LE Zertifikat DNS Frage

  • Unabhängig davon, wenn es um Webhosting geht: Häkchen bei "Wildcard" NICHT setzen, dann will er auch nichts mit DNS validieren.


    (Und Forensuche benutzen. Danke.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 1
  • Ich habe die Woche mehrfach versucht, Wildcard-Zertifikate in einem Webhosting-Paket für zwei Domains anzulegen und dabei die Anleitung befolgt.

    Ohne Erfolg, was am Ende nicht schlimm war, da die Domain- und Subdomain-spezifischen Zertifikate gut funktionieren.


    Mir war aber auch vorher nicht klar dass

    1) Subdomains die auf das gleiche Hosting zeigen, automatisch ein Zertifikat bekommen mit der dritten Checkbox

    2) Die Notwendigkeit, einen eigenen TXT-Record anzulegen, bei bei allen Optionen außer Wildcard entfällt


    Vorher hatte ich das bei einer Hauptdomain schon einmal richtig gemacht in Plesk, die Vorgehensweise aber zwischenzeitlcih vergessen.

    Damals hatte ich wohl nachgelesen, dass Wildcard-Certs generell als "Bad practice" gelten, wenn man sie nicht unbedingt braucht.


    Was die Wildcard-Certs angeht, ich brauche sie ja jetzt nicht, habe aber den Verdacht, dass es einfach nicht funktinoiert? 48h habe ich jedenfalls gewartet.

    Ich konnte auch die TXT-Records meiner Domain nie mit dig abrufen.


    Momentan versuche ich es mal, via CCP die DNS-Record-TTL zu reduzieren und einen TXT-Record für die "Google Site Verification" bei einer meiner Domains anzulegen. Bin gespannt, ob das im Webhosting funktioniert.




    Das einzige, was ich mit der Forensuche zu DNS-TXT-Records gefunden habe, ist dieses Thema:

    Let’s Encrypt Wildcard-Zertifikat für " *.mydomain.tld " möglich ? - netcup Kundenforum
    Ich habe mich schon sehr lange nicht mehr mit den Zertifikaten im WCP beschäftigt (es läuft einfach -> *Lob*),daher möge man mir meine Unwissenheit verzeihen…
    forum.netcup.de


    wo es zufällig auch um Wildcard-Zertifikate geht.


    Allerdings fällt es mir schwer, die Suche zu nutzen.


    Das Thema finde ich z.B. mit "dns text record", aber nicht mit "dns txt" (wohl zu unspezifisch?)


    (ach so und im Screenshot aus dem EIngangsposts, fehlt da nicht der Domainname hinter dem "_acme-challenge"? Oder ist das implizit. In der Aufforderungl, die erscheint beim Beantragen des LE-Zertifikats, steht der jedenfalls bei mir mit drin.)

  • (ach so und im Screenshot aus dem EIngangsposts, fehlt da nicht der Domainname hinter dem "_acme-challenge"? Oder ist das implizit. In der Aufforderungl, die erscheint beim Beantragen des LE-Zertifikats, steht der jedenfalls bei mir mit drin.)

    Der Domainnae ist nicht notwendig (meiner Meinung nach). Ist aber egal weil das mit dem DNS sowieso nicht funktioniert

  • Die DNS-Methode sollte aber trotzdem funktionieren. Genauso sollten jegliche DNS-Änderungen nach 10-20 Minuten live sein.


    Falls nicht: Bitte mal Screenshot(s) posten, wo die Spalten "Host" und "gültig" sichtbar sind, nachdem eine halbe Stunde seit den letzten Änderungen vergangen ist.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Das mit den Wildcard-Certs wollte ich jetzt nicht nochmal anstoßen, nachdem LetsEncrypt mit Domain und Subdomain überall eingerichtet ist.

    Ich kann also gerade nur einen anderen TXT-Record testen, den mit der "google-site-verification".


    Meine Domain ist kein großes Geheimnis, ich habe sie trotzdem leidlich unkenntlich gemacht.


    Das bringt mich natürlich direkt auf einen Gedanken, ist es falsch, die Domain als "Host" einzutragen?

    Soll da der Dach-Host des ganzen Netcup-Pakets oder ein * rein, oder eine IP-Adresse?


    Bei der Erstellung von Wildcard-Zertifikaten wird man aber aufgefordert, dort _acme-challenge.meine-webhosting-domain.de einzugeben und anschließend mit bis zu 48h Wartezeit die öffentliche Sichtbarkeit des DNS-Records zu prüfen mit dem Kommmando

    dig -t TXT +short _acme-challenge.meine-domain.de


    Das hatte ich probiert, ohne Erfolg (dig in verschiedenen 9er-Versionen, einmal Debian einmal macos).

    Bin komplett ahnungslos was das Thema DNS angeht.


    Aber der google-site-verification Record aus dem screenshot ist bei meiner Domain immer noch im CCP eingetragen und wird bisher nicht öffentlich sichtbar, soweit ich das nachvollziehen kann.


    Sehe trotzdem nur den Record

    Code
    > $ dig -t TXT +short meine-domain.de                                                                                                                                                           
    "v=spf1 mx a include:_spf.webhosting.systems ~all"

    oder auch hiermit:


    https://toolbox.googleapps.com/apps/dig/#TXT


    Ist der Host-Eintrag falsch?


    Das Wildcard-Cert müsste jemand nochmal testen, der es benötigt, ich habe ja festgestellt, dass ich es nicht brauche.

  • Domains CCP – netcup Wiki

    Zitat

    Host: In dieser Spalte ist die Subdomain einzutragen. Als Wildcard dient hier das * (Sternchen). Bei einem Record für die Stammdomain (ohne Subdomain, z.B. für ihredomain.tld) ist ein @ zu setzen. Subdomains müssen mit der entsprechenden Bezeichnung im Host-Feld eingetragen werden (z.B. "webmail" für webmail.ihredomain.tld). Hierbei ist darauf zu achten, "webmail" ohne den dazugehörigen Domainnamen (z.B. ihredomain.tld) zu hinterlegen.

    Beantwortet das die Frage, die gefühlt wöchentlich hier gestellt wird? ^^

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 3
  • Perfekt, ja – vielen Dank!


    Wenn man über das Panel ein wildcard-Zertifikat anlegt, wird halt von Plesk eine missverständliche Anleitung angezeigt für Leute, die so doof sind wie ich ;)


    Dort steht sinngemäß (habe keine freie Domain mehr für einen Screenshot)


    Zitat

    tragen Sie einen DNS-Record vom Typ TXT ein mit der Domain _acme-challenge.ihre-domain.tld und dem Inhalt (...)


    ...was ja nicht falsch ist.


    Trotzdem habe ich mangels Fachwissen die Erklärung im DNS-Panel nicht gesehen / keinen Zusammenhang mit der Anleitung für das Zertifikat hergestellt, war wohl nicht der einzige.


    > die gefühlt wöchentlich hier gestellt wird?


    Vorherige Beiträge scheinen über die Suche schwer auffindbar zu sein.

    Siehe:


    https://forum.netcup.de/system…=wildcard+let%27s+encrypt (ein Ergebnis, dieser Thread)


    Suchergebnisse - netcup Kundenforum


    Hier enthält der erste Thread hilfreiche Infos, aber nicht zur Bedienung des DNS-Panels in Plesk.

    Die anderen beiden Threads scheinen keinen direkten Zusammenhang zu haben


    Nicht ganz einfach, hier fehlendes Fachwissen an sich (LE Challenge/Response, DNS-Records) und netcup- oder Plesk-spezifisches auseinander zu halten.


    Dachte auch zwischenzeitlich, ich benötigte für Wildcard-Zertifikate eine Lösung wie certbot oder ein Skript, um die TXT-Records automatisch zu aktualisieren, wenn ein neues Zertifikat ausgestellt wird nach Ablauf.


    Scheint ja auch so zu sein, wenn ich den Post richtig verstehe:

    Let’s Encrypt Wildcard-Zertifikat für " *.mydomain.tld " möglich ? - netcup Kundenforum
    Ich habe mich schon sehr lange nicht mehr mit den Zertifikaten im WCP beschäftigt (es läuft einfach -> *Lob*),daher möge man mir meine Unwissenheit verzeihen…
    forum.netcup.de


    Vielleicht was für einen Wiki-Eintrag?

    Wie gesagt, ich benötige kein Wildcard-Zertifikat mehr und habe heir sogar die Antwort auf meine andere Frage gefunden :thumbup:

  • Dass der "google-site-verification Record" via dig -t TXT +short meine-domain.de.meine-domain.de sichtbar wäre, wurde wohl oben geklärt.

    Was mich allerdings in diesem Fall verwundert, ist, dass tatsächlich die Erläuterung bei Google selbst (dort wird "zufälligerweise" die Verwendung von "@" angesprochen) direkt das korrekte Ergebnis hätte liefern sollen: Domain mit einem TXT-Eintrag schützen. Man müsste eigentlich nur die einzelnen Schritte wortwörtlich befolgen:

    support_goolge_com.png

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Gefällt mir 3
  • Im Nachhinein keine Ahnung warum ich nicht nochmal bei Google gesucht habe, in der „Search Console“ habe ich den Link dann wohl übersehen.

    (edit: gibt keinen, hätte ich suchen müssen, wie gesagt, hatte halt keine Ahnung 🤷‍♂️)

    Bin nur auf die Idee gekommen, Wikipedia zu DNS-Records zu lesen, das war dann aber zu viel auf einmal für mich. War auf die Idee versteift die Lösung bei Netcup zu suchen, wie gesagt, fehlendes Grundwissen dann eben. Hat ja über Umwege hier gut geklappt

  • Zur Erläuterung dazu:


    > Was mich allerdings in diesem Fall verwundert, ist, dass tatsächlich die Erläuterung bei Google selbst (dort wird "zufälligerweise" die Verwendung von "@" angesprochen) direkt das korrekte Ergebnis hätte liefern sollen: Domain mit einem TXT-Eintrag schützen. Man müsste eigentlich nur die einzelnen Schritte wortwörtlich befolgen:


    In der "Search Console" ist dieser Artikel verlinkt:


    https://support.google.com/webmasters/answer/9008080#domain_name_verification


    Und dort steht nirgendwo etwas von "@".

    Dort steht stattdessen


    > For a TXT record, you should leave the name/host field blank and use your TXT string in the DNS record's value field


    Schon klar, mir hat das Wissen gefehlt, ich bedanke deshalb mich für die Hilfe...

    Man wählt halt ein Webhosting-Paket in der Regel, weil man von Dingen wie DNS eher wenig Ahnung hat.

  • auch in deinem link steht unter TXT DNS record instructions:

    »For the Host/Name property, either leave this blank, or set as "@", as described in the documentation for your DNS provider.«


    solchen DNS-einstellungskram hast du halt immer, egal ob server oder webhosting.


    ich würde das jetzt einfach unter »wieder was gelernt« abheften.

    »Hauptsache BogoMIPS!«

    Fleischfresser