http-01 challenge von Let's encrypt im eigenen Webspace (WS2000)

  • Hallo,

    Entschuldigung, falls die Frage schon beantwortet wurde. In der Suche und im Wiki habe ich Nichts gefunden.


    Ich möchte gerne die http-01 challenge von Let's encrypt selbst bedienen. Leider werden aber Zugriffe auf meinen Webspace (Webspace 2000) in /.well-known/acme-challenge/ für die "bequeme" Let's Encrypt-Steuerung über das WCP nach /var/www/vhosts/default/htdocs/.well-known/acme-challenge umgeleitet. Gibt es eine Möglichkeit, diese Umleitung dem WCP abzugewöhnen? Alternativ schreibe ich die Challenge in das o.g. Verzeichnis, aber dazu müsste das wie z.B. /tmp/ mit 1777 offen sein, damit dort jeder seine Challenge reinschreiben kann, aber die von den anderen nicht versehentlich löscht.


    Danke für jede konstruktive Antwort.

    Sven

  • Danke für die Antwort.


    Ist die API bei der dns-01 schneller als das CCP? Das dauert dort mindestens 5 Minuten bis ein challenge Eintrag im entsprechenden TXT-Record beim primary ankommt. Bei einem Wildcard-Cert mit *.domain.de und domain.de als Altname sind dass dann zwei Challenges = 10 Minuten.


    Da dachte ich mit einer funktionierenden http-01 könnte ich das zumindest für domain.de parallelisieren und würde nur noch die Wildcard mit dns-01 machen.


    Leider habe ich keine IP/Shell irgendwo übrig, sonst würde ich _acme-challenge.domain.de delegieren.


    Dann wird es acme.sh und acme-dns-nc und ist eh' ein Batch. Dauert es halt länger.

  • Ist die API bei der dns-01 schneller als das CCP?

    Leider nicht. Genau genommen werden die Zonen sogar wirklich nur alle 10 Minuten aktualisiert. In Ausnahmefällen auch mal nur alle 20 Minuten. Wenn Du die neuen Einträge um xx:09 reinschreibst, solltest Du Glück haben und sie sind eine Minute später bereits erreichbar.


    Wenn Du die Challenges aber parallel abarbeitest, werden die quasi zeitgleich veröffentlicht werden. Das könnte es somit beschleunigen. Du musst nur aufpassen, dass Du nicht zu viele offene Challenges bei LE hast, das Limit liegt bei 300.

    Dann wird es acme.sh und acme-dns-nc und ist eh' ein Batch. Dauert es halt länger.

    Wenn Du acme.sh nehmen willst, ist die API übrigens dort schon direkt implementiert: https://github.com/Neilpang/ac…ster/dnsapi/dns_netcup.sh

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)