Let’s Encrypt Wildcard-Zertifikat für " *.mydomain.tld " möglich ?

    Ich habe mich schon sehr lange nicht mehr mit den Zertifikaten im WCP beschäftigt (es läuft einfach -> *Lob*),
    daher möge man mir meine Unwissenheit verzeihen ...;)


    ich habe eigentlich 2 Fragen:


    1.)

    ist es mittlerweile irgendwie möglich, im WCP ein Let’s Encrypt Wildcard-Zertifikat für " *.mydomain.tld " zu hinterlegen / erzeugen zu lassen (mit automatischer Verlängerung usw...) ?


    2.)
    ist es mittlerweile möglich für eine Subdomain, welche im WCP als reine Weiterleitung konfiguriert ist (kein Verzeichnis im Webspace),
    ein Let’s Encrypt Zertifikat zu hinterlegen / erzeugen zu lassen (mit automatischer Verlängerung usw...) ?

    Zumindest wird ja seit einiger Zeit im WCP bei dem Hosting-Typ "Weiterleitung" auch ein Zertifikats-Dialog angezeigt,
    wo man zumindest aus bereits vorhandenen Zertifikaten eines auswählen kann.

    (diese Zertifikate aus der Auswahlliste passen aber natürlich nicht, da sie entweder nicht "Wildcard" sind (siehe Frage 1), oder für andere vorhandene (Sub-) Domains ausgestellt wurden)

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

    mittlerweile besteht ja tatsächlich im neuen Plesk WCP die Möglichkeit Let’s Encrypt Wildcard-Zertifikate einzurichten.

    Hat das von euch schon mal jemand praktisch durchgeführt ?

    Ich scheitere da an ganz praktischen Dingen:


    - ich kann ganz normal im WCP die nötigen Dialoge zur Erstellung eines Wildcard-Zertifikates im Plesk durchlaufen


    - ich lande dann (wie vorgesehen) auf der Seite, wo ich aufgefordert werde, einen txt Eintrag im DNS anzulegen
    screenshot -> https://24max.de/temp/aufforde…d_zertifikate_anlegen.png

    (vergl. auch hier: https://docs.plesk.com/de-DE/o…%E2%80%99s-encrypt.79603/ )


    - ich lege dann im CCP den nötigen txt-record an:
    screenshot -> https://24max.de/temp/dns_im_ccp.png


    - nun dauert es bis der DNS-record "weltweit bekannt" ist (10 min. -> 30min.? k.A.)

    - in dieser Zeit hat mich das WCP (und CCP)* aber automatisch wieder ausgeloggt ;)

    - wenn ich mich also wieder einlogge und den Prozess noch mal starte, dann wird ein anderer key erzeugt, welchen ich jetzt als DNS txt record eintragen soll
    also trag ich diesen ein -> "weltweit bekannt" ist aber jetzt (mittlerweile) der alte key, welchen ich vor 30 min schon als txt record eingetragen hatte


    ----------------


    Wie habt ihr das geschafft ?

    - muss man wirklich das WCP (und CCP ?)* die ganze Zeit irgendwie offen halten (mittels auto-refresher oder so), um diesen Vorgang sicher abschließen zu können ?
    - sollte man die TTL-Zeit im DNS vorher runtersetzen oder so ?


    Es ist bei meinen Versuchen auch vorgekommen, dass zwar nach einigen Minuten über z.B. https://mxtoolbox.com/TXTLookup.aspx der korrekte und aktuelle key (DNS txt record) angezeigt wurde,
    dass dann aber trotzdem im WCP ein Fehler angezeigt wurde, dass letsencrypt noch den falschen, alten key sieht ...
    Wie kann ich prüfen was (welchen txt-Eintrag) letsencrypt gerade "sieht" ?


    -------------


    *(ich logge mich ins WCP über das CCP ein)

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

    Einmal editiert, zuletzt von Dirk67 ()

    Das ist so doch sowieso nicht praxistauglich, da Du die TXT-Records dann alle paar Monate erneut händisch setzen müsstest. Automatisch wird das bei dieser Konstellation nicht funktionieren!


    (Let's Encrypt merkt sich die Verifizierung für einige Wochen, bei erneuten Tests könnte es somit ohne neuerlichen TXT-Record funktionieren.)


    Mein persönliches Fazit: Finger weg von Wildcard-Zertifikaten beim WCP! Die haben dort sowieso keinen Mehrwert. Du kannst ja problemlos für jede Subdomain ein eigenes Zertifikat beantragen, das dann auch automatisch verlängert wird.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 4
    Zitat von Dirk67

    mittlerweile besteht ja tatsächlich im neuen Plesk WCP die Möglichkeit Let’s Encrypt Wildcard-Zertifikate einzurichten.

    möglich ja, wird aber seitens Netcup nicht empfohlen. siehe:

    Lets Encrypt funktioniert nicht?! - netcup Kundenforum
    Hallo zusammen, ich habe für meine website ein Lets Encrypt beantragt. Allerdings bekomme ich immer eine Fehlermeldung wenn ich das abgeschlossen…
    forum.netcup.de

    automatische Verlängerung ist Stand jetzt leider nicht bei Wildcard-Zertifikaten möglich (zumindest innerhalb eines reinen Webhostings - mit der DNS-API und der DNS-Challenge klappt es. Wüsste aber nicht wie man das dann automatisiert ins WCP bekommt)

    Danke euch,


    ich war so naiv anzunehmen, dass netcup seine eigene DNS-API auch selber für eine derartige Automationen nutzt ;)

    Zitat von KB19

    Mein persönliches Fazit: Finger weg von Wildcard-Zertifikaten beim WCP! Die haben dort sowieso keinen Mehrwert. Du kannst ja problemlos für jede Subdomain ein eigenes Zertifikat beantragen, das dann auch automatisch verlängert wird.

    Ja du hast natürlich recht,
    aber geht das auch für Subdomains, welchen ich keinen Webspace zugeordnet habe ?
    ich möchte gerne, dass solche "Weiterleitungs"-Subdomains auch mit https: aufgerufen* werden können,
    ohne dass ich für diese jeweils einen "Webspace" anlegen muss, wo dann ein .htaccess und oder php o.äh. liegt, welches dann die Weiterleitung vornimmt ...
    daher kam mir die Idee mit den Wildcard-Zertifikaten.
    (diese könnte man dann in Plesk im Konfig-Dialog für alle diese ("Weiterleitungs"-) Subdomains einfach auswählen)


    -------------------


    *(derzeit werden diese mit einem self-signed Plesk Zertifikat ausgeliefert, welches natürlich zu Errormeldungen im Browser führt, wenn man https://weiterleitungssubdomain.domain.tld aufruft)

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

    2 Mal editiert, zuletzt von Dirk67 ()

    Zitat von Dirk67

    ich war so naiv anzunehmen, dass netcup seine eigene DNS-API auch selber für eine derartige Automationen nutzt ;)

    Was Plesk nicht unterstützt, können sie schwer anbieten. :)


    Und Plesk kann das afaik nur, wenn es selbst den NS bereitstellt. Das ist beim Webhosting definitiv nicht der Fall.


    Zitat von Dirk67

    ich möchte gerne, dass solche "Weiterleitungs"-Subdomains auch mit https: aufgerufen* werden können,

    ohne dass ich für diese jeweils einen "Webspace" anlegen muss, wo dann ein .htaccess und oder php o.äh. liegt, welches dann die Weiterleitung vornimmt ...

    Daran führt derzeit glaube ich kein Weg vorbei, wenn es mit HTTPS klappen soll.


    Wenn Du es Dir ein wenig leichter und übersichtlicher machen möchtest, könntest Du diese Weiterleitungs-Subdomains aber alle in den gleichen Dokumentenstamm leiten. Dann brauchst Du nur eine einzige .htaccess-Datei, die man je Subdomain um entsprechende Zeilen erweitert.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von KB19

    Wenn Du es Dir ein wenig leichter und übersichtlicher machen möchtest, könntest Du diese Weiterleitungs-Subdomains aber alle in den gleichen Dokumentenstamm leiten. Dann brauchst Du nur eine einzige .htaccess-Datei, die man je Subdomain um entsprechende Zeilen erweitert.

    danke,
    ich denke, das ist eine gute Idee,

    kommt denn die letsencrypt challenge auch damit klar ?

    -> werden in diesem Falle dann nicht alle ACME challenges (dieser verschiedenen subdomains) nach dem Muster
    "http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>"
    evtl. "quasi gleichzeitig" in eben diesem Dokumentenstamm (zumindest temporär) an der selben Stelle abgelegt ?


    und wenn ich eine .htaccess nutze, wird dann nicht auch die ACME-challenge Anfrage des letsencrypt-servers umgeleitet und läuft ins leere ?

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

    3 Mal editiert, zuletzt von Dirk67 ()

    Die Challenge erfolgt bei mehreren (Sub-) Domains schon richtig, die Token-Datei wird afaik durch Plesk außerhalb Deines Zugriffsbereichs abgelegt und mittels Alias (?) verfügbar gemacht. Die heißt bei jeder Anforderung ja anders, da kann sich nichts in die Quere kommen.


    Dass man für den Pfad in einer .htaccess-Datei trotzdem eine Ausnahme haben sollte, ist eine andere Geschichte. Das wäre bei mod_rewrite aber keine große Sache. Wenn Du da beim Rumtesten nicht weiter kommst, kann Dir im Forum sicher geholfen werden. :)


    (Wenn ich später oder morgen kurz Zeit habe, teste ich das mal auf einem Webspace aus und werfe meine Erkenntnisse in mein webhosting-mods GitHub-Repo.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    LE Wildcard Cert mittels Plesk funktioniert nur händisch oder wenn der Hoster DNS über Plesk laufen lässt. Letzteres habe ich noch nie irgendwo gesehen.


    Für ein Projekt mit Buildsystem sollte jeder Build unter *buildid*.tolleweb.app verfügbar sein.

    Realisiert habe ich das jetzt über Cloudflare als (zwangsweise) Nameserver und Proxy.


    Kurz: Plesk <> Cloudflare (CF) <> Client


    Grobe Schritte:

    * bei Netcup CF als NS einrichten

    * alle Records zu CF übertragen

    * CF in Proxymodus setzten

    * Plesk eine Wildcard-Subdomain aufsetzen

    * Statisches Zertifikat von CF hochladen und nutzen

    * Strict Proxy Modus bei CF aktivieren

    * bei Plesk mit .htaccess die Requests auf den entsprechenden Unterordner umbiegen wildcardroot/subdomaindata/subdomain

    * bei jeder Subdomain eine robots.txt ausliefern welche Crawler verbietet

    Zitat von KB19

    Wenn Du es Dir ein wenig leichter und übersichtlicher machen möchtest, könntest Du diese Weiterleitungs-Subdomains aber alle in den gleichen Dokumentenstamm leiten. Dann brauchst Du nur eine einzige .htaccess-Datei, die man je Subdomain um entsprechende Zeilen erweitert.

    Zitat von KB19

    Die Challenge erfolgt bei mehreren (Sub-) Domains schon richtig, die Token-Datei wird afaik durch Plesk außerhalb Deines Zugriffsbereichs abgelegt und mittels Alias (?) verfügbar gemacht. Die heißt bei jeder Anforderung ja anders, da kann sich nichts in die Quere kommen.

    KB19 also um das noch mal abzuschließen:

    Ich habe das jetzt mal für alle meine Weiterleitungs-Subdomains realisiert,
    d.h. ca. 70 Subdomains verweisen jetzt alle auf den selben Dokumentenstamm (Unterverzeichnis) [nennen wir es "sub_redirect"],
    in dem sich lediglich eine einzige ".htaccess"- Datei befindet.
    Alle diese Weiterleitungs-Subdomains sind also nun als "Webspace" (und nicht mehr als "Weiterleitung") im WCP Plesk eingerichtet,
    und haben somit alle ihr eigenes Lets-Encrypt-Zertifikat bekommen.

    Die lets-encrypt "HTTP-01 challenge" bzw. die entspr. Token-Datei wird aber nicht wie von dir vermutet (s.o.) irgendwo außerhalb meines Webspace abgelegt,
    sondern es wird tatsächlich jedes mal (für ca. 30 Sekunden) ein Verzeichnis ".well-known/..." in eben diesem Unterverzeichnis ["sub_redirect"] angelegt, in dem sich auch meine .htaccess befindet.

    d.h. in der .htaccess muss also dieses Unterverzeichnis (".well-known/...") ausgenommen sein um eine erfolgreiche lets-encrypt "HTTP-01 challenge" zu ermöglichen,
    das geschieht einfach, in dem (einmalig) als erste Anweisung direkt nach
    RewriteEngine On
    geschrieben wird:
    RewriteRule ^(.well-known)($|/) - [L,END]

    pro Weiterleitungs-Subdomain folgt dann jeweils ein Dreizeiler nach dem Muster:

    Apache Configuration
    RewriteCond %{HTTP_HOST} ^subdomain\.domain\.tld$ [NC,OR]
RewriteCond %{HTTP_HOST} ^www\.subdomain\.domain\.tld$ [NC]
RewriteRule ^(.*)$ https://domain.tld/verzeichnis/unterverzeichnis/$1 [L,R=301]

    Fragt sich nur was passiert, wenn dann nach 3 Monaten für alle meine 70 Weiterleitungs-Subdomains die lets-encrypt zertifikate "gleichzeitig" automatisch verlängert werden 😅 ,
    ich hoffe das funktioniert reibungslos ...

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

    Gefällt mir 1 Danke 1