Где увидеть ограничение на количество субдоменов KeenDNS ?

[Algerd Litvin]

Подскажите пожалуйста:
Где увидеть ограничение на количество субдоменов KeenDNS ?

Оборудование:
Giga (KN-1012) EAEU / версия ОС  4.2.6.2

Описание проблемы:
Зарегистрировал доменное имя вида "oops.keenetic.pro".
Создал субдомены в разделе "Доступ к веб-приложениям домашней сети" для доступа к сервисам (вида v1.oops.keenetic.pro/v2.oops.keenetic.pro etc).
15 субдоменов работают - всё хорошо. Сертификат, который выдаёт Keenetic на устройство (на которое ведут субдомены), предназначен для v1.oops.keenetic.pro + каждый субдомен прописан в нём отдельно - именно отдельно, а не так как обычно (*.oops.keenetic.pro).
Создал 16-й субдомен.
При попытке обновления сертификата получаю уведомление:
"Количество запросов сертификата для этого доменного имени достигло максимально допустимого".
В результате - попасть на 16-й субдомен невозможно - ошибка "502 Bad Gateway".

Вопрос:
Где и какие ограничения действуют? Как их вообще увидеть?
Ведь в прошивке, при создании 16 субдомена, никаких сообщений об ошибках нет.

Изменено 20 марта пользователем Algerd Litvin

[Le ecureuil]

Вы получали сертификаты через ip http ssl acme get? А зачем, почему вам обычный wildcard по-умолчанию не подошел?

[Algerd Litvin]

 

В 20.03.2025 в 11:23, Le ecureuil сказал:

Вы получали сертификаты через ip http ssl acme get? А зачем, почему вам обычный wildcard по-умолчанию не подошел?

1). Через acme get я без проблем получил сертификат на домен (другой), включая ВСЕ субдомены (* = нынешние и будущие).

2). Меню прошивки Keenetic не позволяет сохранить сертификат, выданный на домен KeenDNS, прямо с роутера (я такой возможности в меню не вижу).
Поэтому я получил сертификат на домен KeenDNS (xxx.vvv.keenetic.pro) стандартными средствами DSM Synology (NAS) - того устройства, на которое я захожу по субдоменам KeenDNS.

// Эта процедура ("обновить сертификат" загружает на NAS сертификат, в котором прописаны все субдомены, имеющиеся в роутере на момент получения (хотя никакой информации об этих субдоменах на самом NAS отродясь не было). Для получения сертификата делается проброс 80 и 443 с роутера на NAS. Т.е., я так понимаю, при этой процедуре NAS получает сертификат ВМЕСТО роутера. Я её сделал за пару дней всего раза 4.

3). "обычный wildcard" мне не подходит.
16-й субдомен ведёт на NextCloud. А NextCloud не позволяет заходить через субдомен KeenDNS, которого нет в сертификате.

// В странном сертификате (в котором вместо *, прописан каждый субдомен по отдельности).
// Проблема именно в том, что я не могу загрузить на устройство (NAS) сертификат Let's Encrypt R11, включающий субдомен xxx.vvv.keenetic.pro, с роутера (а вот тот же самый NAS без проблем позволяет выгружать сертификат). Без Let's Encrypt R11 (с "обычным wildcard"), даже при внесении xxx.vvv.keenetic.pro в список доверенных (для NextCloud) авторизация (при входе с xxx.vvv.keenetic.pro) не проходит.

4). А если о сути вопроса:
Так где и какие ограничения действуют? Как их вообще увидеть?
Спасибо, что реагируете.

[Le ecureuil]

Если честно, то вы конечно что-то ужасное накрутили.

Подобная схема не была проверена, потому и возникнуть может все что угодно.

Правильное решение, которое мы считаем типовым и рабочим - получить wildcard на самом Keenetic, и дальше уже во все апстримы отдавать по plaintext (или по SSL, неважно). В таком случае понадобится всего один сертификат, а не 16.

 

Подскажите, а откуда снят ваш скриншот? Если с NAS, то значит с ним и надо разбираться.

Помните, что у LE есть свои ограничения - https://letsencrypt.org/docs/rate-limits/