Lets Encrypt Wildcard ohne DNS API

  • Es gibt tatsächlich noch Anbieter, die keine API für ihre DNS Settings parat haben, ...


    Ich nutze einen meiner VPS hier um für alle meine Domains die Zertifikate zu requesten, bzw. erneuern. Das funktioniert mit Netcup, Aliyun, Goolge und anderen Domain Anbietern ohne Probleme via acme.sh Client und eben der jeweiligen API.


    Ich habe genau noch eine Domain bei einem anderen Anbieter, der über keine API verfügt, ... aber ich kann die Domain aus mehreren anderen Gründen nicht transferieren.


    Wie zur Hölle erstelle ich nun Wildcard Zertifikate für die domain? Manuell alle 3 Monate selbst die TXT Records setzen würde ich nur äußerst ungerne. Eine andere Option wäre der Altbekannte Weg direkt über den Webserver via /well-known, ... aber ich würde ungerne certbot nur für diese eine Domain auf dem Webserver laufen lassen, wenn ich sonst alle Zertifikate für die restlichen Server zentral verwalte, ...


    Vielleicht hat ja wer von euch ne Idee? Eigener DNS Server scheidet auch aus, da die Domain den Nameserver des Anbieters nutzen muss, ...

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Wie zur Hölle erstelle ich nun Wildcard Zertifikate für die domain?

    ...ich würde ungerne certbot nur für diese eine Domain auf dem Webserver laufen lassen...

    Vielleicht hat ja wer von euch ne Idee?

    Bitte sehr: RapidSSL Certificate Wildcard 12mon ;)

    Rein aus Interesse, warum muss für die Domain der Nameserver des Anbieter genutzt werden? Hängt es an einer Richtlinine der TLD, ist der Anbieter "Unfähig" oder besitzt du nur eine Subzone und man könnte mit NS-Records auf eigene Nameserver verweisen?

  • Für Wildcard-Zertifikate ist bei Let's Encrypt derzeit ausschließlich eine DNS-Challenge zulässig.

    Die HTTP-Challenge kann nur für reguläre Non-Wildcard (Multi-)Domain Zertifikate verwendet werden.


    1. Warum muss es unbedingt ein Wildcard-Zertifikat sein?

    2. Warum kannst Du den Nameserver nicht wechseln, dazu ist ja in der Regel kein Registrar-Wechseln nötig.

  • Bitte sehr: RapidSSL Certificate Wildcard 12mon ;)

    Rein aus Interesse, warum muss für die Domain der Nameserver des Anbieter genutzt werden? Hängt es an einer Richtlinine der TLD, ist der Anbieter "Unfähig" oder besitzt du nur eine Subzone und man könnte mit NS-Records auf eigene Nameserver verweisen?

    Danke, aber 150€ wollte ich jetzt nicht zahlen ?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • hast Du wo selbst einen DNS server wo laufen?

    dann schau mal ob Du

    _acme-challenge.domain.tld

    dorthin delegieren kannst,

    dann ist die DNS-Challenge Geschichte auch einfach;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Vielen Dank für den ganzen Input! Eigenen DNS hab ich nur hinter nem VPN laufen, da fehlte die Motivation das Ganze öffentlich erreichbar zu machen und abzusichern.


    Würde für die Domain auch eher einen nicht-self-hosted DNS Server bevorzugen, da kleinste Fehler und Irritationen nicht nur mich selbst betreffen.

    Muss mal gucken was ich da mache, zur Not nen pythonscript zum hinzufügen/löschen der TXT records übers webUI :D


    Werde mal die Tage ein bisschen rumexperimentieren :)

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • hast Du wo selbst einen DNS server wo laufen?

    dann schau mal ob Du

    _acme-challenge.domain.tld

    dorthin delegieren kannst,

    dann ist die DNS-Challenge Geschichte auch einfach;

    Neben delegieren via NS Records gehen auch CNAME-Records :)

    Bzw. habt ihr hier noch mal ein paar Infos? Irgednwie ist mir das noch nicht ganz klar :)

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • bei BIND hab ich mir das gebastelt


    Code
    function acmeRemove( )                                                                                                        {                                                                                                                             cat <<EOF |nsupdate -k /etc/acme.key                                                                                          server dnshost                                                                                                      zone $1                                                                                                                       update delete $1. TXT                                                                                                         send                                                                                                                          EOF                                                                                                                           }                                                                                                                                                                                                                                                           function acmeAdd( )                                                                                                           {                                                                                                                             cat <<EOF |nsupdate -k /etc/acme.key                                                                                          server dnshost                                                                                                     zone $1                                                                                                                       update add $1. 60 TXT "$2"                                                                                                    send                                                                                                                          EOF                                                                                                                           }                                                                                                                             

    aufgerufen werden diese von acme.sh

    acmeRemove zone

    acmeAdd zone key


    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • chrho Ich glaube ich habs verstanden, ich müsste quasi für nen standard wildcard Zertifikat folgende CNAME Records anlegen:


    _acme-challenge.domain.tld CNAME domain-challenge.domain-bei-netcup.de


    und dann via API bei netcup eben den TXT record für domain-challenge.domain-bei-netcup.de setzen. richtig?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • geekmonkey genau, wobei das macht es etwas komplizierter als die Variante mit der DNS-Delegation;

    sprich acme.sh liefert als ZONE _acme-challenge.domain.tld gesetzt werden aber muss

    domain-challenge.domain-bei-netcup.de

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)