VServer - Adguard - wildcard-lets encrypt- Zertifikat

  • Hallo *,


    ich hab ein Problem und brauche Tipss/Hilfe: Ich hab einen vServer, auf dem möchte ich (innerhalb Proxmox VE) Adguard Home installieren, damit die Familie diesen auch ausserhalb des privaten Heimnetzes in den Genuss von Safesearch, Filterung von Malware+P0rn0rnopgaphie, etc kommt. Gerne würde ich die Clients (Fritzboxen, Handys, etc) einzeln (oder in Gruppen) konfigurieren. Das funktioniert über eine sog. ClientID (https://github.com/AdguardTeam…ome/wiki/Clients#clientid) in meinem Fall über DNS-over-TLS (nur das können die Fritzboxen und Handys nativ) über subdomains. also handy1.adguard.meinedomain.de, handy2.adguard.meinedomain.de. [klappt auch über den (kostenfreien aber eingeschränkten) SSAS von Adguard ganz gut].


    Die würde ich gerne mit einem willdcard-SSL-Zertifikat von letsencrypt umsetzen. Leider kenne ich das bis jetzt nur über die WCP und den manuellen DNS-Eintrag. Was ja mehr als mühsam ist, da die Zertifikatsgültigkeit nur 3 monate (?) ist. Meine Idee war nun, für eine (sub-)Domain das DNS-Management auf einen "privaten" DNS-Server + nginx-Proxy (in das proxmox VE) zu verlagern. Ist das praktikabel? Mit welcher software geht das (am einfachsten)? Gibt es sonst andere Möglichkeiten - hat jemand einschlägige Erfahrungen?


    Wäre über ein paar Tipps in die richtige Richtung sehr dankbar! Viele Grüße Flo

  • NPM ja, desec nein.


    wie man ein Wildcard Zertifikat umsetzt kann ich dir leider nicht sagen, aber wenn du für jede subdomain ein Zertifikat haben möchtest, geht das relativ einfach mit dem NPM...

    Allerdings kann ich bei deinem Setup nicht behilflich sein, hab da keine Ahnung wie das mit deinen IP Adressen läuft :D

    Proxmox in der Heimumgebung ok, aber auf einem vServer :/


    vom Prinzip stellst du den Wildcard DNS Eintrag (*.example.com) auf die IP des Proxy Servers (in meinem Fall die öffentliche IP meines DSL Anschlusses, router macht portweiterleitung auf npm)

    In NPM nur noch Proxy Host anlegen, weiterleitungsziel ausfüllen, optionen setzen, dann in den SSL Tab wechseln und im Pull down menü "Request new SSL Certificate" wählen. Optionen setzen (keine DNS Challenge) Email eintragen und Lets Encrypt bedinungen akzetpieren und auf Save drücken. nach ca 20-60sekunden. hast du nen zertifikat für die eben angelegte subdomain

  • Für das wildcard Zertifikat musst du ACME über dns-01 challanges betreiben. Das geht auch über diese beiden Wege:

    • Du nutzt die netcup DNS API um den nötigen Key automatisiert in den richtigen Record zu bekommen. Dazu gibt es hier im Forum sicher ein paar Beispiele für diverse ACME-Clients. https://helpcenter.netcup.com/…-api#lets-encrypt-clients
    • Du nutzt die DNS Server von desec.io statt derer von netcup. Die bieten auch eine API, die von mehrere ACME-clients umgesetzt ist.

    Ich denke beide Wege sind deutlich leichter umzusetzten als selber die DNS Server zu betreiben.

  • Vielen Dank für die Antworten. Dank eurer Tipps bin ich darauf gestossen, dass nginx-proxy-manager bereits ein netcup Plugin bereitstellt. Dass ist natürlich die einfachste Lösung. Werde berichten, ob es klappt.


    viele Grüße und vielen Dank!

  • Folgende Lösung ist es bei mir geworden (zu Dokuzwecken):

    • Adguard Home auf Debian als LXC auf Proxmox VE
    • der Port wird direkt weitergeleitet über Proxmox-Networking
    • auf dem Adguard LXC-Container habe ich python/pip-Certbot mit dem netcup-plugin installiert

    Das hat gar nicht geklappt (oder ich habs nicht geschafft 8o )

    • Nginx-Proxy-Manager für Weiterleitung zu konfigurieren (da geht nur http oder https - bräuchte jedoch imho ssl)

    Folgende Links haben mir dabei geholfen: