Подскажите, пожалуйста, что происходит здесь? (На этом же хосте успешно получаю сертификат на домен при помощи CertBot). Порты 443 и 80 проброшены наружу (хотя 80 в итоге хотелось бы закрыть, если это вообще получится).

[rekby]

Подскажите, пожалуйста, что происходит здесь? (На этом же хосте успешно получаю сертификат на домен при помощи CertBot). Порты 443 и 80 проброшены наружу (хотя 80 в итоге хотелось бы закрыть, если это вообще получится).

2024-04-01T20:17:17.463256004Z {"level":"info","ts":1712002637.4630606,"caller":"cmd/config.go:76","msg":"Read config","config_file":"config.tom[l]"}
2024-04-01T20:17:17.464700886Z {"level":"info","ts":1712002637.4645476,"caller":"cmd/config.go:182","msg":"Parse config file","config_file":"default"}
2024-04-01T20:17:17.465127987Z {"level":"info","ts":1712002637.4650352,"caller":"cmd/config.go:82","msg":"Parse configs finished","config_file":"config.tom[l]","readed_files":0,"max_read_files":10000}
2024-04-01T20:17:17.467482883Z 2024-04-01T20:17:17.465Z info cmd/log.go:71 Initialize log on level {"level": "info"}
2024-04-01T20:17:17.467695461Z 2024-04-01T20:17:17.467Z info cmd/main.go:110 StartAutoRenew program version {"version": "Version: 'v0.29.3+build-8191065039, Build time 2024-03-07 15:57:08+00:00, commit 3524e48, 1.20', Os: 'linux', Arch: 'amd64'"}
2024-04-01T20:17:17.468007771Z 2024-04-01T20:17:17.467Z info cmd/main.go:190 Profiler disabled
2024-04-01T20:17:17.468508858Z 2024-04-01T20:17:17.468Z info cmd/main.go:119 Create storage dir {"dir": "storage"}
2024-04-01T20:17:17.468805310Z 2024-04-01T20:17:17.468Z info cmd/main.go:125 Acme directory {"url": "https://acme-v02.api.letsencrypt.org/directory"}
2024-04-01T20:17:17.729143719Z 2024-04-01T20:17:17.728Z info acme_client_manager/client_manager.go:365 Generate account key
2024-04-01T20:17:18.567623610Z 2024-04-01T20:17:18.567Z info acme_client_manager/client_manager.go:370 Register acme account
2024-04-01T20:17:18.567919863Z 2024-04-01T20:17:18.567Z info acme_client_manager/client_manager.go:327 Create acme account
2024-04-01T20:17:18.568597021Z 2024-04-01T20:17:18.568Z info acme_client_manager/client_manager.go:350 Marshal account state to json
2024-04-01T20:17:18.568999104Z 2024-04-01T20:17:18.568Z info cmd/main.go:128 Get acme client
2024-04-01T20:17:18.569385260Z 2024-04-01T20:17:18.569Z info domain_checker/ip_list_sources.go:29 Create ip checker {"IPSelfDetectMethod": "auto"}
2024-04-01T20:17:18.583234506Z 2024-04-01T20:17:18.582Z info domain_checker/ip_list_sources.go:66 Check aws metadata available {"available": false}
2024-04-01T20:17:18.585582826Z 2024-04-01T20:17:18.585Z error domain_checker/ip_list_sources.go:168 Request to external ip detector {"detector": "http://ifconfig.io/ip", "error": "Get "http://ifconfig.io/ip\": dial tcp6 [2606:4700:e2::ac40:8f07]:80: connect: cannot assign requested address"}
2024-04-01T20:17:18.585607812Z github.com/rekby/lets-proxy2/internal/domain_checker.getIPByExternalRequest.func1
2024-04-01T20:17:18.585632580Z /home/runner/work/lets-proxy2/lets-proxy2/test-build/src/github.com/rekby/lets-proxy2/internal/domain_checker/ip_list_sources.go:168
2024-04-01T20:17:18.585640694Z github.com/rekby/lets-proxy2/internal/domain_checker.getIPByExternalRequest.func3
2024-04-01T20:17:18.585646660Z /home/runner/work/lets-proxy2/lets-proxy2/test-build/src/github.com/rekby/lets-proxy2/internal/domain_checker/ip_list_sources.go:201
2024-04-01T20:17:18.746003151Z 2024-04-01T20:17:18.745Z error domain_checker/ip_list_sources.go:168 Request to external ip detector {"detector": "http://ifconfig.io/ip", "error": "Get "http://ifconfig.io/ip\": dial tcp6 [2606:4700:e2::ac40:8f07]:80: connect: cannot assign requested address"}
2024-04-01T20:17:18.746042180Z github.com/rekby/lets-proxy2/internal/domain_checker.getIPByExternalRequest.func1
2024-04-01T20:17:18.746050025Z /home/runner/work/lets-proxy2/lets-proxy2/test-build/src/github.com/rekby/lets-proxy2/internal/domain_checker/ip_list_sources.go:168
2024-04-01T20:17:18.746057626Z github.com/rekby/lets-proxy2/internal/domain_checker.getIPByExternalRequest.func3
2024-04-01T20:17:18.746064178Z /home/runner/work/lets-proxy2/lets-proxy2/test-build/src/github.com/rekby/lets-proxy2/internal/domain_checker/ip_list_sources.go:201
2024-04-01T20:17:18.906066251Z 2024-04-01T20:17:18.905Z info cmd/main.go:148 start metrics
2024-04-01T20:17:18.906549684Z 2024-04-01T20:17:18.906Z info tlslistener/config.go:48 Min tls version {"tls_version": "1.2"}
2024-04-01T20:17:18.906678228Z 2024-04-01T20:17:18.906Z info tlslistener/tlslistenershandler.go:81 StartAutoRenew handleListeners
2024-04-01T20:17:18.906915521Z 2024-04-01T20:17:18.906Z info proxy/config.go:106 Create same ip director {"port": 80}
2024-04-01T20:17:18.907164836Z 2024-04-01T20:17:18.906Z info proxy/config.go:134 Create headers director {"headers": {"X-Forwarded-For":"{{SOURCE_IP}}","X-Forwarded-Proto":"{{HTTP_PROTO}}"}}
2024-04-01T20:17:18.907365867Z 2024-04-01T20:17:18.907Z info cmd/main.go:168 Apply proxy config
2024-04-01T20:17:18.907580636Z 2024-04-01T20:17:18.907Z info proxy/http-proxy.go:65 Set transport to reverse proxy
2024-04-01T20:17:18.907704848Z 2024-04-01T20:17:18.907Z info proxy/http-proxy.go:72 Access log {"enabled": true}
2024-04-01T20:17:18.907842632Z 2024-04-01T20:17:18.907Z info proxy/http-proxy.go:81 Http builtin reverse proxy start
2024-04-01T20:17:26.614134828Z 2024-04-01T20:17:26.613Z info cert_manager/manager.go:158 Domain name normalization {"connection_id": "6a9666fd-4dce-4b62-b975-519080f09131", "original": "", "domain": " (punycode:)", "error": "idna: invalid label """}
2024-04-01T20:17:26.614199493Z 2024-04-01T20:17:26.614Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "6a9666fd-4dce-4b62-b975-519080f09131", "error": "have no certificate for domain"}
2024-04-01T20:17:26.614210787Z 2024/04/01 20:17:26 http: TLS handshake error from 10.66.66.2:47137: have no certificate for domain
2024-04-01T20:17:26.727983940Z 2024-04-01T20:17:26.727Z info cert_manager/manager.go:158 Domain name normalization {"connection_id": "07481ae5-e81e-4d80-a4c8-5d69280bf3cd", "original": "", "domain": " (punycode:)", "error": "idna: invalid label """}
2024-04-01T20:17:26.728008897Z 2024-04-01T20:17:26.727Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "07481ae5-e81e-4d80-a4c8-5d69280bf3cd", "error": "have no certificate for domain"}
2024-04-01T20:17:26.728014409Z 2024/04/01 20:17:26 http: TLS handshake error from 10.66.66.2:47138: have no certificate for domain
2024-04-01T20:18:22.970853153Z 2024-04-01T20:18:22.970Z info cert_manager/manager.go:158 Domain name normalization {"connection_id": "5a839456-823f-4f66-8011-6c1264b03e03", "original": "", "domain": " (punycode:)", "error": "idna: invalid label """}
2024-04-01T20:18:22.970900191Z 2024-04-01T20:18:22.970Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "5a839456-823f-4f66-8011-6c1264b03e03", "error": "have no certificate for domain"}
2024-04-01T20:18:22.970910403Z 2024/04/01 20:18:22 http: TLS handshake error from 10.66.66.2:47163: have no certificate for domain
2024-04-01T20:18:23.096879686Z 2024-04-01T20:18:23.096Z info cert_manager/manager.go:158 Domain name normalization {"connection_id": "31243d2a-467f-442f-a540-09466539e024", "original": "", "domain": " (punycode:)", "error": "idna: invalid label """}
2024-04-01T20:18:23.096919379Z 2024-04-01T20:18:23.096Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "31243d2a-467f-442f-a540-09466539e024", "error": "have no certificate for domain"}
2024-04-01T20:18:23.096929203Z 2024/04/01 20:18:23 http: TLS handshake error from 10.66.66.2:47164: have no certificate for domain

Originally posted by @Oleg-N-Cher in #202 (comment)

[rekby]

Тут по логам видно две проблемы:

1. Внутри контейнера определяется сеть ipv6, но запрос на http://ifconfig.io/ip для определения собственного IP-адреса не проходит. Как вариант можно задать IP-адрес вручную в конфиге, это должен быть тот IP-адрес, на который указывает домен.
2. Исходя из логов lets-proxy не видит доменного имени в SNI-полях. Почему оно не передаётся к сожалению не знаю, если пофантазировать, то это может быть: оч. старый браузер, обращение по IP-адресу, нестандартные настройки браузера, промежуточные прокси-сервисы и т.п.

[rekby]

Порты 443 и 80 проброшены наружу (хотя 80 в итоге хотелось бы закрыть, если это вообще получится).

Порт 80 можно закрыть - lets-proxy2 работает через tls-alpn-01 валидацию - по тому же 443-му порту, на котором и слушает траффик и 80й порт для него не нужен.

Но нужно чтобы сам lets-proxy мог обращаться на 80й порт по тому же IP-адресу на который приходят запросы (в варианте настроек по-умолчанию).

[Oleg-N-Cher]

1. Ага, Вы имеете в виду, в конфиге lets-proxy2 ? Тогда уж подскажите в каком поле. (Хотя это неудобно, поскольку хочется сделать образ максимально переносимым и отвязанным от конкретных деталей. Впрочем, можно передавать IP извне, что конечно хоть и не проблема, но лишние телодвижения).
2. Работаем в новом браузере и не по IP-адресу. Просто работаем через веб-клиент noVNC (сервер - TurboVNC + websockify), я уж не знаю как он там передаёт... (Может это повод реквестировать ручное задание домена (-ов) на получение сертификата в конфиге? Тогда и система защиты от поддельных заголовков не понадобится)

[Oleg-N-Cher]

Меня смущает вопрос как в докер-контейнере (и можно ли) lets-proxy2 будет обращаться к websockify по "внешнему" IP-адресу. Конечно надо проверить, но что-то я сильно подозреваю, что внутри контейнера это работать не будет.

[rekby]

1. Lets-proxy пытается определить свой публичный адрес несколькими способами, чтобы не допустить бан вашего letsencrypt аккаунта из-за попыток выписать сертификаты не несуществующие домены.
   

   lets-proxy2/cmd/static/default-config.toml

   Lines 140 to 150 in 5b3f632

   	# How detect public ips of the server.
   	# it use if IPSelf is true
   	# auto | local | aws | yandex
   	# auto - best effort for detect IP. Algoritm may change from time to time.
   	# it good for default.
   	# bind - detect public IP binded to local interfaces
   	# aws - detect public IPs by query to AWS EC2 metadata
   	# external - detect self ip by request to external server IPSelfExternalDetector
   	# yandex - detect public IPs by query to Yandex cloud metadata (now alias for aws)
   	IPSelfDetectMethod = "auto"

В большинстве случаев этого должно хватать, если у вас не хватает - хорошо бы понять как в вашем случае можно автоматически определять публичный IP.

Чтобы обойти это прямо сейчас - можно выключить проверку домена по IP-адресу (параметр IPSelf) - тогда прокся не будет самостоятельно проверять адрес домена перед походом в letsencrypt и может превышать лимиты неавторизованных запросов когда на ваш IP-адрес будут ходить роботы с несуществующими доменами.

Можно указать разрешённые IP-адреса в поле IPWhiteList.

2. Работаем в новом браузере и не по IP-адресу. Просто работаем через веб-клиент noVNC (сервер - TurboVNC + websockify), я уж не знаю как он там передаёт... (Может это повод реквестировать ручное задание домена (-ов) на получение сертификата в конфиге? Тогда и система защиты от поддельных заголовков не понадобится)

Если задавать домены в конфиге и их список заранее известен - возможно вам тогда не нужен lets-proxy и можно поставить nginx/apache + certbot для получения сертификатов и прописывания настроек. Тогда и доп. фоновых процессов держать не нужно.

Меня смущает вопрос как в докер-контейнере (и можно ли) lets-proxy2 будет обращаться к websockify по "внешнему" IP-адресу. Конечно надо проверить, но что-то я сильно подозреваю, что внутри контейнера это работать не будет.

Опишите вашу схему - куда приходит обращается клиент, как идёт запрос, куда lets-proxy должен его передавать.
Сейчас схема не оч. понятна и поэтому не могу сказать будет ли оно работать.

[Oleg-N-Cher]

Клиент посылает запрос из браузера на сервер, ответ на который отдаёт ему TurboVNC через websockify. noVNC (веб-клиент VNC) является по сути набором html+css+js, для которых websockify есть чем-то вроде веб-сервера.

lets-proxy2 мне подходит идеально, потому что до моих с ним экспериментов я запускал самописный скрипт на питоне, который вызывает CertBot, и подсовывал сертификат в виде опции websockify. Это в целом работает, но есть проблема горячего перечитывания сертификата на лету в случае, если сервер не будет перезапускаться очень долго (> 3 месяцев). Даже если я повешу питон-скрипт, обновляющий сертификат, на cron, он перевыпустит сертификат, но websockify не подхватит новый сертификат без перезапуска. А чтобы организовать ему перезапуск и не убить сессию активного клиента - надо дополнительно каким-то образом отслеживать его активность. Что является дополнительной проблемой, и не такой уж и простой. Так что прокси, прозрачно преобразующий https в http и умеющий обновлять сертификат горячим способом без перезапуска серверной части - это просто очень хорошее решение.

Я приложу свой питон-скрипт. Он берёт доменное имя для получения сертификата из socket.gethostname() (команда cat /etc/hostname или echo $(hostname -f) в Linux), а внешний IP-адрес определяет при помощи внешнего сервиса. Там внутри питон-скрипта целых 3 функции, которые это делают через разные сервисы. И все три на моём хосте работают.

RenewCert.py.zip

Этот питон-скрипт, работающий при помощи CertBot'а, не устраивает меня только тем, что websockify не умеет по-горячему перечитывать сертификат без перезапуска. Поэтому сам собой напрашивается вариант проксирования https в http.

В принципе, если Вы заинтересованы в работе lets-proxy2 в разных хитрых условиях, то я готов подождать сколько надо, придумайте что-то изящное для моего случая. Но я не знаю как заставить noVNC писать имя домена в заголовках. Может он со стороны клиента (в браузере) сам ресолвит домен, браузер проверяет сертификат, а потом скрипт обращается к серверу исключительно по IP-адресу. Возможно, что это не единственная софтинка, которая так делает.

Про nginx + свой этот питон-скрипт я подумаю, если уж совсем не получится ничего добиться от lets-proxy2. Но, в любом случае, спасибо Вам за помощь.

[rekby]

А где в этой схеме должен быть прокси?

По моим представлениям схема должна быть примерно такой:

1. Клиент отправлет запрос по https
2. Запрос прилетает в lets-proxy, в этой точке обрабатывается и снимается https
3. Http-запрос идёт на тот же сервер на 80й- порт в websockify/turbovnc и прочие сервисы

И в этой схеме запрос в проксю должен приходить из клиентского браузера, чтобы весь трафик между клиентом и сервером шёл по https.

[Oleg-N-Cher]

Ну вот, Вы правильно описали схему.

Прокси должен быть в докер-контейнере, чтобы было проще разворачивать весь тандем на разных хостах.
Т.е. из докера наружу открыт порт 443, по которому приходят запросы от клиента. Потом прокси внутри контейнера получает запрос и переадресовывает его на внутренний порт 80 в докере, который уже слушает websockify (здесь надо использовать локальный IP в контейнере, скорее всего, localhost / 127.0.0.1 или специальный IP для контейнеров - здесь(https://docs.ispsystem.ru/dcimanager-kb/prakticheskie-rukovodstva/kak-izmenit-set-ispol-zuemuyu-docker) пишут "По умолчанию система виртуализации Docker использует для своей работы сети 172.17.0.0/12").

При таком подходе надо замаппить во внешнюю систему папку, где lets-proxy2 хранит файлы сертификатов. Чтобы они были доступны при следующем запуске lets-proxy2.

Я рассматриваю вариант, когда прокси может быть и вне контейнера. Это менее удобно, но почему бы и нет. Так не придётся маппить хранилище сертификатов. В этом случае lets-proxy2 будет слушать внешний порт 443 и переадресовывать на порт 80, который переадресован на докер-контейнер (порт 80, опять же, слушает websockify внутри контейнера).

Более предпочтительно конечно запрятать прокси в контейнер, чтобы упростить и ускорить деплой.

[Oleg-N-Cher]

Да, Вы предлагали поместить lets-proxy2 в другой контейнер. Для упрощения я бы всё же не стал так делать, а поместил бы всю систему вместе с прокси в один. А фоновую работу можно попробовать организовать при помощи supervisord, например. Я в этом не силён, но что-то такое можно попробовать нагуглить для фоновой работы в докере.

[rekby]

Ну вот, Вы правильно описали схему.

Тогда запрос в проксю должен идти из браузера пользователя, в т.ч. подключение к noVNC - тоже через lets-proxy, если там http/https.

т.е. прокся должна принимать именно запрос от браузера клиента, тогда с заголовками всё должно быть хорошо.

При таком подходе надо замаппить во внешнюю систему папку, где lets-proxy2 хранит файлы сертификатов. Чтобы они были доступны при следующем запуске lets-proxy2.

Да

Да, Вы предлагали поместить lets-proxy2 в другой контейнер. Для упрощения я бы всё же не стал так делать, а поместил бы всю систему вместе с прокси в один.

Как вариант можно использовать docker-compose, а в нём указать параметр network: host - это позволит запускать несколько контейнеров одной командой, иметь их декларативное описание - везде одинаковое и удобно разворачивать на хостах. Из ограничений - получится только один lets-proxy на хост (обычно этого достаточно).

Сеть будет использоваться хостовая и если там на интерфейсе есть публичный IP-адрес - он определится автоматически.

[Oleg-N-Cher]

noVNC же живёт в браузере клиента в виде скриптов, так что запрос идёт от браузера.

А подскажите ещё, пожалуйста, что происходит здесь. Домен (jitsi.ldnova.com) точно поступает из заголовков.

root@jitsi:~/mm# ./lets-proxy
{"level":"info","ts":1712047965.473504,"caller":"cmd/config.go:76","msg":"Read config","config_file":"config.tom[l]"}
{"level":"info","ts":1712047965.4747493,"caller":"cmd/config.go:182","msg":"Parse config file","config_file":"default"}
{"level":"info","ts":1712047965.4751167,"caller":"cmd/config.go:82","msg":"Parse configs finished","config_file":"config.tom[l]","readed_files":0,"max_read_files":10000}
2024-04-02T08:52:45.475Z info cmd/log.go:71 Initialize log on level {"level": "info"}
2024-04-02T08:52:45.475Z info cmd/main.go:110 StartAutoRenew program version {"version": "Version: 'v0.29.3+build-8191065039, Build time 2024-03-07 15:57:08+00:00, commit 3524e48, 1.20', Os: 'linux', Arch: 'amd64'"}
2024-04-02T08:52:45.475Z info cmd/main.go:190 Profiler disabled
2024-04-02T08:52:45.475Z info cmd/main.go:119 Create storage dir {"dir": "storage"}
2024-04-02T08:52:45.475Z info cmd/main.go:125 Acme directory {"url": "https://acme-v02.api.letsencrypt.org/directory"}
2024-04-02T08:52:45.476Z info cmd/main.go:128 Get acme client
2024-04-02T08:52:45.476Z info domain_checker/ip_list_sources.go:29 Create ip checker {"IPSelfDetectMethod": "auto"}
2024-04-02T08:52:45.491Z info domain_checker/ip_list_sources.go:66 Check aws metadata available {"available": false}
2024-04-02T08:52:45.492Z info cmd/main.go:148 start metrics
2024-04-02T08:52:45.492Z info tlslistener/config.go:48 Min tls version {"tls_version": "1.2"}
2024-04-02T08:52:45.492Z info tlslistener/tlslistenershandler.go:81 StartAutoRenew handleListeners
2024-04-02T08:52:45.492Z info proxy/config.go:106 Create same ip director {"port": 80}
2024-04-02T08:52:45.492Z info proxy/config.go:134 Create headers director {"headers": {"X-Forwarded-For":"{{SOURCE_IP}}","X-Forwarded-Proto":"{{HTTP_PROTO}}"}}
2024-04-02T08:52:45.492Z info cmd/main.go:168 Apply proxy config
2024-04-02T08:52:45.492Z info proxy/http-proxy.go:65 Set transport to reverse proxy
2024-04-02T08:52:45.492Z info proxy/http-proxy.go:72 Access log {"enabled": true}
2024-04-02T08:52:45.492Z info proxy/http-proxy.go:81 Http builtin reverse proxy start
2024-04-02T08:52:47.948Z info cert_manager/manager.go:167 Get certificate {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:52:47.949Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:47.949Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:47.949Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:47.949Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:47.949Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:47.949Z info cert_manager/manager.go:177 Got certificate {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:52:47.949Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:52:47.949Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:47.949Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:47.949Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:47.949Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:47.949Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:47.949Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "error": "have no certificate for domain"}
2024/04/02 08:52:47 http: TLS handshake error from 10.66.66.2:54062: have no certificate for domain
2024-04-02T08:52:48.058Z info cert_manager/manager.go:167 Get certificate {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:52:48.059Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:48.059Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.059Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.059Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.059Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.059Z info cert_manager/manager.go:177 Got certificate {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:52:48.059Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:52:48.060Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:48.060Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.060Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.060Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.060Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.061Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "edd97777-915e-407f-84a0-25e4cedfad76", "error": "have no certificate for domain"}
2024/04/02 08:52:48 http: TLS handshake error from 10.66.66.2:54063: have no certificate for domain
2024-04-02T08:52:48.193Z info cert_manager/manager.go:167 Get certificate {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:52:48.193Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:48.193Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.193Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.193Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.193Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.193Z info cert_manager/manager.go:177 Got certificate {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:52:48.193Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:52:48.193Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:48.193Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.194Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.194Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.194Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.194Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "05746151-f5dd-4e16-9501-a7e303b966ef", "error": "have no certificate for domain"}
2024/04/02 08:52:48 http: TLS handshake error from 10.66.66.2:54064: have no certificate for domain
2024-04-02T08:52:48.297Z info cert_manager/manager.go:167 Get certificate {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:52:48.297Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:48.297Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.297Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.297Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.297Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:48.297Z info cert_manager/manager.go:177 Got certificate {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:52:48.297Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:52:48.297Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:48.297Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.297Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.297Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.298Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:48.298Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "5772fd3c-f341-4461-b0b1-cdf79c506208", "error": "have no certificate for domain"}
2024/04/02 08:52:48 http: TLS handshake error from 10.66.66.2:54065: have no certificate for domain
2024-04-02T08:52:49.702Z info cert_manager/manager.go:167 Get certificate {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:52:49.702Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:49.702Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.702Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.702Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.703Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.703Z info cert_manager/manager.go:177 Got certificate {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:52:49.703Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:52:49.703Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:49.703Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.703Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.703Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.703Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.703Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "52b63539-4572-4e70-a102-d3a047c89db1", "error": "have no certificate for domain"}
2024/04/02 08:52:49 http: TLS handshake error from 10.66.66.2:54066: have no certificate for domain
2024-04-02T08:52:49.803Z info cert_manager/manager.go:167 Get certificate {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:52:49.803Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:49.803Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.803Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.803Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.803Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:52:49.804Z info cert_manager/manager.go:177 Got certificate {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:52:49.804Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:52:49.804Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:52:49.804Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.804Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.804Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.804Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:52:49.805Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "abe76d8d-71d5-4081-ac60-d8aaaacc1b35", "error": "have no certificate for domain"}
2024/04/02 08:52:49 http: TLS handshake error from 10.66.66.2:54067: have no certificate for domain
2024-04-02T08:53:19.319Z info cert_manager/manager.go:167 Get certificate {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:53:19.320Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:53:19.320Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.320Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.320Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.320Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.320Z info cert_manager/manager.go:177 Got certificate {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:53:19.320Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:53:19.320Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:53:19.320Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.320Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.320Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.320Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.320Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "2786a26e-4ff5-4160-939a-d1b51e1fac77", "error": "have no certificate for domain"}
2024/04/02 08:53:19 http: TLS handshake error from 10.66.66.2:54073: have no certificate for domain
2024-04-02T08:53:19.439Z info cert_manager/manager.go:167 Get certificate {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "original_domain": "jitsi.ldnova.com"}
2024-04-02T08:53:19.440Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:53:19.440Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.440Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.440Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.440Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "cert_name": "jitsi.ldnova.com.ecdsa"}
2024-04-02T08:53:19.440Z info cert_manager/manager.go:177 Got certificate {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "certificate": "tls nil", "error": "have no certificate for domain"}
2024-04-02T08:53:19.440Z info cert_manager/manager.go:182 ECDSA certificate was failed, try to get RSA certificate {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)"}
2024-04-02T08:53:19.440Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}
2024-04-02T08:53:19.440Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.440Z info domain_checker/chains.go:23 Deny by 'any' rule chain: nothing of subrules allow domain. {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.440Z info domain_checker/chains.go:40 Deny by 'all' chain: any of subrules denied domain. {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.440Z info cert_manager/manager.go:296 Deny certificate issue by filter {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa"}
2024-04-02T08:53:19.440Z info tlslistener/tlslistenershandler.go:234 TLS Handshake {"connection_id": "49966b96-cf21-4fa4-b0ee-7fadf2ebe934", "error": "have no certificate for domain"}
2024/04/02 08:53:19 http: TLS handshake error from 10.66.66.2:54074: have no certificate for domain

[rekby]

У этого домена IP-адрес не входит в список разрешённых (IP-адрес домена определился как 127.0.0.1):

2024-04-02T08:52:47.949Z info domain_checker/ip_list.go:119 Domain has not allowed IP address {"connection_id": "ae5c52a2-5425-42c9-b0a0-910517c333b4", "domain": "jitsi.ldnova.com (punycode:jitsi.ldnova.com)", "retry_type": "rsa", "cert_name": "jitsi.ldnova.com.rsa", "checked_ip": "127.0.0.1"}

Чтобы получить сертификат домен должен указывать на публичный IP-адрес, т.к. на него придёт запрос от letsencrypt.

[Oleg-N-Cher]

Понятно, спасибо. Как-то всё сложно с lets-proxy2. Попробую nginx + CertBot. Закрываю тему.