Lets Encrypt Wildcard ohne DNS API

  • Es gibt tatsächlich noch Anbieter, die keine API für ihre DNS Settings parat haben, ...


    Ich nutze einen meiner VPS hier um für alle meine Domains die Zertifikate zu requesten, bzw. erneuern. Das funktioniert mit Netcup, Aliyun, Goolge und anderen Domain Anbietern ohne Probleme via acme.sh Client und eben der jeweiligen API.


    Ich habe genau noch eine Domain bei einem anderen Anbieter, der über keine API verfügt, ... aber ich kann die Domain aus mehreren anderen Gründen nicht transferieren.


    Wie zur Hölle erstelle ich nun Wildcard Zertifikate für die domain? Manuell alle 3 Monate selbst die TXT Records setzen würde ich nur äußerst ungerne. Eine andere Option wäre der Altbekannte Weg direkt über den Webserver via /well-known, ... aber ich würde ungerne certbot nur für diese eine Domain auf dem Webserver laufen lassen, wenn ich sonst alle Zertifikate für die restlichen Server zentral verwalte, ...


    Vielleicht hat ja wer von euch ne Idee? Eigener DNS Server scheidet auch aus, da die Domain den Nameserver des Anbieters nutzen muss, ...

  • Wie zur Hölle erstelle ich nun Wildcard Zertifikate für die domain?

    ...ich würde ungerne certbot nur für diese eine Domain auf dem Webserver laufen lassen...

    Vielleicht hat ja wer von euch ne Idee?

    Bitte sehr: RapidSSL Certificate Wildcard 12mon ;)

    Rein aus Interesse, warum muss für die Domain der Nameserver des Anbieter genutzt werden? Hängt es an einer Richtlinine der TLD, ist der Anbieter "Unfähig" oder besitzt du nur eine Subzone und man könnte mit NS-Records auf eigene Nameserver verweisen?

  • Für Wildcard-Zertifikate ist bei Let's Encrypt derzeit ausschließlich eine DNS-Challenge zulässig.

    Die HTTP-Challenge kann nur für reguläre Non-Wildcard (Multi-)Domain Zertifikate verwendet werden.


    1. Warum muss es unbedingt ein Wildcard-Zertifikat sein?

    2. Warum kannst Du den Nameserver nicht wechseln, dazu ist ja in der Regel kein Registrar-Wechseln nötig.

  • Bitte sehr: RapidSSL Certificate Wildcard 12mon ;)

    Rein aus Interesse, warum muss für die Domain der Nameserver des Anbieter genutzt werden? Hängt es an einer Richtlinine der TLD, ist der Anbieter "Unfähig" oder besitzt du nur eine Subzone und man könnte mit NS-Records auf eigene Nameserver verweisen?

    Danke, aber 150€ wollte ich jetzt nicht zahlen 😂

  • hast Du wo selbst einen DNS server wo laufen?

    dann schau mal ob Du

    _acme-challenge.domain.tld

    dorthin delegieren kannst,

    dann ist die DNS-Challenge Geschichte auch einfach;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Vielen Dank für den ganzen Input! Eigenen DNS hab ich nur hinter nem VPN laufen, da fehlte die Motivation das Ganze öffentlich erreichbar zu machen und abzusichern.


    Würde für die Domain auch eher einen nicht-self-hosted DNS Server bevorzugen, da kleinste Fehler und Irritationen nicht nur mich selbst betreffen.

    Muss mal gucken was ich da mache, zur Not nen pythonscript zum hinzufügen/löschen der TXT records übers webUI :D


    Werde mal die Tage ein bisschen rumexperimentieren :)

  • hast Du wo selbst einen DNS server wo laufen?

    dann schau mal ob Du

    _acme-challenge.domain.tld

    dorthin delegieren kannst,

    dann ist die DNS-Challenge Geschichte auch einfach;

    Neben delegieren via NS Records gehen auch CNAME-Records :)

    Bzw. habt ihr hier noch mal ein paar Infos? Irgednwie ist mir das noch nicht ganz klar :)

  • bei BIND hab ich mir das gebastelt


    Code
    1. function acmeRemove( ) { cat <<EOF |nsupdate -k /etc/acme.key server dnshost zone $1 update delete $1. TXT send EOF } function acmeAdd( ) { cat <<EOF |nsupdate -k /etc/acme.key server dnshost zone $1 update add $1. 60 TXT "$2" send EOF }

    aufgerufen werden diese von acme.sh

    acmeRemove zone

    acmeAdd zone key


    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • chrho Ich glaube ich habs verstanden, ich müsste quasi für nen standard wildcard Zertifikat folgende CNAME Records anlegen:


    _acme-challenge.domain.tld CNAME domain-challenge.domain-bei-netcup.de


    und dann via API bei netcup eben den TXT record für domain-challenge.domain-bei-netcup.de setzen. richtig?

  • geekmonkey genau, wobei das macht es etwas komplizierter als die Variante mit der DNS-Delegation;

    sprich acme.sh liefert als ZONE _acme-challenge.domain.tld gesetzt werden aber muss

    domain-challenge.domain-bei-netcup.de

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%