Let's Encrypt und ACME-challenge via DNS

  • Hallo,


    ich hätte gerne folgendes getestet - momentan geht ja nur ACMEv01, wildcard und ACMEv02 wird erst ab Ende Feb. aktiviert - und scheitere bei folgendem:


    da es ewig und 3 Tage dauert bis der DNS-Eintrag via CCP funktioniert, hätte ich die folgenden beiden Einträge gemacht:

    Code
    _acme-challenge.ssl     NS    dns01.example.com
    _acme-challenge.ssl     BS    dns02.example.com

    und auf meinem DNS die entsprechende Zone "acme-challenge.ssl.example.com" mit einer TTL von schlappen 10 Minuten;

    aber im CCP wird mir verweigert diese beiden Einträge zu machen ...

    Fehler: Eintrag ungültig: _acme-challenge.ssl NS 0 dns01.example.com Host bei NS-Record falsch.

    warum?;(

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • nein interessanterweise wirft es auch bei folgendem diesen Fehler

    Code
    _acme-challenge      NS     dns01.example.com

    nicht aber bei

    Code
    ssl     NS     dns01.example.com

    warum?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • ich denk das wird bei jeder Domain geliefert, bei denen die DNS-Servern von netcup authoritativ sind ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Hay,


    ich doch nochmal... muss beim Nameservereintrag nicht die komplette Domain angegeben werden, damit die Delegation der Subdomain erfolgreich ist? Also

    Code
    _acme-challenge.ssl.example.com     NS    dns01.example.com

    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • folgendes funktioniert ja

    Code
    anyhost    NS    dns01.example.com

    ob es sich um einen Bug handelt oder so gewollt ist, weiß nur jemand von netcup

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Gunah nö siehe 1 darüber ..., und das hier

    Code
    www.anyhost    NS    dns01.example.com

    funktioniert, es scheint nur am '_acme-challenge' zu liegen, das nur als TXT akzeptiert wird ...

    ich habs irgendwie durchgetestet, das _ macht Probleme, denn

    Code
    acme.ssl    NS    dns01.example.com

    wird akzeptiert, hingegen

    Code
    _acme.ssl    NS    dns01.example.com

    wird mit Fehler zuruckgeworfen; ABER

    bei

    Code
    _acme-challenge.ssl    A    127.0.0.1

    kommt dieser Fehler

    Fehler: Eintrag ungültig: _acme-challenge.ssl A 127.0.0.1 Der Host-Eintrag darf nicht leer sein oder aus Sonderzeichen bestehen.

    warum?;(

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Nachtrag: am lokalen BIND hatte ich folgendes in den ZONE-File eingetragen

    Code
    www._host              A    127.0.0.1
    _acme-challenge.ssl    NS   dns01.example.com

    ein 'service named restart' bringt keinen Fehler ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • ich hätte ja kein Problem damit, wenn der genau dieser eine Eintrag ein klein wenig schneller sich verbreiten würde,

    weil ansonsten ist die ACME-challenge via DNS zum Scheitern verurteilt und kein wildcard-Zert. möglich ...

    und nur deswegen die Domains mit eigenen DNS-Servern zu betreiben keinen Sinn macht ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Also ich habe das Thema Letsencrypt/Certbot/Wildcard auch schon in Angriff genommen. Mein System steht und wartet nur auf den offiziellen ACMEv2 Endpoint.

    Allerdings betreibe ich schon zwei externe Nameserver, hinter denen ein hidden-Master steht (alle mit PowerDNS). Auf dem hidden-Master wird ein auth-hook von Certbot angestoßen, der den entsprechenden _acme-challenge-Record setzt. Dieser wird dann per notify auf die beiden Slaves gepusht, währenddessen wartet das auth-hook Script auf die Veröffentlichung der Records, bevor die Validierung stattfindet. Anschließend wird per cleanup-hook aufgeräumt, Zertifikate zugeteilt und Services reloaded.

    Wie gesagt, funktioniert bisher wunderbar mit spezifischen (Sub)domains, ich warte jetzt nur noch auf die Wildcards.

  • ja gut, und genau darum geht es mir ja, genau diesen einen "Host" auf sich selbst zu delegieren ...

    aber das würgt CCP ab ...

    soll ich dafür ein Support-Ticket aufmachen?


    ich verwende dazu das acme.sh Skript

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Hay,


    Code
    _acme-challenge.ssl    NS   dns01.example.com

    jetzt mal ne saudumme Frage: warum ".ssl"? Für mich würde das bei oberflächlicher Betrachtung heißen, dass Du eine domain ssl.example.com anlegen möchtest, die per Letsencrypt gesichert ist.


    Wenn ich das dann richtig verstanden habe --- würde es da dann nicht auch reichen, einfach mit


    Code
    ssl    NS   dns01.example.com
    -oder konformer bei Delegation-
    ssl.example.com NS dns01.example.com

    die ssl-Subdomain delegierst und auf dem dns01 dann die _acme-challange - Subsubdomain anlegst?


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • CmdrXay ".ssl" ist "historisch" begründet, sprich:

    http://www.example.com wie erwartet HTTP und ssl.example.com HTTPS


    zu Deiner DNS-Delegation Anmerkung: ja das würde gehen, aber nur f. spezifische Hosts,

    mit der Sache, daß dann auch der A/AAAA-Record dieses Hosts von dns01.example.com aufgelöst wird;


    und bei den ab Ende Feb. möglichen Wildcards gibt es diesen "Workaround" nicht ...;(

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Der Support ([NC#2018021510002763]) hat sich mit folgendem gemeldet:

    Quote

    Sie besitzen bei uns einen virtuellen Server. Wir stellen Ihnen die Laufzeitumgebung bereit. Zu individueller Software und zur Einrichtung können wir keinen Support geben. Nach Einrichtung haben wir keinen Zugriff mehr auf Ihr System. Die Einrichtung und Konfiguration Ihrer Dienste und Pflege obliegt Ihrer Verantwortung.

    hat jemand eine Idee, wie man das hinbekommt, ohne die DNS-Auflsg. der gesamten Domain auf meinen vServer zu verlagern?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)