Ты получил ошибку от acme.sh при выпуске сертификата:
Error creating new order. Le_OrderFinalize not found.
{"type":"urn:ietf:params:acme:error:rejectedIdentifier","status":400,"detail":"DNS identifier is disallowed [zhivyetravy.ru]"}
📌 Что это значит
- ACME‑сервер (в данном случае ZeroSSL) отклонил домен
zhivyetravy.ru. - Сообщение “DNS identifier is disallowed” означает, что этот домен не может быть сертифицирован через выбранный CA.
Причины могут быть:- Домен в санкционном или запрещённом списке у конкретного CA.
- Ошибки в зоне DNS (но обычно тогда другая ошибка).
- CA (ZeroSSL) имеет ограничения на определённые TLD или конкретные домены.
🔧 Что можно сделать
- Попробовать другой CA
acme.sh поддерживает несколько центров сертификации:- Let’s Encrypt:
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt - Buypass, Google Trust Services и др. (см.
acme.sh --list-ca).
- Let’s Encrypt:
- Выпустить сертификат заново
После смены CA:~/.acme.sh/acme.sh --issue --force --standalone -d zhivyetravy.ru \ --fullchain-file "/var/lib/marzban/certs/zhivyetravy.ru.cer" \ --key-file "/var/lib/marzban/certs/zhivyetravy.ru.cer.key" - Проверить DNS‑записи
- Убедись, что домен резолвится на публичный IP сервера.
- Нет ли ошибок в NS или A‑записях.
- Включить отладку
Чтобы увидеть детали:~/.acme.sh/acme.sh --issue --force --standalone -d zhivyetravy.ru --debug 2
💡 Практический совет
- Если ZeroSSL блокирует домен, проще переключиться на Let’s Encrypt — он более универсален и редко накладывает такие ограничения.
- В Marzban сертификаты от Let’s Encrypt работают без проблем, достаточно указать путь к
.cerи.key.
Учитывая твой опыт с TLS и SMTP, тебе будет привычнее сразу сменить CA на Let’s Encrypt и проверить резолвинг.