_acme-challenge txt record von lets encrypt Plesk richtig eintragen

    Hallo zusammen,


    ich habe eine Frage zum richtigen Eintragen der TXT _acme-challenge Werte die mir Plesk angibt, wenn ich eine Domain registriere.

    Wir testen gerade mit Plesk hinter einem Router mit public IP ein wenig.


    Da der Server mit Plesk in einem Vodafone Heimnetz mit Carrier-grade NAT steht, machen wir einen SSH Tunnel mit Port 80 und 443.

    Wir setzen das hier um: https://media.ccc.de/v/gpn19-7…e-ffentliche-ipv4-adresse


    Wenn wir nun die Domain in Plesk eingeben, will er ein _acme-challenge txt record bestätigt haben.


    Ist es richtig dass ich das wie auf dem Bild eintragen muss?

    _acme-challenge.png


    Der Schlüssel ist natürlich fiktiv, da gibt mir Plesk ja den Schlüssel vor.

    Wird _acme-challenge so eingetragen oder muss ein abschliessender Punkt dahinter?


    Leider habe ich das über eine Internetsuche nicht gefunden.


    Könnt ihr mir da helfen und mir mitteilen ob der Eintrag so stimmt.


    Danke und Grüße

    Epi

    Wenn die Challenge für die Domain selbst (also keine Subdomain) ist, sieht das richtig aus.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Hallo killerbees19,


    vielen dank für deine Unterstützung.

    Ist es dann richtig, dass es bei einer Subdomain im ersten Feld so aussieht:

    _acme-challenge.subdomain


    Auch ohne abschliessenden Punkt.


    Danke dir und Grüße

    Epi

    Da das Bild nur angemeldeten Benutzern im Forum angezeigt wird hier nochmal als Text. Ich war selbst auf der Suche nach der richtigen Vorgehensweise um den Lets Encrypt _acme-challenge richtig zum DNS Eintrag hinzuzufügen. Man bekommt die Meldung: Bitte fügen Sie einen DNS-Eintrag mit den folgenden Parametern hinzu:
    Eintragstyp: TXT
    Domainname: _acme-challenge.example.de
    Eintrag: tQg.............................k0O


    Ich habe den Eintrag nur "_acme-challenge" ohne Punkt hinzugefügt. So wie es auch auf dem Bild hier oben im Beitrag zusehen ist.


    Ob der Eintrag verfügbar ist kann über eine Konsole geprüft werden:

    nslookup -q=TXT _acme-challenge.example.com

    Dies kann jedoch, je nach verwendetem DNS Server, sehr lange dauern. Besser ist daher ein Online Check z.B. https://acme-check.com/

    Moin und vielen Dank an Johann. Deine Erklärung hat mich vor dem Wahnsinn gerettet. :D


    Der Eintrag wird nun auch endlich gefunden, aber bei jeder Anfrage über Plesk wird ja ein neuer String generiert. Bis der gefunden wird, dauert es dann auch wieder eine Weile und in der Zeit wird man ziemlich sicher aus Plesk abgemeldet, wenn man nicht alle paar Minuten etwas macht.

    Wie macht ihr das also, dass der richtige String auch gefunden werden kann? Gibt es eine Möglichkeit vorherige Anfragen erneut zu triggern? Oder nutzt ihr einen anderen DNS-Server als die Netcup-Server?

    Quote from 1337gut

    Wie macht ihr das also, dass der richtige String auch gefunden werden kann? Gibt es eine Möglichkeit vorherige Anfragen erneut zu triggern? Oder nutzt ihr einen anderen DNS-Server als die Netcup-Server?

    Hab gerade gelernt die zuständige Behörde zu fragen - danke NaN :)

    Code
    dig _acme-challenge.example.com TXT @ns1.example-dns.net

    Es ist strategisch ungeschickt, bei ungeduldigem Warten auf DNS-Änderungen einen anderen als für die Domain autoritative Nameserver abzufragen. Mit der Anfrage holst du die negative oder alte Antwort in den Cache des Servers. Das verzögert die Sache zusätzlich. Die _acme-challenge TXT Records werden normalerweise nicht ständig abgefragt. Die Chance ist also gut, dass die Updates auch über andere Resolver verfügbar sind, sobald sie von den autoritativen Servern bereitgestellt werden, wenn man erst dann danach fragt.


    Jede Form von manuellen DNS-Updates für Letsencrypt ist unbedingt als Versuchsmöglichkeit zu betrachten. Man muss das alle drei Monate* wiederholen: Es wird sicher abgelaufene Zertifikate geben, wenn man das nicht automatisiert. Es gibt ACME-Clients, die die Netcup-API unterstützen. Man kann auch mit CNAMEs arbeiten oder die _acme-challenge Subdomain an einen anderen DNS-Hoster delegieren, wenn man einen Client verwenden will, der nicht mit der Netcup-API umgehen kann.


    *) in ein paar Jahren alle sechs Wochen