Zahlt sich ein LFCS/LFCE Zertifikat eigntlich aus?
Das längste Thema
- fLoo
- Unerledigt
-
-
Ich bin ja auch Reseller für Domains bei verschiedenen Anbietern.
Nun bin ich gewöhnt, dass Kunden auch selber einen Kundenbereich haben und ihre DNS ändern können, oder diese an einen anderen Dienstleister weitergeben können (zB ein Dienstleister, der eine Antispamlösung installiert, oder ein anderer Webmaster).
Gerade, wenn mal eine Umstellung länger dauert, oder ich krank bin kann ein Kunde selbst nicht nachsehen, dies könnte ja tatsächlich für die Kunden ziemlich stressig sein.
Nun realisiere ich gerade, dass dies bei Netcup eigentlich nicht geht. Die Domaineinstellungen sind im CCP nur für den Hauptaccount.
Die Lösung wäre wohl die Nameserver von einem Adminpanel (Plesk, Keyhelp, etc.) zu nutzen, da diese auch einen Login bereitstellen.
Oder wie macht ihr das? -
Nachdem ich das TTL geändert hatte war dann aber relativ bald die Domain übersiedelt.
Ich hab dafür bis um 4:30 aufbleiben müssen und musste dann noch mit letzten Kräften 65 Bestellungen aus dem Onlineshop in die Datenbank vom neuen Host manuell einpflegen, weil ein paar User bereits dort auch bestellt hatten und Bestellnummern doppelt vergeben waren. Superstress. Hätte ich das gewusst hätte ich über Tunnel beide Installationen mit derselben Datenbank verbunden.
-
Zahlt sich ein LFCS/LFCE Zertifikat eigntlich aus?
solche Zertifizierungen sind eine gewaltige Geld-Druck-Maschinerie, ähnlich wie die bei Microsoft;
machen nur Sinn, wenn mans braucht;
-
solche Zertifizierungen sind eine gewaltige Geld-Druck-Maschinerie, ähnlich wie die bei Microsoft;
machen nur Sinn, wenn mans braucht;
Insofern zahlt es sich aus, für wen auch immer ...
-
acme.sh läuft auch völlig problemlos mit nem 15 Minuten wait timer.
Läuft bei mir auch mit nem 300s timer ohne Probleme. Also 5min ⏲️?
-
Afaik war das nie anders.
Vielleicht wurden Anfangs bei Privatkunden die Einträge von Hand überprüft und erst dann freigeschaltet?
Oder ich hatte bei meinen Tests einfach immer nur Pech.
Wie dem auch sei, ich bleibe bei meinen eigenen Nameservern. Hier stört mich nur Extrem, daß man diese nicht direkt beim Registrieren oder Umziehen einer Domain eintragen kann. So hat man entweder immer Ausfälle, oder unnütze Mehrarbeit, weil man die Zone für 1-2 Tage auf die NC NS duplizieren muss...
-
acme.sh läuft auch völlig problemlos mit nem 15 Minuten wait timer.
Macht bestimmt Spaß, damit ein Cert mit 80-100 Einträgen zu Signieren...
-
Macht bestimmt Spaß, damit ein Cert mit 80-100 Einträgen zu Signieren...
Wieso? Die Wartezeit läuft doch nur einmal, nachdem alle benötigten Records hinzugefügt wurden. Die werden ja gemeinsam überprüft von LE. (Glaube ich zumindestens, ich nutze acme.sh nicht!)
Will man mehrere solcher Monsterzertifikate erstellen, könnte man es parallel anstoßen. Und die Überprüfung der Domain entfällt oftmals sogar, wenn sie erst kürzlich stattgefunden hat. (Gleicher LE Account vorausgesetzt.)
-
Wieso? Die Wartezeit läuft doch nur einmal, nachdem alle benötigten Records hinzugefügt wurden. Die werden ja gemeinsam überprüft von LE. (Glaube ich zumindestens, ich nutze acme.sh nicht!)
Den Logs nach zu urteilen wartet acme.sh wirklich nach jedem DNS Eintrag die entsprechende Wartezeit und fährt dann erst mit der nächsten Domain fort. Einen 15 Minuten Wait Timer finde ich jetzt aber auch etwas übertrieben. Da würde ich dann eher den DNS Provider wechseln als so etwas zu akzeptieren, falls das wirklich notwendig sein sollte. Ich selbst habe hier 5 Sekunden konfiguriert (ich nutze aber auch nicht die Netcup DNS API).
-
KB19 So ist es, zuerst werden die DNS-Einträge gemacht dann der Timer und dann werden die der Reihe nach validiert und dann signiert
und die selbe Prozedur zum entfernen der DNS-Einträge;
wobei: ich hab bei mir schlappe 240 Sekunden und keine Probleme
(ok, ich nutz meinen eigenen Bind f. die acme-....Domains)
-
Nun realisiere ich gerade, dass dies bei Netcup eigentlich nicht geht. Die Domaineinstellungen sind im CCP nur für den Hauptaccount.
Die Lösung wäre wohl die Nameserver von einem Adminpanel (Plesk, Keyhelp, etc.) zu nutzen, da diese auch einen Login bereitstellen.
Oder wie macht ihr das?Netcup hat eine DNS-API, da wird es allerdings sicher nirgends ein Webinterface für geben, da müsste man sich selbst was basteln.
Nutzt du Plesk o.ä. sollte beachtet werden, dass in der Regel mindestens zwei Nameserver notwendig sind.
Ich habe eine Zeit lang eigene DNS-Server betrieben (mit Webinterface für Kundenlogin), mittlerweile nutze ich aber einen externen Anbieter dafür. Dieser hat wiederum sowohl eine API als auch ein Webinterface, in dem ich Kundenaccounts anlegen kann. Das kann ich auch nur empfehlen, DNS ist einer der Dienste, die man mMn problemlos outsourcen kann. Hängt natürlich von der Anzahl der Domains ab, irgendwann wird es sich finanziell meist nicht mehr lohnen.
Während es natürlich super ist, dass netcup kostenfreie Nameserver bereitstellt, haben diese auch ein paar Nachteile. Einer davon: Wenn man irgendwann die Domain wegtransferieren oder auch nur die Nameserver umstellen möchte, löscht netcup auf der Stelle die Zone von den Servern, was mal eben zu einer Nichterreichbarkeit der Domain für bis zu einem Tag führen kann (denn bis die neuen Server überall bekannt sind kann es einige Zeit dauern ...).
-
Wieso? Die Wartezeit läuft doch nur einmal, nachdem alle benötigten Records hinzugefügt wurden.
Nope,
acme(dns).sh prüft jeden SAN Eintrag einzeln inkl Wartezeit.
Das nervt ja schon bei meinen 20s Wartezeit...
-
So ist es, zuerst werden die DNS-Einträge gemacht dann der Timer
Dann haben wir definitiv verschiedene Scripte.
-
ASS ich hab das von Neilpang
-
Dann haben wir definitiv verschiedene Scripte.
Bei mir läuft acme.sh auch jedes Mal neu durch, inkl. Wartezeit.
Nutze das normale Script zzgl. posthook Script.
Auf dem VPS läuft aber hauptsächlich acme.sh von daher ist es halb so wild, wenn jedes Mal 300sec gewartet wird. Sie Domains werden ja in der Regel nicht am selben Tag fällig.
-
ASS ich hab das von Neilpang
Ja genau. Schau mal in das Skript. Furchtbar zu lesen. Aber der macht da eine for Schleife über die Domains und wartet die dnssleep Zeit entsprechend bei jedem Eintrag.
-
Schau mal in das Skript. Furchtbar zu lesen.
das sind alle Skripte
Aber der macht da eine for Schleife über die Domains und wartet die dnssleep Zeit entsprechend bei jedem Eintrag.
das sieht bei mir aber so aus ...
Zitat[Mon Jan 13 19:19:16 CET 2020] Copy csr to: /root/.acme.sh/*.example.com/*.example.com.csr
[Mon Jan 13 19:19:18 CET 2020] Signing from existing CSR.
[Mon Jan 13 19:19:18 CET 2020] Getting domain auth token for each domain
[Mon Jan 13 19:19:23 CET 2020] Getting webroot for domain='*.example.com'
[Mon Jan 13 19:19:23 CET 2020] Getting webroot for domain='example.com'
[Mon Jan 13 19:19:24 CET 2020] Adding txt value: C70fBb7o6VxPeJSbSKeIcuAXrOcOJa4xxxx5ApGJbJ4 for domain: _acme-challenge.example.com
[Mon Jan 13 19:19:24 CET 2020] Using myapi
[Mon Jan 13 19:19:25 CET 2020] The txt record is added: Success.
[Mon Jan 13 19:19:25 CET 2020] Adding txt value: b-s_LrCY85jTXCapqPMCAkZZc1uztOxxxxPFYDr4nAg for domain: _acme-challenge.example.com
[Mon Jan 13 19:19:25 CET 2020] Using myapi
[Mon Jan 13 19:19:26 CET 2020] The txt record is added: Success.
[Mon Jan 13 19:19:26 CET 2020] Sleep 240 seconds for the txt records to take effect
233
sollte vielleicht anmerken, dass ich Version 2.8.4 habe
-
Ich habe eine Zeit lang eigene DNS-Server betrieben (mit Webinterface für Kundenlogin), mittlerweile nutze ich aber einen externen Anbieter dafür. Dieser hat wiederum sowohl eine API als auch ein Webinterface, in dem ich Kundenaccounts anlegen kann. Das kann ich auch nur empfehlen, DNS ist einer der Dienste, die man mMn problemlos outsourcen kann. Hängt natürlich von der Anzahl der Domains ab, irgendwann wird es sich finanziell meist nicht mehr lohnen.
Grundsätzlich hätte ich definitiv die Möglichkeit mehrere DNS ohne Zusatzkosten zu betreiben, da mehrere Server und mehrere IPs auf einem Proxmox. Aber ich glaube auch DNS eignet sich grundsätzlich recht gut für Outsourcing. Eventuell gibt es da auch etwas mit mehreren Geolocations oder DDoS-Schutz.
-
Bei mir wartet acme.sh pro Zertifikat auch nur 1mal die Zeit ab.