Let's Encrypt und ACME-challenge via DNS

  • Hallo,


    ich hätte gerne folgendes getestet - momentan geht ja nur ACMEv01, wildcard und ACMEv02 wird erst ab Ende Feb. aktiviert - und scheitere bei folgendem:


    da es ewig und 3 Tage dauert bis der DNS-Eintrag via CCP funktioniert, hätte ich die folgenden beiden Einträge gemacht:

    Code
    1. _acme-challenge.ssl NS dns01.example.com
    2. _acme-challenge.ssl BS dns02.example.com

    und auf meinem DNS die entsprechende Zone "acme-challenge.ssl.example.com" mit einer TTL von schlappen 10 Minuten;

    aber im CCP wird mir verweigert diese beiden Einträge zu machen ...

    Fehler: Eintrag ungültig: _acme-challenge.ssl NS 0 dns01.example.com Host bei NS-Record falsch.

    warum?;(

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • ich denk das wird bei jeder Domain geliefert, bei denen die DNS-Servern von netcup authoritativ sind ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • Gunah nö siehe 1 darüber ..., und das hier

    Code
    1. www.anyhost NS dns01.example.com

    funktioniert, es scheint nur am '_acme-challenge' zu liegen, das nur als TXT akzeptiert wird ...

    ich habs irgendwie durchgetestet, das _ macht Probleme, denn

    Code
    1. acme.ssl NS dns01.example.com

    wird akzeptiert, hingegen

    Code
    1. _acme.ssl NS dns01.example.com

    wird mit Fehler zuruckgeworfen; ABER

    bei

    Code
    1. _acme-challenge.ssl A 127.0.0.1

    kommt dieser Fehler

    Fehler: Eintrag ungültig: _acme-challenge.ssl A 127.0.0.1 Der Host-Eintrag darf nicht leer sein oder aus Sonderzeichen bestehen.

    warum?;(

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • Nachtrag: am lokalen BIND hatte ich folgendes in den ZONE-File eingetragen

    Code
    1. www._host         A 127.0.0.1
    2. _acme-challenge.ssl    NS dns01.example.com

    ein 'service named restart' bringt keinen Fehler ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • ich hätte ja kein Problem damit, wenn der genau dieser eine Eintrag ein klein wenig schneller sich verbreiten würde,

    weil ansonsten ist die ACME-challenge via DNS zum Scheitern verurteilt und kein wildcard-Zert. möglich ...

    und nur deswegen die Domains mit eigenen DNS-Servern zu betreiben keinen Sinn macht ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • Also ich habe das Thema Letsencrypt/Certbot/Wildcard auch schon in Angriff genommen. Mein System steht und wartet nur auf den offiziellen ACMEv2 Endpoint.

    Allerdings betreibe ich schon zwei externe Nameserver, hinter denen ein hidden-Master steht (alle mit PowerDNS). Auf dem hidden-Master wird ein auth-hook von Certbot angestoßen, der den entsprechenden _acme-challenge-Record setzt. Dieser wird dann per notify auf die beiden Slaves gepusht, währenddessen wartet das auth-hook Script auf die Veröffentlichung der Records, bevor die Validierung stattfindet. Anschließend wird per cleanup-hook aufgeräumt, Zertifikate zugeteilt und Services reloaded.

    Wie gesagt, funktioniert bisher wunderbar mit spezifischen (Sub)domains, ich warte jetzt nur noch auf die Wildcards.

  • ja gut, und genau darum geht es mir ja, genau diesen einen "Host" auf sich selbst zu delegieren ...

    aber das würgt CCP ab ...

    soll ich dafür ein Support-Ticket aufmachen?


    ich verwende dazu das acme.sh Skript

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • Hay,


    Code
    1. _acme-challenge.ssl NS dns01.example.com

    jetzt mal ne saudumme Frage: warum ".ssl"? Für mich würde das bei oberflächlicher Betrachtung heißen, dass Du eine domain ssl.example.com anlegen möchtest, die per Letsencrypt gesichert ist.


    Wenn ich das dann richtig verstanden habe --- würde es da dann nicht auch reichen, einfach mit


    Code
    1. ssl NS dns01.example.com
    2. -oder konformer bei Delegation-
    3. ssl.example.com NS dns01.example.com

    die ssl-Subdomain delegierst und auf dem dns01 dann die _acme-challange - Subsubdomain anlegst?


    CU, Peter

  • CmdrXay ".ssl" ist "historisch" begründet, sprich:

    http://www.example.com wie erwartet HTTP und ssl.example.com HTTPS


    zu Deiner DNS-Delegation Anmerkung: ja das würde gehen, aber nur f. spezifische Hosts,

    mit der Sache, daß dann auch der A/AAAA-Record dieses Hosts von dns01.example.com aufgelöst wird;


    und bei den ab Ende Feb. möglichen Wildcards gibt es diesen "Workaround" nicht ...;(

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • Der Support ([NC#2018021510002763]) hat sich mit folgendem gemeldet:

    Zitat

    Sie besitzen bei uns einen virtuellen Server. Wir stellen Ihnen die Laufzeitumgebung bereit. Zu individueller Software und zur Einrichtung können wir keinen Support geben. Nach Einrichtung haben wir keinen Zugriff mehr auf Ihr System. Die Einrichtung und Konfiguration Ihrer Dienste und Pflege obliegt Ihrer Verantwortung.

    hat jemand eine Idee, wie man das hinbekommt, ohne die DNS-Auflsg. der gesamten Domain auf meinen vServer zu verlagern?

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018