Lets Encrypte Zertifikat mit OPNSense Plugin

    Hallo Zusammen


    Ich versuche nun seit ein paar Tagen ein Zertifikat für eine OPNSense über das ACME Plugin abzurufen. Das ganze über die DNS Challenge. Die Einstellungen die ich dafür gemacht habe, habe ich auch in einem NGINX_Reverse_Proxy getestet. Dort gehen Sie ohne Probleme. Gebe ich selben Daten ins ACME Plugin ein, geht das Erstellen des Zertifikat schief. Denn FQDN für das Zertifikat ist bei Netcup als CNAME angelegt. Als CA habe ich beim ersten Mal, Let's Encrypt Test CA angeben, dort hat es dann auch einmal funktioniert. Darauf hin habe ich die CA auf default umgestellt und ging es dann nicht mehr.




    2023-05-18T11:55:12 opnsense AcmeClient: validation for certificate failed: XXXX.XXXXX.de
    2023-05-18T11:55:12 opnsense AcmeClient: domain validation failed (dns01)
    2023-05-18T11:55:07 opnsense AcmeClient: running acme.sh command: /usr/local/sbin/acme.sh --issue --syslog 7 --debug --server 'letsencrypt_test' --dns 'dns_netcup' --dnssleep '600' --home '/var/etc/acme-client/home' --certpath '/var/etc/acme-client/certs/6465f5c85bee71.17496951/cert.pem' --keypath '/var/etc/acme-client/keys/6465f5c85bee71.17496951/private.key' --capath '/var/etc/acme-client/certs/6465f5c85bee71.17496951/chain.pem' --fullchainpath '/var/etc/acme-client/certs/6465f5c85bee71.17496951/fullchain.pem' --domain 'xxxx.xxxxxx.de' --domain 'xxxx.xxxxxx.de' --days '1' --keylength 'ec-384' --accountconf '/var/etc/acme-client/accounts/645d0c36c6d181.04328786_stg/account.conf'
    2023-05-18T11:55:07 opnsense AcmeClient: using challenge type: Netcup
    2023-05-18T11:55:07 opnsense AcmeClient: account is registered: ACME Zertifikate

    Ist der TXT-Record denn schon erreichbar, wenn es fehlschlägt? Am Besten mal manuell prüfen: dig txt _acme-challenge.example.net @root-dns.netcup.net


    Wenn ich raten müsste, ist --dnssleep mit 600 Sekunden eventuell zu niedrig. Das würde ich sicherheitshalber verdoppeln oder verdreifachen. Die Zonen werden bei netcup nur alle 10 Minuten neu generiert, ich habe aber vereinzelt auch schon 20 Minuten beobachtet.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    3 Mal editiert, zuletzt von KB19 () aus folgendem Grund: Handy + Wurstfinger

    Ich bekomme als Antwort

    root: # dig txt _acme-challenge.xxxx.xxxxxx.de @root-dns.netcup.net


    ; <<>> DiG 9.18.14 <<>> txt _acme-challenge.xxxx.xxxxx.de @root-dns.netcup.net

    ;; global options: +cmd

    ;; Got answer:

    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36439

    ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

    ;; WARNING: recursion requested but not available


    ;; OPT PSEUDOSECTION:

    ; EDNS: version: 0, flags:; udp: 1232

    ; COOKIE: 84759031b98695930100000064662c791526ca105b77a453 (good)

    ;; QUESTION SECTION:

    ;_acme-challenge.xxx-xxxxx.de. IN TXT


    ;; AUTHORITY SECTION:

    xxx-xxxxx.de. 86400 IN SOA root-dns.netcup.net. dnsadmin.netcup.net. 2023051838 28800 7200 1209600 86400


    ;; Query time: 20 msec

    ;; SERVER: 46.38.225.225#53(root-dns.netcup.net) (UDP)

    ;; WHEN: Thu May 18 15:47:37 CEST 2023

    ;; MSG SIZE rcvd: 160

    Den neuen TXT-Record siehst Du dazwischen aber schon im CCP? Ansonsten suchen wir den Fehler an der falschen Stelle.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()