt 提供免费的SSL加密证书，不仅为网页网站的安全提供了方便和普及，也为翻墙加密提供了安全方便。但是，安装Let's Encrypt SSL证书时，有时有网友会遇到各种问题不能顺利安装。自从v2ray翻墙技术问世后，结合网页加密及伪装的翻墙，仍然是目前最好的翻墙方法，美博发布的【自建最强科学上网：v2ray + websocket + web + nginx (EasyEngine)】就是其中之一。有关v2ray安装时可能遇到的问题及解决方法，另文汇总。本文就其中一个环节，安装Let's Encrypt SSL证书出现的问题及解决方法专文讨论于此，与网友分享，也请网友补充完善。

一、Let's Encrypt SSL证书安装的二个必备的前提条件

Let's Encrypt SSL证书是为了网页网站加密，所以，要成功安装Let's Encrypt SSL证书，必须具备二个基本条件：

其一是：要有站点。不论站点大小，即使是一个网页也行，就像是美博的v2ray方法只是建立的一个用于伪装的html网页，这都是可以的，但是一定要有，没有网页上安装不了Let's Encrypt证书的；

其二是：要有域名及其正确解析。既然是网站，当然要有域名，而且这个域名还要正确解析，不正确解析，不能安装成功Let's Encrypt SSL 证书，这里要注意的地方有几点：

1）域名要正确解析，请按照美博前文方法：域名购买及设置与ip服务器关联

2）特别要指出的是，上文有图示，不仅仅是不带www的域名要解析，带www的域名也要正确解析，即 子域名 www 的 A记录也是必须做的，不然不能安装证书成功，只要按照上文去做就好；

要注意到是，若你使用的是二级域名，即这样子的域名 abc.domainexample.com，那么，不管是顶级域名或是二级域名，都要有 www A 纪录或别名都指到同一个 IP。即：在在做DNS时
二级域名 abc.domainexample.com 和 www.abc.domainexample.com 的 A 纪录或别名，也要指到同一个 IP。

3）域名指向服务器ip（解析）后，不一定会立即生效，也许立即生效，也许几分钟，也许要等半小时，甚至几个小时或更长时间才会生效。有时候没有立即生效，是因为以前的缓存在，清除浏览器缓存就好。

域名指向ip是否生效，即是否正确解析域名已经指向服务器ip，当用“域名”（不是服务器ip）做SSH连接服务器时，如果能够连接上，说明域名已经正确解析，请参考：【SSH连接软件-Xshell下载及使用教程】介绍的方法。

也可在网站查询：
https://www.whatsmydns.net/#A/abc.com
和（必须）
https://www.whatsmydns.net/#A/www.abc.com

4）如果你的域名 DNS A 纪录指向到别的服务器 IP 了，EasyEngine 的 Let's Encrypt证书自动更新程序也会停止。

二、服务器的系统选择问题

安装Let’s Encrypt证书概括来讲可以安装到任何系统上的网站上，但也有一些特别方法的限制，如：

1、美博介绍的v2ray方法【自建最强科学上网：v2ray + websocket + web + nginx (EasyEngine)】，采用的是EasyEngine作为前端管理nginx的Web服務器程序，EasyEngine现在支持的操作系统只有：Ubuntu 12.04, 14.04 and 16.04和 Debian 7、8，其他系统不支持，所以，在用这种方法制作代理时，SSL证书的安装就受限于这几个系统。

当然这个不是SSL证书的问题，如果用其他系统，首先EasyEngine就安装不上。如果用非EasyEngine管理，SSL证书几乎可适用于所有系统。之所以采用Easyengine，是因为EasyEngine是国外一间专门帮人优化网站的公司rtcamp写出来的网页服务器管理程序，它内置了 NGINX 和 Let's Encrypt，不用再慢慢设定，很方便我们翻墙的要求，也方便新手操作，会自动续约Let's Encrypt证书。

2、有网友发现：如果使用 CentOS+Apache，也可以安装Let's Encrypt，但是安装完成后，用https访问页面，会出现自签名证书页面，提示“此连接不受信任”。

三、查看Let's Encrypt安装出错的记录文件

若用EasyEngine安装SSL证书，出现错误或者不能安装，可以查看日志文件来看问题记录。若网友遇到，请自行排查：

打开SSH连接服务器，输入：

tail /var/log/ee/ee.log

这里有记录问题的所在
或者输入命令：

cat /var/log/letsencrypt/letsencrypt.log

这个日志里有更加详细的问题记录

四、诡异的 GPG keys问题，让Let's Encrypt SSL 证书不能安装

近期有网友反映：按照教程【自建最强科学上网：v2ray + websocket + web + nginx (EasyEngine)】做到“12、安装 Let’s Encrypt 的SSL证书”时，提示：

root@vm:~# ee site create fuyin.world --html --letsencrypt
Adding repository for NGINX, please wait...
Updating apt-cache, please wait...
Oops Something went wrong!!
Check logs for reason `tail /var/log/ee/ee.log` & Try Again!!!

但按照上面方法打开日志记录文件时，若看到其中一段有这样的问题：

举例，日期是随意写的
2000-12-21 13:15:45,148 (INFO) ee : Adding repository for NGINX, please wait...
2000-12-21 13:15:45,149 (DEBUG) ee : Adding ppa of Nginx
2000-12-21 13:15:45,149 (DEBUG) ee : Running command: gpg --keyserver hkp://keys.gnupg.net --recv-keys 3050AC3CD2AE6F03
2000-12-21 13:15:45,528 (DEBUG) ee : Command Output: , 
Command Error: gpg: WARNING: unsafe ownership on homedir '/home/dougs/.gnupg'
gpg: key 3050AC3CD2AE6F03: 1 signature not checked due to a missing key
gpg: key 3050AC3CD2AE6F03: "home:rtCamp OBS Project " not changed
gpg: Total number processed: 1
gpg:              unchanged: 1
2000-12-21 13:15:45,528 (DEBUG) ee : Running command: gpg -a --export --armor 3050AC3CD2AE6F03 | apt-key add - 
2000-12-21 13:15:45,973 (DEBUG) ee : Command Output: OK

Command Error: gpg: WARNING: unsafe ownership on homedir '/home/dougs/.gnupg'
Warning: apt-key output should not be parsed (stdout is not a terminal)
…… 很多内容略
2000-12-21 13:15:54,207 (INFO) ee : Oops Something went wrong!!
2000-12-21 13:15:54,208 (ERROR) ee : Check logs for reason `tail /var/log/ee/ee.log` & Try Again!!!

这个问题的原因目前还不能确定，只要修正 gpg: key的问题就好。

解决办法：记录下这个十六进制数字的key值，即 3050AC3CD2AE6F03 这一串，也可能你看到的不止这一个，可能有几个，

打开SSH输入命令：

先执行：

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys

然后在执行：

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3050AC3CD2AE6F03
注意：3050AC3CD2AE6F03这个要换成你自己看到的，若是多个就加空格并排写，如：
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3050AC3CD2AE6F03 5550AC3CD2AE6F03 6660AC3CD2AE6F03

会显示如：

Executing: /tmp/apt-key-gpghome.JUOuXd6PAd/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys 3050AC3CD2AE6F03
gpg: key 3050AC3CD2AE6F03: 1 signature not checked due to a missing key
gpg: key 3050AC3CD2AE6F03: "home:rtCamp OBS Project " 1 new signature
gpg: Total number processed: 1
gpg:         new signatures: 1

这样就解决了gpg: key过期的问题。接下就可以按照v2ray教程执行安装Let's Encrypt证书的命令了。

五、建议全新服务器安装代理

如果你已经安装有网站或服务器用作其他用途，现在要安装代理（如v2ray）到这个服务器上，那么在现有站点的现有服务器上安装EE，也可能会出错，出现Let's Encrypt SSL 证书不能安装的问题。

解决办法：建议在全新服务器上安装代理，哪怕是买一个最便宜的服务器也足够自己或少数几人使用。

六、其它一些不能安装Let's Encrypt SSL 证书的问题

新手在安装Let's Encrypt SSL 证书或使用命令输入时，常出现一些问题：

1、命令输入错误
在输入命令时，写错字母、增减空格、不小心增加符号等；
输入法处于“中文输入”状态，输入命令时时中文的全角符号，自然会出错。所以，在输入命令时，要是电脑输入法处于英文状态；
关于复制命令，这是最常用的方式，一般建议采用，但是，复制时也会偶尔遇到一些诡异的事情，自动出现空格，符号自动被改变等等，所以，复制时命令若执行错误，可先检查，命令是否有错，特别是像 --这种符号有时会自动改变为全角符号；

2、暂时Let’s Encrypt服务器忙碌，换个网络不太忙的时候试试，这个国内可能有网友遇到过；.

3、有个别的会遇到，如有使用dyndns之类的服务，也连不上Let's Encrypt 服务器，这个美博没有遇到过；

4、有个别网友反映，使用IPv6也不能执行Let's Encrypt SSL 证书安装，这个美博也没有遇到过。

以上是美博园（allinfa.com）这几年遇到的Let's Encrypt SSL 证书不能安装的情况及解决办法，若有其他情况，欢迎网友补充完善。

======== 自建v2ray代理系列文章参考 ============

自己搭建代理服务器：VPS的选择 - 美博园
自己搭建代理服务器：Vultr VPS 购买图文教程 - 美博园
自己搭建代理服务器：Vultr VPS 系统安装图文教程 - 美博园
自己搭建代理服务器：检测ip是否被墙及更换ip - 美博园
自己搭建代理服务器：域名购买及设置与ip服务器关联 - 美博园
SSH连接软件-Xshell下载及使用教程 - 美博园
自建最强科学上网：v2ray + websocket + web + nginx (EasyEngine) - 美博园
v2ray客户端代理上网 - Windows、Android、Mac、ios - 美博园
Let's Encrypt SSL 证书安装不了的若干问题解决 - 美博园
如何开启Google TCP BBR 加速 - 美博园
V2ray自建代理遇到的一些问题及解决 - 美博园