SSL für Domain hinter VPN

  • Hallo zusammen,


    ich habe nun einige Stunden damit verbracht, eine Lösung für folgende Konstellation hinzubekommen:


    Für unseren Terminalserver (bzw. RDP), der hinter einem VPN betrieben wird, möchte ich ein SSL Zertifikat (möglichst automatisiert) einrichten. Unsere Domain liegt bei Netcup, verwendet allerdings die Nameserver von Microsoft, da O365 so einfacher einzurichten war.


    Aktuelle Lösungsidee:

    Ich habe nun versucht, acme-dns auf einem VPS (Netcup) in Kombination mit CertifyTheWeb auf dem Windows Server (=Terminalserver, RDP) einzurichten.

    1. Auf dem VPS läuft acme-dns

    2. Bei Microsoft habe ich in den DNS-Settings folgendes eingerichtet: A-Record mit Name = auth.computerra.de und Wert = IP des VPS mit acme-dns

    3. Bei Microsoft habe ich in den DNS-Settings folgendes eingerichtet: cname Eintrag: Name = _acme-challenge.computerra.de ; Wert = subdomain aus CertifyTheWeb


    CertifyTheWeb liefert bei Click auf "Test" erstmal success, bei Click auf "Request Certificate" erscheint jedoch ein Fehler (DNS Settings falsch).

    Ich vermute, dass das die Ursache ist:

    Zitat

    NS record for auth.example.org pointing to auth.example.org (this means, that auth.example.org is responsible for any *.auth.example.org records)

    Allerdings kann ich bei Netcup in den DNS Settings keinen NS Record mit Name und Value einrichten. Der Name scheint immer '@' zu sein, sodass der Value für alle Subdomains gültig ist? Gibt es hier eine Lösung?


    Als Alternative wollte ich nun den Nameserver wieder zurück zu Netcup ziehen und acme.sh verwenden. Die Idee habe ich hier im Forum gefunden.

    Das Problem ist hier allerdings, dass ich dann keine Ahnung habe, wie ich dann die Installation des Zertifikats für IIS automatisieren kann (immer noch mit CertifyTheWeb?).


    Als Dritte Idee wollte ich nun das ganz normale Let's Encrypt SSL Zertifikat, das über Netcup für die reguläre öffentliche Website generiert wird, downloaden und weiterverwenden. Ist das möglich, oder gibt es da keine Wildcard für die RDP-Subdomain?


    Ich wäre sehr dankbar, wenn mir jemand auf die Sprünge helfen kann. Gerne auch drauf hinweisen, wenn ihr mir einen ganz anderen Weg empfehlt.


    Vielen Dank

  • Allerdings kann ich bei Netcup in den DNS Settings keinen NS Record mit Name und Value einrichten. Der Name scheint immer '@' zu sein, sodass der Value für alle Subdomains gültig ist? Gibt es hier eine Lösung?

    @ bezieht sich immer auf die Domain selbst - Subdomains musst du selber anlegen. * bezieht sich auf eine Ebene an Subdomains.

    Du brauchst aber noch einen NS Record.

  • Hi, wie kann man denn NS Records für Subdomains anlegen? Bei mir wird die Domain Bzw. Gültigkeitsbereich als Eingabemöglichkeit gar nicht abgefragt. Siehe angehangenes Foto.

    Die musst du dann bei Microsoft anlegen - da du die Nameserver von Microsoft verwendest.

    Willst du die Netcup Oberfläche dafür verwenden, musst du wieder die Netcup DNS Server verwenden.