Lets encrypt Zertifikatsverlängerung über certbot und netcup domain API funktioniert nicht mehr

  • Hallo,


    seit ein paar Jahren verlängere ich meine 2 Wildcard Domains mittels certbot und dem netcup plugin (und damit der domain API). Ich mache das ganze über podman (docker würde es auch tun) in dieser Art:


    Bash
    #!/bin/bash -x
    VERSION="v2.4.0"
    
    podman run --pull always --rm \
      --volume ../netcup/credentials.ini:/credentials.ini:z --volume ./cbconfig:/cbconfig:z --volume ./cblogs:/cblogs:z \
      docker.io/aanno/certbot-netcup:${VERSION} renew \
      --config-dir /cbconfig --logs-dir /cblogs $*

    Wie gesagt, dass ganze funktionert seit Jahren. Aber im Moment will es nicht mehr. Im certbot log finde ich:

    Hat jemand eine Idee, wie ich weiter verfahren könnte?


    Beste Grüße, aanno

  • Go to Best Answer
  • Hallo Zusammen,

    • die Idee mit dem DNSSEC ein/ausschalten finde ich ganz interessant. Allerdings ist mir nicht so klar, wo ich das machen soll. In der DNS API? Oder im certbot?
    • Im CCP kann ich im Bereich "Domains" unter "API Log" sehen, dass die Änderungen 'erfolgreich' durchgeführt wurden. (Leider sieht man auch nicht, um welche Änderungen es sich da handelt.)
    04.04.2023 19:21:36 updateDnsRecords Erfolgreich DNS records successful updated <domain>.com NjRwYk....
    Rückmeldung lang: The given DNS records for this zone were updated.
    Server Request ID: W6jNW...
    Client Request ID:
    Rückmeldungsnummer: 2000
    Nachrichtenformat: JSON


    Da gibt es also einen Unterschied zwischen 'erfolgreich' aus Sicht der DNS API und 'erfolgreich' aus Sicht von certbot. ;(

  • Update: DNSSEC ein/ausschalten: CCP -> Domains -> Lupe vor der Domain -> Tab DNS -> Zeile DNSSEC Status (+ Checkbox)


    Ich habe mittlerweile bemerkt, dass

    1. Meine Domain B z.Z. gar nicht auflöst (aber von certbot für das TXT Challenge verwendet wird). Domain A dagegen funktioniert wie konfiguriert.
    2. Bei beiden Domainen (A und B) DNSSEC bisher eingeschaltet war.
    3. Der certbot 'erfolgreich' das TXT Challenge in Domain B schreibt.

    Aus dem gesagten ergibt sich, dass ich mich nicht wundern muss. Solange Domain B gar nicht auflöst, wird es wohl nicht klappen. Die Preisfrage ist also, warum die Domain B nicht auflöst, obwohl sie konfiguriert ist.


    Beide Domainen zeigen (natürlich) auf denselben Server. Als erste Maßnahme habe ich mal DNSSEC auf Domain B ausgeschaltet. Ich hoffe jetzt darauf, dass dadurch die Domain wieder auflöst....

  • Na bitte, Frage selbst beantwortet (Zeit fürs Troubleshooting Netcup verrechnen;)

    DNSSEC-Status überprüfen hat noch nie geschadet (Forum ist voll hier mit diesbezüglichen Beiträgen)

    • Best Answer

    So, nachdem ich den Support von Netcup eingeschaltet habe, funktioniert auch Domain B wieder. Daher ist auch der Zertifikatsupdate wie gewohnt erfolgreich. In 24h kann ich versuchen, DNSSEC auf Domain B wieder einzuschalten.


    Nachtrag: Unter CCP -> Domains -> Lupe vor der Domain -> Tab DNS kann man auch die TXT Challenges von certbot sehen:

    10556-certbot-challenge-png

  • aanno

    Selected a post as the best answer.