
Ketika Anda menyiapkan atau memperbarui sertifikat SSL menggunakan protokol ACME, bukan hal yang aneh jika Anda mengalami kesalahan samar yang menghentikan prosesnya. Panduan ini memandu Anda melalui masalah-masalah terkait ACME yang paling umum, menjelaskan apa yang sebenarnya terjadi, dan menunjukkan kepada Anda cara memperbaikinya. Baik Anda menginstal sertifikat baru, mengotomatiskan pembaruan, atau men-debug validasi yang gagal, ini adalah tempat yang tepat untuk memulai.
Pengikatan Akun Eksternal Hilang atau Tidak Valid
Kesalahan ini muncul ketika server ACME memerlukan Pengikatan Akun Eksternal (External Account Binding, EAB), tetapi klien Anda tidak mengirimkan kredensial yang valid atau melewatkannya sama sekali. EAB adalah cara untuk membuktikan bahwa Anda diizinkan menggunakan server ACME tertentu.
Bagaimana cara memperbaikinya:
- Periksa kembali ID Kunci dan kunci HMAC Anda: Pastikan keduanya sudah benar dan persis seperti yang diberikan. Tidak ada spasi tersembunyi atau jeda baris.
- Gunakan URL Direktori ACME yang benar: Beberapa klien mengizinkan Anda melewati –server. Jangan mencampuradukkan URL produksi dan pementasan.
- Tambahkan bendera EAB: Jika Anda menggunakan
acme.sh, bendera akan terlihat seperti ini: –eab-kid –eab-hmac-key - Perbarui klien ACME Anda: Jika klien sudah ketinggalan zaman, perbarui. Versi yang lebih baru memiliki dukungan EAB yang lebih baik.
Akun Tidak Ada
Kesalahan urn :ietf:params:acme:error:accountDoesNotExist muncul ketika klien ACME Anda mencoba menggunakan kunci akun lokal (yang tersimpan di folder konfigurasinya) yang tidak dikenali oleh CA.
Secara sederhana, klien ACME Anda mereferensikan akun yang tidak ada atau telah dihapus di sisi CA. Hal ini biasa terjadi ketika Anda menginstal ulang klien, memindahkan server, atau beralih di antara titik akhir pementasan dan produksi.
Bagaimana cara memperbaikinya:
1. Daftarkan ulang akun ACME Anda: Gunakan kredensial pengikatan akun eksternal (EAB) Anda yang benar saat mendaftar.
Contoh untuk acme.sh:
acme.sh --register-account \
--server https://acme.your-ca.com/v2/DV \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
2. Periksa URL server ACME: Pastikan Anda mendaftar dengan titik akhir yang benar yang sesuai dengan pesanan Anda.
3. Hindari penggunaan ulang file akun: Jangan memindahkan account.conf atau kunci akun di antara server atau klien kecuali Anda yakin 100% bahwa file tersebut valid untuk CA dan lingkungan yang sama.
Kesalahan Nonce Buruk atau Kesalahan Anti-replay
Klien ACME Anda mengirim permintaan menggunakan nonce (token sekali pakai dari CA) yang sudah digunakan, kedaluwarsa, atau tidak valid. Server memblokirnya untuk mencegah serangan replay. urn :ietf:params:acme:error:badNonce biasanya merupakan masalah sementara yang disebabkan oleh waktu yang buruk, permintaan yang tertunda, atau ketidaksesuaian jam.
Bagaimana cara memperbaikinya:
1. Coba saja ulang permintaan tersebut: Sebagian besar klien ACME (seperti acme.sh) akan secara otomatis mencoba ulang ketika mereka mendapatkan kesalahan badNonce. Jika tidak, jalankan kembali perintah terakhir Anda secara manual. Seharusnya berhasil pada percobaan kedua.
2. Sinkronkan jam server Anda: Waktu sistem yang miring dapat menyebabkan kesalahan pemutaran ulang. Lari:
timedatectl status
timedatectl set-ntp true
Atau pastikan ntpd atau chronyd berjalan dengan baik.
3. Periksa penundaan proxy atau CDN: Jika Anda menggunakan Cloudflare, penyeimbang beban, atau proksi yang lambat, ini mungkin menunda permintaan Anda cukup lama untuk membatalkan nonce. Coba lewati untuk sementara waktu.
Pengenal yang Diminta Belum Didelegasikan
Ketika muncul kesalahan urn :ietf:params:acme:error:rejectedIdentifier, server ACME menolak satu atau beberapa nama domain yang Anda coba validasi. Ini biasanya karena:
- Domain tersebut tidak ada di DNS publik
- Tidak ada catatan DNS yang mengarah ke server Anda
- Domain tidak diotorisasi untuk penerbitan sertifikat
Sederhananya, CA tidak dapat memverifikasi bahwa Anda memiliki atau mengontrol domain tersebut.
Bagaimana cara memperbaikinya:
1. Gunakan format yang benar dalam perintah Anda: Hanya sertakan nama domain. tanpa protokol, garis miring, atau URL lengkap.
- Benar: -d example.com
- Salah: -d http://example.com
2. Periksa apakah domain tersebut ada dan terselesaikan. Lari:
dig example.com +short
Jika tidak ada hasil, berarti domain Anda belum aktif, perbaiki pengaturan DNS Anda terlebih dahulu.
2. Cocokkan pesanan ACME Anda: Jika Anda menggunakan sertifikat ACME komersial, pastikan domain yang Anda terbitkan terdaftar pada pesanan awal. Anda tidak bisa menambahkan domain dengan cepat. Ini harus disetujui sebelumnya.
3. Waspadai kesalahan pengetikan dan pencampuran subdomain: Periksa kembali hal-hal seperti www.example.com vs example.com. Ini diperlakukan sebagai entri terpisah.
Tanggapan Tidak Sah atau Tidak Valid
Otoritas sertifikat tidak dapat memverifikasi kepemilikan domain Anda. Paling sering, CA tidak dapat mengakses file tantangan ACME yang ditempatkan klien Anda di server. Ini adalah masalah validasi HTTP: CA mencoba menjangkau situs Anda, tetapi tidak dapat menemukan atau membaca tantangan.
Pesan kesalahan yang tepat adalah urn :ietf:params:acme:error:unauthorized. Pesan ini juga dapat muncul sebagai: “Respons tidak valid dari http://yourdomain.com/.well-known/acme-challenge/…”.
Bagaimana cara memperbaikinya:
- Pastikan server Anda dapat dijangkau pada port 80 (meskipun situs Anda biasanya dialihkan ke HTTPS).
- Periksa kembali jalur webroot di konfigurasi klien ACME Anda. File tantangan harus ditulis ke: /.well-known/acme-challenge/.
- Jika server Anda memaksa pengalihan HTTPS, izinkan permintaan HTTP biasa untuk sementara waktu untuk jalur tersebut.
- Nonaktifkan CDN, proksi balik, atau firewall yang mungkin mengganggu validasi HTTP eksternal dari CA.
- Periksa izin file dan konfirmasikan bahwa file tantangan benar-benar dibuat dan dapat diakses oleh publik.
Token Tidak Ditemukan atau File Tidak Dapat Dijangkau (404 atau 403)
Server ACME mencoba mengambil file tantangan HTTP, tetapi mendapatkan respons 404 (Tidak Ditemukan) atau 403 (Dilarang). Ini berarti file tersebut tidak ditempatkan dengan benar, tidak dapat diakses publik, atau server web Anda memblokir akses.
Pesan kesalahan yang tepat dapat bervariasi. Berikut ini adalah apa yang dapat Anda lihat:
- Tanggapan tidak valid dari http://yourdomain.com/.well-known/acme-challenge/… [404]
- Tanggapan tidak valid… [403 Dilarang]
- urn:ietf:params:acme:error:unauthorized
Bagaimana cara memperbaikinya:
Periksa root dokumen untuk domain dan pastikan root tersebut cocok dengan tempat klien ACME menempatkan file: /.well-known/acme-challenge/
Konfirmasikan bahwa file token sudah ada dan dapat diakses dari browser. Anda seharusnya bisa membuka URL tantangan secara langsung di browser dan melihat konten token.
Tetapkan izin file yang benar: file tantangan ACME dan folder induknya harus dapat dibaca oleh dunia.
Jika Anda menggunakan aturan .htaccess, firewall, atau plugin keamanan (seperti pada WordPress), pastikan mereka tidak memblokir akses ke jalur /.well-known/.
Jika Anda mendapatkan 403, periksa juga kepemilikan file dan pembatasan SELinux/AppArmor jika ada.
Catatan CAA Melarang Penerbitan
DNS Anda memiliki catatan CAA yang membatasi otoritas sertifikat mana yang dapat menerbitkan sertifikat untuk domain Anda. Jika CA yang ingin Anda gunakan tidak terdaftar, maka CA tersebut akan diblokir secara default. Anda mungkin melihat pesan kesalahan berikut ini: urn :ietf:params:acme:error:caa
Ini adalah kebijakan tingkat DNS, bukan masalah server. CA diharuskan untuk memeriksa CAA sebelum mengeluarkan sertifikat apa pun.
Bagaimana cara memperbaikinya:
Periksa zona DNS domain Anda untuk mengetahui catatan CAA. Anda bisa menggunakan alat bantu online atau perintah dig:
dig CAA yourdomain.com
Jika tidak ada catatan CAA, CA mana pun bisa menerbitkannya. Tetapi jika ada, pastikan nama penyedia sertifikat Anda dicantumkan dengan tepat:
- 0 edisi “sectigo.com”
- 0 edisi “digicert.com”
Jika Anda menggunakan sertifikat wildcard, tambahkan juga baris issuewild: 0 issuewild “sectigo.com”
Tunggu beberapa menit untuk penyebaran DNS, lalu coba kembali pesanan ACME. Jika Anda tidak yakin, hapus catatan CAA untuk sementara waktu untuk menguji penerbitan, tetapi hanya jika Anda mengelola DNS dengan aman.
Catatan TXT Tidak Ditemukan (untuk Sertifikat Wildcard)
Sertifikat wildcard (seperti *.example.com) memerlukan validasi DNS-01, satu-satunya metode yang diizinkan oleh semua CA untuk domain wildcard.
DNS-01 bekerja dengan meminta Anda untuk membuat catatan TXT khusus di DNS: _acme-challenge.example.com
Jika catatan ini tidak ada atau belum disebarkan, Anda akan mendapatkan kesalahan ini.
Contoh kesalahan:
- urn: ietf: params: acme: error: dns :: Masalah DNS: NXDOMAIN mencari TXT untuk _acme-challenge.example.com
- Catatan TXT tidak ditemukan untuk _acme-challenge.example.com
Bagaimana cara memperbaikinya:
Di penyedia DNS Anda, buat catatan TXT:
- Nama: _acme-challenge.example.com
- Nilai: (token yang diberikan klien ACME Anda; unik per permintaan)
Tunggu 1-10 menit hingga DNS menyebar. Beberapa penyedia membutuhkan waktu lebih lama. Konfirmasikan dengan perintah berikut.
dig TXT _acme-challenge.example.com
Anda juga dapat menggunakan alat pencarian DNS online. Setelah terlihat, coba validasi ulang.
Terlalu Banyak Permintaan atau Batas Tarif Terlampaui
Kesalahan muncul sebagai urn :ietf:params:acme:error:rateLimited atau 429 Terlalu Banyak Permintaan ketika server ACME menolak untuk memproses permintaan Anda karena Anda telah mencapai batas kecepatan.
Hal ini biasanya terjadi jika Anda meminta terlalu banyak sertifikat untuk domain yang sama dalam waktu singkat atau Anda mengirim terlalu banyak permintaan yang gagal secara berturut-turut.
Bagaimana cara memperbaikinya:
Sebagian besar batas kecepatan diatur ulang secara otomatis setelah satu jam, satu hari, atau satu minggu, tergantung pada kecepatan yang Anda capai. Jika menggunakan skrip, periksa log dan perbaiki kesalahan sebelum mencoba kembali. Jangan melakukan brute-force secara membabi buta, itu hanya akan memperburuk penguncian.
Untuk validasi DNS-01, hindari permintaan ulang yang cepat setelah terjadi kesalahan kecil pada catatan TXT. Tunggu propagasi DNS. Jika CA Anda menyediakan halaman status batas kecepatan atau header, periksa halaman tersebut untuk mengetahui waktu reset yang lebih tepat.
Kesalahan DNS atau Kegagalan Pencarian
Jika Anda mendapatkan pesan seperti“Masalah DNS: NXDOMAIN mencari A misalnya.com” atau“Kegagalan sementara dalam resolusi nama“, itu berarti server ACME tidak dapat menyelesaikan nama domain Anda, baik karena domain tersebut tidak ada, belum disebarkan, atau tidak memiliki catatan IP yang valid.
Otoritas sertifikat bergantung pada DNS untuk memverifikasi bahwa domain Anda ada dan mengarah ke suatu tempat yang nyata. Jika tidak dapat menjangkau catatan A (IPv4) atau AAAA (IPv6) Anda, maka proses validasi akan dihentikan.
Hal ini dapat terjadi jika:
- Domain Anda masih baru dan DNS belum sepenuhnya disebarkan
- Anda lupa menambahkan catatan DNS yang tepat
- Anda bekerja di jaringan lokal atau internal tanpa visibilitas DNS publik
- Ada kesalahan ketik pada nama domain yang Anda kirimkan
Bagaimana cara memperbaikinya:
- Periksa kembali apakah domain Anda memiliki catatan A atau AAAA yang valid yang mengarah ke server live Anda.
- Gunakan alat seperti dig, nslookup, atau pemeriksa online (misalnya whatsmydns.net) untuk mengonfirmasi penyebaran.
- Pastikan Anda tidak menggunakan domain pribadi atau domain khusus internal. Validasi ACME hanya berfungsi untuk nama yang dapat diselesaikan secara publik.
- Tunggu beberapa menit setelah perubahan DNS; perubahan tersebut tidak selalu langsung aktif.
Tidak Dapat Tersambung ke Server ACME
Kesalahan ini muncul ketika server Anda tidak dapat mencapai titik akhir API ACME. Kesalahan ini dapat muncul sebagai Connection refused, Timeout during connect, Could not connect, atau pesan serupa, tergantung pada klien ACME.
Bagaimana cara memperbaikinya:
- Pastikan server Anda mengizinkan koneksi HTTPS keluar pada port 443.
- Periksa pengaturan firewall atau aturan jaringan keluar (terutama dalam pengaturan cloud/VPS).
- Jika Anda menggunakan proxy, izinkan lalu lintas ke domain server ACME CA.
- Konfirmasikan server Anda memiliki DNS resolver yang berfungsi.
- Uji konektivitas dengan: curl https://acme.example.com (ganti dengan titik akhir CA Anda yang sebenarnya).
- Mulai ulang klien ACME Anda setelah menyelesaikan masalah jaringan.
Skrip Pasca Perpanjangan Gagal
Kesalahan ini muncul setelah pembaruan sertifikat berhasil ketika skrip tindak lanjut yang dimaksudkan untuk memuat ulang server web atau layanan Anda tidak berjalan dengan benar. Tergantung pada klien ACME Anda, Anda mungkin melihat pesan seperti “kesalahan post-hook”, “penyebaran skrip gagal”, atau “perintah tidak ditemukan”.
Bagaimana cara memperbaikinya:
- Jalankan skrip pasca-pembaruan Anda secara manual untuk melihat apa yang rusak.
- Periksa jalur file, terutama untuk sertifikat dan kunci yang baru.
- Pastikan skrip memiliki izin eksekusi (mis., chmod +x script.sh).
- Cari kesalahan pengetikan, ketergantungan yang hilang, atau sintaks perintah yang salah.
- Jika Anda menggunakan deploy hook atau post-hook, pastikan klien mendukungnya dan dikonfigurasi dengan benar.
Kata Penutup
Kami telah membahas kesalahan sertifikat SSL ACMS yang paling umum dan memberikan perbaikan cepat. Jika tidak ada satu pun yang dapat menyelesaikan masalah Anda, jalankan klien ACME Anda dalam mode debug. Sebagian besar klien akan memberikan hasil yang lebih terperinci saat Anda mengaktifkan pencatatan. Informasi tersebut dapat membantu mengidentifikasi penyebab sebenarnya dan membuat SSL Anda berfungsi kembali.
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
