Moinsen, wollte mal fragen ob wer Ahnung davon hat ob es eine Möglichkeit gibt, die ACME Challenge bei DV Zertifikaten zu automatisieren, wenn die Domain bei Cloudflare gemanaget wird.
Danke schon Mal im voraus für Infos.
Falls weitere Infos meinerseits benötigt werden, einfach fragen.
MfG 
Dafür gibt es das certbot-dns-cloudflare Plugin: https://certbot-dns-cloudflare.readthedocs.io/en/stable/
Hier gibt es eine kurze Zusammenfassung zum Einrichten: https://labzilla.io/blog/cloudflare-certbot
Wieso nutzt du nicht die acme HTTP challenge?
Plesk bei netcup mit automatisierter DNS challenge lässt du lieber bleiben. Mir ist zumindest kein möglicher Weg bekannt.
Also meinst du, für jede Sub-Domain ein eigenes Zertifikat?
Hab ich tatsächlich bei meinem alten Hosting so gemacht.
Aber dachte mir ein Zertifikat für alle Subs wäre "besser" bzw komfortabler, da ich dann nur 1 Cert verwalten müsste.
Außerdem nutze ich das Zertifikat auch für meinen Root Server um da auch ein paar Unterseiten zu bedienen.
Muss dementsprechend nur 1 Zertifikat rüber laden anstatt für mehrere Subs jeweils die Zertifikate.
Warum sollte ich das lieber sein lassen?
Hört sich so an als ob das irgendwie negativ behaftet wäre. Spricht doch grundsätzlich nichts gegen oder?
Außer halt, dass es nicht automatisiert klappt.
Verstehe sowieso nicht, warum NetCup das nicht irgendwie implementiert. Wenn es da ist, wird es ja wohl auch wer nutzen bzw. nutzen wollen. Es dann einfach unbenutzbar zu lassen ist auch nicht schön.
Hab aber auch schon drüber nachgedacht einfach wieder zurück zu wechseln und dann einfach nur trotzdem ein WildCard für den RS zu generieren.
Mfg 
Also meinst du, für jede Sub-Domain ein eigenes Zertifikat?
Wie viele Subdomains hast du denn?
Bei LE kann man mehrere Domains in einem Zertifikat bündeln (SAN) - bis zu 100 Stück.
Einfach mehrere -d Parameter angeben.
Ich verstehe das Problem nicht ganz. Plesk kann (wenn man auf Wildcard-Zertifikate verzichtet!) problemlos für beliebig viele Subdomains Zertifikate beantragen und verwalten. Das ist überhaupt kein Aufwand, das passiert nach der Einrichtung vollautomatisch. Wildcard-Zertifikate haben beim Webhosting keinen Vorteil, außer eine begrenzte Verschleierung in Certificate-Transparency-Logs.
Wenn Du irgendwelche Zertifikate vom Webhosting zu einem anderen Server kopieren willst/musst, machst Du irgendwas falsch. Auf eigenen Systemen holt man sich die Zertifikate über einen beliebigen ACME-Client einfach selbst, egal ob HTTP oder DNS-Challenge. Das ist nicht die Aufgabe von netcup bzw. dem Webhostingsystem. Das fällt in den Aufgabenbereich des Serveradmins.
Also meinst du, für jede Sub-Domain ein eigenes Zertifikat?
Exakt
Aber dachte mir ein Zertifikat für alle Subs wäre "besser" bzw komfortabler, da ich dann nur 1 Cert verwalten müsste.
Was möchtest du denn verwalten? Das übernimmt doch alles Plesk für dich.
Außerdem nutze ich das Zertifikat auch für meinen Root Server um da auch ein paar Unterseiten zu bedienen.
Dann stell dir dafür doch ein Wildcard-Zertifikat aus. Plesk lässt du die Zertifikate aber selber verwalten. Spricht ja nichts dagegen, mehrere Zertifikate für die selben Domains ausstellen zu lassen.
Außer halt, dass es nicht automatisiert klappt.
Genau das ist der Knackpunkt. Wenn du daran denkst spätestens alle 90 Tage den Spaß manuell zu wiederholen – go for it.
Plesk bei netcup mit automatisierter DNS challenge lässt du lieber bleiben. Mir ist zumindest kein möglicher Weg bekannt.
Hmm.... Domain-API?
DomainWebservice interface description
Das als Handler in acme.sh einbauen?
Da wäre es aber praktisch, mehrere (per-App) API-Keys verwenden zu können.
Alles anzeigenHmm.... Domain-API?
https://ccp.netcup.net/run/web…oint.php#updateDnsRecords
Das als Handler in acme.sh einbauen?
Da wäre es aber praktisch, mehrere (per-App) API-Keys verwenden zu können.
Und wie bringe ich Plesk dazu bei der automatischen Aktualisierung durch die DNS-Challenge die Domain-API zu verwenden? Lerne ja gerne dazu.
Und wie bringe ich Plesk dazu bei der automatischen Aktualisierung durch die DNS-Challenge die Domain-API zu verwenden? Lerne ja gerne dazu.
Berechtigte Frage. Geht es jetzt um #6 oder #7?
Inwieweit modifiziert CCP eigentlich das Plesk? Abseits der DNS-Verwaltung von CCP?
Kann man eventuell die Challenge, die Plesk generiert, abfangen und per hook in die API schicken? Nachteil: API-Key auf demselben Hosting abgelegt... *Argh*
Berechtigte Frage. Geht es jetzt um #6 oder #7?
Ich beziehe mich auf das Vorhaben in #3.
Also ich habe das jetzt tatsächlich zumindest spontan für eine Domain wieder geändert und jeder Sub einzeln die Zertifikate zugewiesen.
Kein Bock alle 90 Tage bzw. davor die Zertifikate zu aktualisieren.
Da es ja anscheinend auch nicht so einfach möglich ist, einfach nur 1 Zertifikat zu verwenden.
Mal schauen wie da so die Zukunft aussieht.
Fand es halt irgendwie übersichtlicher oder besser, nur 1 Zertifikat in der Liste zu haben aber nun ja..
Und wenn ich das Mal vergesse, wie es jetzt vorgekommen ist, ist es auch doof ne Website zu haben die quasi offline ist.
Werde mir das Mal in Zukunft noch weiter anschauen aber dann lass ich das erstmal so.
Ist jetzt zwar wieder alles ne Config Arbeit aber nun ja.
Und zu der Frage wie viele Subs, es sind 6 Domains mit jeweils 4 Subs und eine mit 9 Subs.
Dementsprechend etwas nervig gerade aber wenn ich danach ruhe habe soll's mir Recht sein.
Danke auf jeden Fall für eure Hilfe und Bemühungen da Mal einen Blick mit drauf zu werfen.
Finde halt schade, dass die Möglichkeit nicht alle so genutzt werden können, wie sie in Plesk eigentlich vorhanden sind.
MfG
