Das längste Thema

  • Du verlinkst nur eine Paywall. Daher kann ich dir nicht helfen.

    Du nennst es Paywall, von mir aus; es ging nur darum, zu zeigen dass es nicht geht;

    da Du aber das Gegenteil meinst, dann bitte ich darum, das hier verwende ich ...

    https://github.com/Neilpang/acme.sh

    und ehrlich was ich an den verlinkten/zitierten Passagen weiter oben gelesen habe,

    muss man ja wohl sagen, daß hier ein failure by design vorliegt;

    und sauber ist das sicher nicht;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • zu zeigen dass es nicht geht;

    da Du aber das Gegenteil meinst, dann bitte ich darum, das hier verwende ich ...


    https://github.com/Neilpang/acme.sh

    Funktioniert wunderbar damit, ich verwende acme.sh mit direktem Zugriff auf die netcup DNS API und bekomme ein Zertifikat, dass sowohl meinedomain.tld als auch *.meinedomain.tld abdeckt. Dass mehrere TXT Records unter dem gleichen Key erlaubt sind steht ja schon oben.


    Und Let's Encrypt schreibt ja auch selbst:

    Orders that contain both a base domain and its wildcard equivalent (e.g. *.example.com and example.com) are valid. In that case, there will be two authorization objects in the order for “example.com 229”, one of which represents the wildcard validation and one of which represents the base domain validation. Redundant entries will produce an error. For instance, and order containing both *.example.com and www.example.com would produce an error since the wildcard entry makes the latter redundant.



    Der Zitierte Beitrag ist direkt in den FAQ verlinkt: https://letsencrypt.org/docs/faq/

  • Funktioniert wunderbar damit, ich verwende acme.sh mit direktem Zugriff auf die netcup DNS API und bekomme ein Zertifikat, dass sowohl meinedomain.tld als auch *.meinedomain.tld abdeckt.

    dann lass mal sehen, wie Du das acme.sh aufrufst ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • dann lass mal sehen, wie Du das acme.sh aufrufst ...

    Kannst du nicht selber googeln!? Für jemanden in einem IT-Forum muss man hier aber ziemlich oft mit Basics aushelfen..


    Erstes Suchergebnis. Sogar der ENTWICKLER des Tools selbst gibt in seinem Beispiel genau deinen Anwendungsfall an:

  • janxb klar kann ich selbst googlen, aber niemand liefert das gesuchte;


    dass das da

    acme.sh --issue -d example.com -d *.example.com --dns dns_myapi --dnssleep 240

    funktioniert hilft mir nicht;


    ich brauch es mit dem eigenen CSR, bei dem da

    acme.sh --signcsr --csr mycsr.req --dns dns_myapi --dnssleep 240 --force

    kommen die seltsamsten Fehler


    ich will jetzt aber nicht die Frage bekommen, wieso ich den eigenen CSR brauch;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • mainziman du könntest es ja trotzdem erstmal ohne CSR probieren um herauszufinden, ob es grundsätzlich Probleme gibt oder nur mit eigenem CSR.

    Falls du als DNS API die von netcup verwendest reicht dnssleep von 240 nicht aus (ich habe 560 gesetzt, bin aber noch nicht ganz sicher ob das in jedem Fall reicht)

    Auch könntest du den manual mode probieren: https://github.com/Neilpang/acme.sh/wiki/dns-manual-mode

    Das ist natürlich keine Dauerlösung, aber eignet sich auch super dazu herauszufinden ob es generell mit der Validierung Probleme gibt oder eventuell mit der DNS API.

  • moritzh ohne CSR geht es, hier reichen die 240 (eigener DNS);

    mit CSR geht es eben nur wenn der SubjectAltName nur *.example.com ist; der CN im Subject ist *.example.com;

    das Warum das so ist, erhellt sich mir nicht;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • [...] bis auf den anderen Key keinen Unterschied zu meinem CSR festgestellt;;(

    Ockhams Rasiermesser zufolge wurde da etwas übersehen. Sofern das bislang nicht diskutiert wurde, bleibt da nur https://github.com/Neilpang/acme.sh/issues/new

    (Inklusive Dokumentation, wie der eigene CSR erstellt wurde; ggf. mit Kopie zweier analog generierter CSRs für example.org; im worst case kann man ja auch acme-csr-test-0001.de für ein Jahr reservieren, wenn man die eigene Domäne nicht preisgeben will.)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE

  • Hay,

    Here we go again

    für die Zwischenzeit (ist ja schon 17h her)...

    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • mit der Erkenntnis, daß Wildcard Zertifikate, die so erstellt sind, sodaß die maximale Kompatibilität gewahrt ist

    mit eigenem CSR nicht gehen ...

    dein Beispiel vmk vom crt.sh wurde nicht so erstellt, schlechtes Beispiel; :D


    quittiert wird dies vom acme.sh mit dem Fehler ...


    Sign failed, code is not 200.

    {"type":"urn:ietf:params:acme:error:unauthorized","detail":"Error finalizing order :: Order includes different number of names than CSR specifies","status": 403}


    die Fehlerstelle im acme.sh habe ich auch lokalisiert


    die Fkt. _readSubjectAltNamesFromCSR()


    hier findet sich diese Zeile


    _dnsAltnames="$(printf "%s" "$_dnsAltnames," | sed "s/DNS:$_csrsubj,//g")"


    und wenn der CN des Subjects z.B. '*.example.com' lautet, dann entfernt der Suchstring bei sed den falschen Teil

    die Variable $_dnsAltnames hat vorher z.B. 'DNS:*.example.com,DNS:example.com'

    und nachher an Stelle von 'DNS:example.com,' aber den falschen Wert 'DNS:*.example.com,'

    an der Bugbehebung bin ich dran ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • man ersetze diese eine oben genannte Zeile durch


    Code
    if [ "${_csrsubj:0:1}" == "*" ]; then
      _csrsubjTmp="\\$_csrsubj"
      _debug "Wildcard in subject found"
    else
      _csrsubjTmp="$_csrsubj"
    fi
    _debug _csrsubjTmp "$_csrsubjTmp"
    _dnsAltnames="$(printf "%s" "$_dnsAltnames," | sed "s/DNS:$_csrsubjTmp,//g")"

    der verflixte '*' :D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Ob dieses Routing wohl beabsichtigt ist? Über Wien und Amsterdam in die Schweiz: