当前位置:首页 > 拾舟记 > 知识库 > 正文内容

urn:ietf:params:acme:error:rateLimited: Error creating new order :: too many failed...... 怎么解决?

2年前 (2022-03-23)知识库2457

前言:由于站长的R3泛域名证书快到期了,所以升级了一下

本来呢,是一个小事情,结果R3续签一直失败

urn:acme:params:auto:error:authorizationStatusNotValid: undefin

后面就提示这个

urn:ietf:params:acme:error:rateLimited: Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/

这真是让人头疼的问题,于是乎顺着 https://letsencrypt.org/docs/rate-limits/ 网站找到了原因,原来是“超过了他们设定的申请频率”所以呢,在小段的时间内是无法恢复了

当然 将网页大概翻译一下意思为:

让我们加密提供速率限制,以确保尽可能多的人公平使用。我们相信这些利率限制是足够高的,对大多数人来说,默认情况下是可行的。我们还设计了新的证书,使其几乎永远不会达到利率限制,这样大型组织就可以逐步增加它们可以颁发的证书的数量,而不需要我们加密。


如果您正在积极开发或测试“让我们加密客户端”,请使用分期环境而不是生产API。如果您正在进行集成,让我们作为一个提供者或一个大型网站进行加密,请回顾我们的整合指南.




主要限制是每个注册域的证书(每周50次)。一般来说,注册域名是你从域名注册官那里购买的域名的一部分。例如,在名称中www.example.com,注册域是example.com。在……里面new.blog.example.co.uk,注册域是example.co.uk。我们使用公共后缀列表若要计算已注册域,请执行以下操作。超过每个已注册域限制的证书将使用错误消息报告too many certificates already issued可能还有更多细节。


您最多可以创建300。新订单每个帐户每3小时。每次从BoulderCA请求证书时都会创建一个新订单,这意味着每个证书请求中都会产生一个新订单。使用错误消息报告超过新订单限制的too many new orders recently.


您可以将多个主机名组合成一个证书,最多不超过100个。每个证书的名称。出于性能和可靠性的原因,最好尽可能少使用每个证书的名称。具有多个名称的证书通常称为SAN证书,有时称为UCC证书。


续约是特别对待的:他们不算你的每个注册域的证书限制,但它们受复本证书每周5元。超过证书副本限制的报告将带有错误消息。too many certificates already issued for exact set of domains.

如果证书包含完全相同的主机名集,忽略大写和主机名的排序,则证书被视为先前证书的更新(或副本)。例如,如果您请求为名称颁发证书[www.example.com, example.com,您可以再申请四个证书。www.example.com, example.com在一周内。如果您通过添加[blog.example.com],您将能够请求其他证书。


更新处理忽略所请求的公钥和扩展。即使您使用的是新密钥,也可以将证书颁发视为续签。


撤销证书不会重置利率限制。,因为用于颁发这些证书的资源已经被消耗。


有一个验证失败每个帐户,每个主机名,每小时5次故障的限制。这个限制对我们来说更高。分期环境,以便您可以使用该环境来调试连接问题。超过失败的验证限制将使用错误消息报告。too many failed authorizations recently.


Api上的“新建”、“新帐户”、“新订单”和“撤消证书”端点有一个总体要求限制为每秒20。“/目录”端点和“/acme”目录&子目录的总请求限制为每秒40个请求。


我们还有两个你不太可能遇到的限制。


您最多可以创建10个每个IP地址帐户每3小时。您最多可以创建500个每个IP范围的帐户在IPv 6/48内每3小时。达到任何一个帐户利率限制是非常罕见的,我们建议大型集成商更喜欢设计。为许多客户使用一个帐户。超过这些限制将使用错误消息报告。too many registrations for this IP或too many registrations for this IP range.


你最多可以有300个待批准为你着想。达到这一利率限制是罕见的,而且最常见的情况是开发ACME客户端。这通常意味着您的客户正在创建授权,而不是履行授权。请利用我们的分期环境如果你在开发ACME客户端。超过挂起的授权限制将使用错误消息报告。too many currently pending authorizations.


覆盖

如果你已经达到了利率上限,我们就没有办法暂时重置它。你得等到利率限制在一周后到期。我们使用滑动窗口,所以如果您在星期一发出25份证书,在星期五再颁发25份证书,您将能够从星期一起再次颁发证书。您可以通过以下方式获得为注册域颁发的证书列表:在crt.sh上搜索,它使用公众证书透明度原木。


如果您是一个大型主机提供商或组织,正在进行加密集成,那么我们有一个速率限制形式可以用来要求更高的利率限制。处理请求需要几个星期的时间,所以如果您只需要重新设置一个速率限制而不是它自己重置的话,这个表单是不合适的。

清除尚待批准的授权

如果您有大量挂起的授权对象,并且正在获得限制错误的挂起授权率,则可以通过向其中一个挑战提交一个JWS签名的POST来触发对这些授权对象的验证尝试,如Acme规范。挂起的授权对象由窗体的URL表示。https://acme-v02.api.letsencrypt.org/acme/authz/XYZ,并且应该出现在客户日志中。请注意,验证是否成功并不重要。要么将授权从“待定”状态中删除。如果您没有包含相关授权URL的日志,则需要等待利率限制过期。如上所述,有一个滑动窗口,因此这可能需要不到一周的时间取决于您的发行模式。


请注意,拥有大量挂起的授权通常是错误客户端的结果。如果你经常达到这个利率限制,你应该反复检查你的客户代码。


分享到:

扫描二维码推送至手机访问。

免责声明:本文由拾舟网(www.huww.cn)创建,如需转载请注明出处。

本站下载的内容及文字整理自网络,所提供内容仅供学习使用,请勿做非法用途,不得以任何方式利用本网站提供内容直接或间接从事违反中国法律法规,以及社会公德的行为。

若本站内容涉嫌侵犯他人知识产权或其他合法权益的内容,请及时联系立即删除;本站尊重并保护所有用户的个人隐私权。


本文链接:https://huww.cn/?id=12

分享给朋友:

“urn:ietf:params:acme:error:rateLimited: Error creating new order :: too many failed...... 怎么解决?” 的相关文章

zblog登录地址是多少?

zblog登录地址是多少?

PHP版本的:/zb_system/login.php ASP版本的:/zb_system/login.asp 很多人在后面加/admin后发现还是访问不了,其实不然Z-BlogPHP的后台和普通的博客管理后台不一样,只需要/zb_system/login.php加在你的域名后面...