NXDOMAIN looking up TXT for _acme-challenge (Subdomain lokale IP)

  • Hallo zusammen,


    für einen offline Server in meinem Heimnetzwerk benötige ich ein SSL Zertifikat. Hierfür nutze ich eine Subdomain und DNS challenge von Let's Encrypt.
    Leider erhalte ich einen Fehler: NXDOMAIN looking up TXT for _acme-challenge.test.example.de

    In der DNS Zone meiner Domain example.de habe ich entsprechend folgende Einträge hinzugefügt:

    Host Type IP Kommentar
    @ A XXX.XX.XXX.XX Öffentliche netcup IP des Servers (example.de)
    test A 192.168.XXX.XXX Lokale IP des Server zur Validierung, da kein port forwarding und somit offline
    _acme-challenge.test TXT XXXXXXXXXXXX Entsprechende individuelle DNS challenge


    Zum Ausschluss eines Fehler habe ich certbot für die example.de ausgeführt (_acme-challenge statt _acme-challenge.test). Hier funktionierte die Zertifizierung ohne Probleme, für test.example.de jedoch nicht. Was mache ich im DNS record falsch?


    Danke für eure Hilfe

  • Bei gültig steht "yes". Die subdomain ist schon längers eingerichtet. Andere DNS Server haben die Einträge laut whatsmydns.net auch bereits repliziert. Zwischen des Eintrags der challenge als TXT und dem Verifizierungsvorgang habe ich 300 Sekunden gewartet. Sind hier 5min zu wenig Zeit?


    Dig schaut so wie ich das erkenne auch gut aus:

    Auszug:


    ;; Got answer:

    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41382

    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1


    ;; OPT PSEUDOSECTION:

    ; EDNS: version: 0, flags:; udp: 512

    ;; QUESTION SECTION:

    ;test.example.de. IN A


    ;; ANSWER SECTION:

    test.example.de. 21600 IN A 192.168.XXX.XXX

  • Zwischen des Eintrags der challenge als TXT und dem Verifizierungsvorgang habe ich 300 Sekunden gewartet. Sind hier 5min zu wenig Zeit?

    Definitiv, da der Reload der DNS-Zonen immer nur alle 10 Minuten stattfindet. In Ausnahmefällen dauert es manchmal auch 20 Minuten.


    Falls Deine Software keine automatische Erkennung für solche Fälle hat, würde ich sicherheitshalber lieber eine Wartezeit von 1200 Sekunden konfigurieren.


    Nebenbei bemerkt: Machst Du das derzeit eigentlich händisch? Es gibt nämlich eine API für die DNS-Records bei netcup und zahlreiche fertige Implementierungen. Das kann man super automatisieren, so wie es bei ACME eigentlich gedacht ist. :)

  • Sind hier 5min zu wenig Zeit?

    Potentiell ja. Insbesondere, falls für die Domäne DNSSEC-Signaturen aktiviert sind (Häkchen im CCP).

    Wenn es sich um einen neuen Eintrag handelt, würde ich nach ein paar Minuten zunächst einmal eine Abfrage über https://www.whatsmydns.net/ abschicken – sofern nicht mindestens ein paar wenige Server eine Antwort liefern, wird der LetsEncrypt-Dienst da auch nichts sehen.

  • Danke! Das war genau der Grund. Hat nun mit acme waittime von 630 Sekunden funktioniert.

    Nebenbei bemerkt: Machst Du das derzeit eigentlich händisch? Es gibt nämlich eine API für die DNS-Records bei netcup und zahlreiche fertige Implementierungen. Das kann man super automatisieren, so wie es bei ACME eigentlich gedacht ist. :)

    Nein, nein :) Ich verwendete die API von netcup. Nur aufgrund des Misserfolgs bin ich auf die manuelle Eintragung umgestiegen.