Let's Encrypt und ACME-challenge via DNS

  • Hay,


    nicht dass wir uns mißverstehen. Du kannst die zone für eine einzelne SUBDOMAIN an einen anderen DNS-Server deligieren, wobei der Rest (Hauptdomain und alle anderen Subdomains) auf Deinem "Haupt"-DNS bleiben (der in dem Fall ja dann der Netcup DNS ist), der Haupt-DNS löst dann nur nichts mehr auf, was zur Subdomain gehört. Dagegen muss natürlich die SUBDOMAIN (und nur die) beim dahinterliegenden DNS komplett auflösbar sein.


    https://simpledns.com/kb/64/how-to-delegate-a-sub-domain-to-other-dns-servers


    Ab dem Zeitpunkt habe ich vielleicht tatsächlich nicht verstanden, was Du willst :D und werde nicht mehr weiter-helfen oder -verwirren KÖNNEN :D


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,


    nicht dass wir uns mißverstehen. Du kannst die zone für eine einzelne SUBDOMAIN an einen anderen DNS-Server deligieren, ...

    ich weiß, was es mit der Subdomain-Delegation auf sich hat ...

    scheitere nur am DNS-Editor im CCP;


    es sollen


    _acme-challenge.ssl.example.com

    _acme-challenge.example.com


    delegiert werden, aber nicht


    ssl.example.com


    und schon gar nicht


    example.com


    weil ich hab' nur einen DNS-Server

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • eine Rückmeldung vom Support:


    Zitat

    Wir werden dies beheben, bitte haben Sie aber Verständnis dafür, dass dies noch ein wenig dauern kann. Wir geben Ihnen eine Rückmeldung, sobald dies erfolgt ist.

    :)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Habe mir auch gerade mal die Wildcard Geschichte angesehen und noch ein Frage dazu.

    Muss ich den TXT Record bei jeder Erneuerung des Zertifikats anpassen, nutze die NetcupDNS?

    Wenn dem so ist würde ich vorerst bei der v1 bleiben und jede Domain einzeln erneuern ohne Eingriff in den DNS.

    Weil dann jedesmal die Records händisch zu ändern widerstrebt sich mir ein wenig.

    Einen eigenen DNS aufzusetzen hab ich auch schon überlegt, aber das möchte ich nur im Ausnahmefall.

  • Du hast es bereits richtig geschrieben, bei jeder Erneuerung/Erstellung der Zertifikate muss der TXT-Record neu gesetzt werden;

    mit nur einem vServer egal ob VPS od. Root-Server kannst Du dies automatisieren, indem Du die TXT-Records auf diesen vServer delegierst - sprich auf dem läuft nebenbei auch noch ein BIND oder so;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • wie @mainzimann schon schrieb, würde eine DNS Delgation schon reichen.

    sprich den "_acme" TXT Eintrag auf deinen DNS Server nur zeigen lassen.

    DNS ist ein Einfache aber wichtiges Element, welches denke durch den Anbieter besser gesichert ist,
    als wenn man selber welche Bereitstellt. (Thema DDoS, etc.) für den ACME Request sollte das aber denke nicht das Problem sein.

  • Für Bastler hätte ich eine Lösung, ich habe eine python3 API für die DNS Einstellungen im CCP geschrieben

    https://github.com/MrKrabat/NetcupCCP


    Im examples Ordner befinden sich zwei Hooks für den Certbot: certbot_dns_authenticator.py und certbot_dns_cleanup.py.

    Über den ACMEv2 staging Server konnte ich damit wildcard Zertifikate erhalten.


    Bis Netcup eine richtige API bereitstellt könnte das zumindest für Bastler eine Lösung sein :)

  • Hallo zusammen,

    ich habe einen vserver mit Debian Stretch und letsencrypt mittels dehydrated, bin aber hier bei der Aktualiserung NameServern mit einem hook-script Anfänger.


    Kann mir jemand eine gute Anleitung mittels dehydrated geben?

    vielen Dank

    Dieter

  • Hallo zusammen

    Hallo zusammen,

    ich habe einen vserver mit Debian Stretch und letsencrypt mittels dehydrated, bin aber hier bei der Aktualiserung NameServern mit einem hook-script Anfänger.


    Kann mir jemand eine gute Anleitung mittels dehydrated geben?

    vielen Dank

    Dieter

    Hallo zusammen, Off-Topic:

    da es ja z. Zt. noch keine APi bei netcup gibt, ging es mit einem workaround mit manual hook.

    https://github.com/jbjonesjr/letsencrypt-manual-hook.


    Bedenkt, am Schnellsten geht es mit den root-ns von netcup in der /etc/resolv.com :)

    Gruß und schönes WE

    Dieter

  • scheini72 entscheidend ist ab wann die Validierungsserver von Lets Encrypt die DNS-Einträge sehen

    von daher brauchst einen DNS mit sehr kleinem TTL damit die Einträge sehr rasch propagiert werden;

    die DNS-Server welche Du unter resolv.conf eingetragen haben, haben darauf keinen Einfluß

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Zitat

    DNS “propagation” is mostly a myth invented to cover up incompetence by people managing DNS records.

    [...]

    Let’s Encrypt will check your authoritative nameservers - so you don’t need to wait for full propagation everywhere.

    Quelle: https://community.letsencrypt.…issuing-certificate/18573


    Das war schon 2016 so. Würde LetsEncrypt die TTL beachten und nicht direkt auf die lokalen Resolver gehen, dann würden sehr viele Leute am DNS scheitern. Dann wäre ein DNS-Challenge bei fast keinem Provider umsetzbar. Viele DNS-Anbieter haben entweder eine hohe Minimum TTL.

    "Security is like an onion - the more you dig in the more you want to cry"

  • daß bei der DNS-challenge auf die authoritativen DNS-Server direkt zugegriffen wird,

    denn dort hätte der hohe Minimum TTL keine Relevanz ...

    denn diese bezieht sich nicht auf die Master/Slave sync.-Geschichte sondern

    auf das was andere DNS Server machen

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)