文件验证(HTTP-01 验证)失败的核心是 “Let’s Encrypt 的验证服务器无法正常访问到你上传的验证文件”,具体原因可从 “文件本身”“服务器配置”“外部环境” 三个维度排查,常见情况如下:
一、验证文件相关问题(最基础且高发的原因)
- 文件路径或文件名错误
Let’s Encrypt 对文件路径有严格要求(必须是/.well-known/acme-challenge/[随机文件名]),任何细微偏差都会导致失败:
验证逻辑:Let’s Encrypt 的爬虫会严格按http://域名/.well-known/acme-challenge/[指定文件名]访问,路径或文件名不匹配会直接返回 “404 Not Found”。
-
- 错误示例 1:目录层级错误(如漏写/.well-known,直接将文件放在根目录;或多嵌套一层目录,如/.well-known/acme-challenge/test/xxx.txt);
-
- 错误示例 2:文件名拼写错误(如证书平台生成的文件名为abc123.txt,实际上传为abd123.txt,少一个字母或字母顺序错误);
-
- 错误示例 3:文件扩展名错误(如误保存为xxx.txt.txt,或无扩展名xxx)。
- 文件内容不正确或不完整
验证文件的内容是 Let’s Encrypt 生成的唯一随机字符串(如abcdef123456),若内容有误,即使文件能访问也会验证失败:
-
- 错误示例 1:内容包含多余字符(如开头 / 结尾有空格、换行,或手动添加了注释);
-
- 错误示例 2:复制时遗漏部分内容(如原字符串共 20 位,实际只复制了 15 位);
-
- 错误示例 3:内容被服务器程序篡改(如上传的是纯文本,但服务器自动添加了 HTML 标签,导致内容变为<p>abc123</p>)。
二、服务器配置阻碍访问(验证文件存在但无法被读取)
- 服务器权限设置不当
即使文件路径和内容正确,若服务器对文件或目录设置了 “禁止外部读取” 的权限,验证服务器会被拒绝访问:
验证逻辑:服务器需对验证文件设置 “至少 644 权限”(rw-r--r--),目录设置 “至少 755 权限”(rwxr-xr-x),确保 Let’s Encrypt 的爬虫能正常读取。
-
- 错误示例 1:文件权限过低(如rw-------,仅所有者可读写,服务器进程无法读取);
-
- 错误示例 2:目录权限限制(如/.well-known/acme-challenge目录设置了drwx------,外部请求被拦截)。
- Web 服务器配置拦截了访问
部分服务器(如 Nginx、Apache)的默认配置或自定义规则可能拦截对/.well-known路径的访问:
-
- 错误示例 1:Nginx 配置了location ~ //.规则(禁止访问隐藏目录,/.well-known以 “.” 开头,被误判为隐藏目录);
-
- 错误示例 2:Apache 启用了 “URL 重写” 规则(如 WordPress 的固定链接规则),将/.well-known/acme-challenge/xxx.txt重定向到 404 页面;
-
- 错误示例 3:服务器开启了 “防盗链” 或 “IP 限制”,仅允许特定 IP 访问,拒绝了 Let’s Encrypt 验证服务器的 IP。
- 80 端口未开放或被占用
文件验证依赖 HTTP 协议(通过 80 端口访问),若 80 端口不可用,验证请求会直接失败:
-
- 错误示例 1:服务器防火墙拦截了 80 端口(如仅开放 443 端口,未开放 80 端口);
-
- 错误示例 2:80 端口被其他程序占用(如未启动 Web 服务器,或被非 Web 服务占用),导致验证请求无法到达 Web 服务器。
三、外部环境干扰(文件正确但被第三方机制拦截)
- CDN 或反向代理篡改了请求
若域名启用了 CDN(如 Cloudflare)或反向代理,可能导致验证文件无法被正确访问:
-
- 错误示例 1:CDN 开启了 “缓存静态资源”,但未同步最新上传的验证文件(返回旧的 404 页面);
-
- 错误示例 2:CDN 启用了 “HTTPS 强制跳转”(将所有 HTTP 请求自动跳转为 HTTPS),而 Let’s Encrypt 的文件验证必须通过 HTTP(80 端口)访问,跳转后会导致路径失效;
-
- 错误示例 3:反向代理配置了 “路径改写”,将/.well-known路径转发到了错误的服务器或目录。
- 域名解析未指向正确服务器
若域名的 A 记录(IPv4)或 AAAA 记录(IPv6)未指向你上传文件的服务器,验证请求会发送到其他服务器,自然无法找到文件:
-
- 错误示例 1:域名解析指向了旧服务器(你在新服务器上传了文件,但解析未更新);
-
- 错误示例 2:解析记录未生效(刚修改了解析,还未同步到 Let’s Encrypt 使用的 DNS 服务器)。
- 服务器所在网络有访问限制
部分特殊网络环境(如企业内网、云服务器安全组)可能限制外部访问:
-
- 错误示例 1:云服务器安全组未开放 80 端口的 “入站规则”(仅允许内部访问,拒绝外部请求);
-
- 错误示例 2:服务器使用了 “地区限制”(如仅允许国内 IP 访问,而 Let’s Encrypt 的验证服务器位于国外)。
四、特殊场景:子域名或多域名验证的额外问题
- 子域名未单独配置验证
若申请的是www.example.com的证书,但仅在example.com的服务器上传了文件,而www.example.com指向了不同服务器(或未配置),验证会失败 —— 子域名需单独上传对应文件。
- 多域名验证时遗漏部分域名
申请包含多个域名的证书(如example.com和blog.example.com)时,需为每个域名单独上传验证文件,遗漏任何一个都会导致整体验证失败。
总结:排查的核心逻辑
文件验证失败的本质是 “Let’s Encrypt 的爬虫访问http://域名/.well-known/acme-challenge/[文件名]时,没有得到预期的结果”。排查时可按以下步骤:
- 先手动访问该 URL,观察是否能正常显示文件内容(若自己访问都失败,直接定位文件或服务器问题);
- 若自己能访问但验证失败,检查 CDN、解析、网络限制(这些因素会导致 “你的访问正常,但 Let’s Encrypt 的访问失败”);
- 对特殊场景(子域名、多域名),确认每个域名都完成了独立验证。
通过浏览器开发者工具查看访问该 URL 的响应状态(如 404、403、500),能更快定位具体原因(404 对应路径错误,403 对应权限问题,500 对应服务器内部错误)。
