Autom. Renewal Letsencrypt *-Zertifikat mit Dt. Telekom (DNS API?)

B

besterino

Legende
Thread Starter
Mitglied seit
31.05.2010
Beiträge
8.142
Ort
Wo mein Daddel-PC steht
Bin DNS-Newbie und habe aktuell meine Domains bei der guten alten (naja, "gut" mit Fragezeichen) Deutschen Telekom, und verwalte diese (maximal unkomfortabel) über das Telekom HomePageCenter.

Nun habe ich mir per certbot ein tolles *.meinedomain.com Letsencrypt Zertifikat erstellt und stelle - natürlich wie immer zu spät - fest, dass sich das dank meines dafür erforderlichen --manual Parameters nicht ohne Weiteres automatisiert aktualisieren lässt. Na toll. Da ich keine Lust habe, alle 60 Tage den Mist manuell selber zu machen (und das im Zweifel eh immer wieder vergessen werde), brauch' ich also offenbar ein Skript, dass ich über --manual-auth-hook ansteuere (wie ich das am dümmsten nachträglich mache, ist dann auch irgendwann noch eine Folgefrage).

Immerhin habe ich verstanden, dass ich aber wohl irgendwie automatisiert auch neue TXT DNS-Einträge setzen können muss und stelle mir nun die Frage, wie mach' ich das denn mit meiner tollen Deutschen Telekom? Weiß das zufällig jemand?

Mit "Go-Daddy" also Domain-Verwalter geht es wie hier beschrieben.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Fragt sich, ob Du wirklich ein Wildcard Zertifikat brauchst. Ohne Wildcard ist es relativ simpel, mit Wildcard musst Du halt einen DNS Eintrag machen. Ich selbst nutze nur http Challennge, da musst Du halt Port 80 offen lassen. Braucht aber für jede Subdomain ein eigenes Zertifikat. Also geht es um Websites, sehe ich das richtig? Ich nutze dazu ein Hosting Panel, sprich Plesk. Geht aber auch mit ISPConfig oder Keyhelp. Bin aus reiner Faulheit noch bei Plesk. Für weitere Anwendungen dann den reverse Proxy von Plesk, da brauch ich mich auch nicht um Zertifikate kümmern.

letsencrypt.org

Challenge Typen

Wenn Sie ein Zertifikat von Let’s Encrypt erhalten, überprüfen unsere Server, ob Sie die Domänennamen in diesem Zertifikat mithilfe von “Challenges” steuern, die im ACME-Standard definiert sind. Meistens wird diese Validierung automatisch von Ihrem ACME-Client durchgeführt. Wenn Sie jedoch...
letsencrypt.org
 
Zuletzt bearbeitet:
Für was genau?
Interne Dienste nach aussen stellen?

Würd ich über ein Reverse Proxy lösen. Der übernimmt das komplette Cert Management.
Zbsp. Caddy, traefik, NPM oder zoraxy.
 
Wenn ich das richtig verstanden habe, kann man auch ein Zertifikat für mehrere domains (inkl. subdomains) gleichzeitig erstellen lassen. Das müsste sich doch dann auch automatisiert erneuern lassen...

EDIT & Nachtrag: @Haldi: ich glaub nicht, dass ich so viele Dienste haben werde. Aktuell jedenfalls nur nextcoud.
 
Das ist wohl möglich. Kann da aber nur für Wildcard sprechen, und da musst Du für die Hauptdomain ein eigenes Cert haben. Das Wildcard dann für alle Subdomains, auch für welche, die es zum Zeitpunkt der Erstellung noch gar nicht gab.

Ja, das ist absolut möglich. Let's Encrypt bietet zwei verschiedene Wege an, um mehrere (Sub-)Domains mit einem einzigen Zertifikat abzusichern.
Abhängig davon, ob es sich um völlig unterschiedliche Domains (z. B. meinshop.de und meinblog.com) oder um viele Subdomains einer Hauptdomain (z. B. test.beispiel.de, dev.beispiel.de) handelt, gibt es zwei Lösungen:

1. SAN-Zertifikate (Multi-Domain)​

Das Kürzel SAN steht für Subject Alternative Name. Hiermit kannst du eine Liste von bis zu 100 verschiedenen Domainnamen in ein einziges Zertifikat schreiben.
  • Eignung: Wenn du unterschiedliche Domains (z. B. .de, .com, .net) oder spezifische Subdomains zusammenfassen willst.
  • Beispiel: Ein Zertifikat gilt gleichzeitig für:
  • Vorteil: Sehr einfach über Standard-Methoden (HTTP-Validierung) zu erstellen.
  • Nachteil: Wenn du eine neue Domain hinzufügen möchtest, muss das Zertifikat komplett neu ausgestellt werden.

2. Wildcard-Zertifikate​

Ein Wildcard-Zertifikat nutzt ein Sternchen (*) als Platzhalter und deckt damit alle Subdomains einer bestimmten Ebene ab.
  • Eignung: Wenn du sehr viele Subdomains hast (z. B. für Kunden-Dashboards oder Testumgebungen).
  • Beispiel: Ein Zertifikat für *.beispiel.de gilt für:
    • blog.beispiel.de
    • shop.beispiel.de
    • beliebig.beispiel.de
  • Wichtig: Es gilt nicht für die Hauptdomain selbst (beispiel.de) – diese muss meist separat im selben Zertifikat mit angegeben werden.
  • Voraussetzung: Für Wildcard-Zertifikate verlangt Let's Encrypt zwingend die DNS-01 Validierung. Das bedeutet, du (oder dein Tool) muss einen speziellen TXT-Eintrag in deinen DNS-Einstellungen hinterlegen können.

Vergleich der beiden Typen​

FeatureSAN (Multi-Domain)Wildcard
Max. DomainsBis zu 100 EinträgeUnbegrenzt viele Subdomains
Domain-MixVerschiedene Domains möglichNur Subdomains einer Domain
ValidierungHTTP (Datei) oder DNSNur DNS
FlexibilitätStarr (Namen fest definiert)Hoch (neue Subdomains sofort aktiv)

Wie man es umsetzt​

Wenn du das Tool Certbot nutzt, kannst du mehrere Domains einfach mit dem Parameter -d aneinanderreihen:
Bash

# Beispiel für ein SAN-Zertifikat
sudo certbot --nginx -d domain1.de -d www.domain1.de -d domain2.com

# Beispiel für ein Wildcard-Zertifikat (erfordert DNS-Plugin)
sudo certbot certonly --manual --preferred-challenges dns -d "beispiel.de" -d "*.beispiel.de"

Ein kleiner Tipp: Viele moderne Webhosting-Panels (wie Plesk, cPanel oder Netcup/Hetzner Konfigurationen) haben dafür mittlerweile einfache Checkboxen ("Alle Domains einschließen" oder "Wildcard aktivieren"), sodass du gar nicht mehr auf der Konsole arbeiten musst.
Soll ich dir zeigen, wie du das für einen speziellen Webserver (wie Apache oder Nginx) oder bei einem bestimmten Hoster einrichtest?
 
Jau, aber man kann ja mit certbot expand zur Not noch nachträglich neue subdomains hinzufügen und so viele werden es bei mir wohl nicht werden. Hab jetzt das alte wildcard-Cert entfernt und mit dem neuen "kleinen" Cert scheint alles (insb. cerbot renew --dry-run) zu laufen. Weckt mich in 92 Tagen mal, ob's wirklich funktioniert hat... :d
 
Habe auch für alles und jedes eigene Certs über http challenge. Für jede Domain ein Wildcard zu machen auf dem DNS, das war mir zu umständlich.
 
Wie waers den Stier direkt an den Hoernern zu packen und das Ding rund zu machen?
Ne ordentliche Firewall á la OPNSense oder Konsorten koennen das ganze Thema automatisiert vespern. Das ganze mit Reverse-proxy und co, dann haste deine Ruhe und ueberall schoenes SSL.
Kostet Anfangs ein wenig Zeit und Aufwand, danach haste jedoch einfach deine Ruhe. Neue Domains/Server etc.. lassen sich dann auch in sehr kurzer Zeit sauber und automatisiert einbinden.
 
Hey, ich will meinen Fuhrpark doch grundsätzlich verkleinern…! :d

Wobei ich meinem dicken ESXi doch schon irgendwie hinterhertrauere… ;)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh