Let's Encrypt Wildcard-Zertifikate via Certbot

  • Moin!

    Ich würde mir gerade via Certbot ein Let's Encrypt Wildcard-Zertifikat generieren lassen.

    Dazu muss ich aber immer wieder einen DNS-Eintrag erstellen, der dann zur Verifikation abgefragt wird.

    Certbot unterstützt verschiedene DNS-Update-Protokolle [1].

    Ist darunter auch ein Weg, womit man automatisiert DNS-Einträge für eine netcup-Domäne eintragen lassen kann?


    Viele Grüße

    Alex


    https://certbot.eff.org/docs/using.html#dns-plugins

  • Ich bin mir nicht ganz sicher, aber ich denke die API hat auch Endpoints, um neue Domains zu bestellen. Diese wären dann kostenpflichtig, es handelt sich dabei nicht um das verwalten bisheriger Domains und deren Subdomains.


    Ein anderer Grund dieser Warnung könnte sein, dass ein übermäßiges Updaten der Domain zu erhöhten Kosten für netcup führen kann. Das sollte aber bei einem Cron-Job mit zweimonatiger DNS Challenge pro Domain nicht der Fall sein.


    Vielleicht kann aber nochmal jemand etwas dazu sagen, der mehr dazu weiß.

  • Ich würde das Thema gerne nochmal aufwärmen.


    Ich stehe nämlich auch gerade an dem Punkt, dass ich DNS-Änderunen wegen einem Wildcard Certificate (TXT record) per API durchführen möchte.

    Nun habe ich aber gewisse Hemmungen einen Bedingungen für den APi Key zu akzeptieren wo kein Preis dabei steht. "Die Kosten" ist für mich zu viel Freifahrtschein, sorry :).


    Vielleicht kann sich jemand offizielles hierzu äußern? Danke!


    EDIT: Kaum liest man es zum x-ten Mal, schon kann man es auch anders interpretieren.

    Ich hatte es so verstanden, dass die Kosten für die Genrierung des API Keys (also den Prozess) anfallen. Das war schon schwer zu verstehen bei den hochautomatisierten Prozessen. Man kann es aber auch so verstehen, dass man den ggf. anfallenden Kosten (bspw. Domainregistrierung, etc.), die man durch weitere Aktionen auslöst, zustimmt, sobald man den API Key erstellt.
    Iist etwas ungünstig fomuliert.

  • Wenn ich das Wiki richtig verstehe, kann man nur als Reseller kostenpflichtige API-Teile nutzen. Siehe:


    Die für den normalen Endkunden zugängliche API erlaubt demnach gar keine kostenpflichtige Aktionen wie das Registrieren neuer Domains. Zumindest verstehe ich den offiziellen Wiki-Eintrag so.


    Ich nutze die API auch schon eine ganze Weile u.a. für LE und bin begeistert. :)

  • Naja es gäbe schon eine ziemlich einfache Lösung...

    Netcup müsste nur die Plesk DNS Extension installieren und den Kunden zur Verfügung stellen...

    Wenn dann auf den jeweiligen Servern Port 53 udp/tcp freigeschaltet ist, würde alles funktionieren...


    Benötigt werden nur drei Template Einstellungen...

    NS Record: <domain>. zeigt auf ns1.<domain>.

    TXT Record: _acme-challenge.<domain>. zeigt auf leer

    A Record: ns1.<domain>. zeigt auf <ip.dns>


    Man müsste nur in den Domaineinstellung bei Netcup den NS Record _acme-challenge.domain.tld erstellen und die eigene Domain als Ziel auswählen.

    In Plesk müsste dann in den eigenen DNS nur die oben erwähnten Templates vorhanden sein.


    Dann einfach normal das Wildcard Zertifikat über Plesk erstellen. Plesk trägt automatisch den Code in das TXT Feld im DNS ein.


    Wer nen eigenen Server/vServer mit Plesk benutzt kann das natürlich einfach selber realisieren ! Man spart sich den ganzen Quatsch mit DNS Api & acme.sh & manuell editieren & cron-jobs etc pp...


    Bei der Erneuerung wird geguckt, welcher Nameserver für die Domain _acme-challenge.domain.tld zuständig ist. Das seit ihr in diesem Fall selber... und dort steht dann als TXT der benötigte Sicherheitscode, den Plesk automatisch eintragen kann bei der Erneuerung.