Welcher ACME-Client

  • Welchen ACME-Client empfiehlt ihr zur Generierung von Let’s Encrypt Zertifikaten?

    Ich finde acme.sh ganz interessant, da es keine Abhängigkeiten gibt. Jedoch muss das Skript immer manuell oder beispielsweise durch ein Cron Job geupdatet werden.


    Bei Certbot geht dies ja automatisch über die Paketquellen. Nur hier ist dies natürlich Abhängig von der verwendeten Distribution.


    Wie sind eure Erfahrungen mit den oben genannten ACME-Clients, auch im Bezug auf Performance, Funktionsumfang, etc.?

    Habt ihr noch weitere ACME-Clients, welche gut sein könnten?

  • Nutze ebenfalls acme.sh seit Ewigkeiten, läuft tadellos.

    Über neue Release-Versionen lasse ich mich einfach per Mail informieren und dann aktualisiert man das Teil mal eben schnell. Kommt ja eher selten vor.

  • Hatte mal gehört bei acme.sh muss zwingend ein Webserver installiert sein. Bei Certbot geht dies auch ohne bzw. der Webserver Daemon muss für die Erstellung kurz unterbrochen werden, damit der Port 80 frei ist.


    Stimmt es oder kann acme.sh auch ohne Webserver Zertifikate ausstellen? Wie sieht es mit den anderen Kandidaten aus?

  • Hatte mal gehört bei acme.sh muss zwingend ein Webserver installiert sein. Bei Certbot geht dies auch ohne bzw. der Webserver Daemon muss für die Erstellung kurz unterbrochen werden, damit der Port 80 frei ist. Stimmt es oder kann acme.sh auch ohne Webserver Zertifikate ausstellen?

    acme.sh kann das auch selbständig, siehe hier ("standalone"-Modus).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Ich schwöre seit Jahren auf den Certbot. Renews laufen automatisch per Cronjob.

    Lässt sich auch super in Skripten integrieren und mit dem Apache/NGINX Addon gehts kaum einfacher.


    Code: Beispiel
    certbot --nginx -d meinedomain.de
  • Wollte mir den auch mal näher anschauen gerade, aber die Netcup API wird nicht direkt unterstützt, wenn ich's richtig sehe, oder? :/

    Ich verwende zusätzlich das für die DNS-Challenge: https://github.com/froonix/acme-dns-nc


    Siehe auch: https://github.com/froonix/acm…/Example-config%3A-GetSSL


    Läuft einwandfrei seit 2018. ;)


    Tipp: getssl.cfg in den Domainordnern ist auch nur ein Bashscript! Man kann dort einfach andere Dateien mittels "source" einbinden und somit die Konfiguration bei Verwendung mehrerer Provider stark vereinfachen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ah cool, hatte ich bei der Suche nicht entdeckt. ^^ Sieht interessant aus, danke.


    Vielleicht bleibe ich aber einfach bei acme, da der Client immerhin von Haus aus alles Nötige mitbringt - so auch die API Unterstützung.


    Aber ich schaue gern mal über den Tellerrand, man möchte ja nix cooles verpassen. :D

  • Siehe auch mein Edit, falls noch nicht gesehen. :)


    Hat acme.sh mittlerweile eigentlich endlich ein Feature, mit dem es selbst erkennt, wann die Einträge der DNS-Challenge live sind? Ich habe keine Lust da eine fixe Waittime von 10-20 Minuten zu konfigurieren, die am Ende womöglich trotzdem fehlschlägt. Bei getssl kann ich das Checkinterval einstellen (erhöhen) und nach 100 Versuchen gibt er auf. Aber wenn die Nameserver schneller sind, macht er früher weiter.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Edit tatsächlich übersehen. :) Klingt als wäre man mit dem Setup wirklich sehr flexibel.


    Soweit ich weiß ist die DNS-Waittime bei Acme fest. Aber mit meinen 630 Sekunden hatte ich da tatsächlich auch noch nie Probleme. Und ob der Job nun 630 oder nur 421 Sekunden benötigt, spielt für mich dann doch eher eine untergeordnete Rolle.


    Was mich am Acme Client stört, ist dass man die Jobs hinterher nicht wirklich bearbeiten kann. Möchte man beispielsweise nur das Reload-Kommando ändern, muss man den Auftrag neu erteilen/überschreiben. Irgendwie doof umgesetzt. Aber im Grunde kann ich damit leben, da dafür eh nur ein eigenes Bashscript aufgerufen wird, dass das Zertifikat dann in den Containern verteilt und selber die richtigen Reloadbefehle durchschleift.


    Ich bin jedoch ein Fan von klassischen Konfigdateien, die man auch nachträglich editieren kann. Vielleicht ist getssl doch mal ein Blick wert. :D Danke für den Denkanstoß.

  • Wenn ich schon dabei bin: Noch ein Denkanstoß :D


    Für eine Domain habe ich z.B. folgende Konfiguration:



    Dank Bash in den CFG-Dateien unbegrenzte Möglichkeiten ^^

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)