Natürlich kann man Port 80 und 443 auf der FritzBox forwarden, denn das Admin Interface ist ja im Normalfall nur intern erreichbar.
forum.netcup.de/system/attachment/6008/
Und natürlich kann man ein SAN mit CNAMES drin erstellen. Beliebige, egal wem die Domain gehört und was dahinter sonst noch so kommt. Schließlich ist $SOFTWARE im Normalfall egal, ob da jetzt ne IP oder nen CNAME hinter hängt. Kümmert sich ja das DNS drum.
Außerdem prüft http-01 einfach nur, ob die Domain auf meinen Server zeigt.
acme.sh --issue \
-d hi.netcup.forum.serverless.industries \
-d hi.netcup.forum.perryflynn.de \
-d hi.netcup.forum.nerdbridge.de \
-d linse.anyserver.net \
-w /var/www/html/
forum.netcup.de/system/attachment/6005/
$ nslookup linse.anyserver.net
Non-authoritative answer:
Name: linse.anyserver.net
Address: 91.40.102.180
$ nslookup hi.netcup.forum.serverless.industries
Non-authoritative answer:
hi.netcup.forum.serverless.industries canonical name = linse.anyserver.net.
Name: linse.anyserver.net
Address: 91.40.102.180
$ nslookup hi.netcup.forum.perryflynn.de
Non-authoritative answer:
hi.netcup.forum.perryflynn.de canonical name = linse.anyserver.net.
Name: linse.anyserver.net
Address: 91.40.102.180
$ nslookup hi.netcup.forum.nerdbridge.de
Non-authoritative answer:
hi.netcup.forum.nerdbridge.de canonical name = linse.anyserver.net.
Name: linse.anyserver.net
Address: 91.40.102.180
Alles anzeigen
(Eine Domain von den gezeigten gehört übrigens nicht mir, dass ist also auch kein Problem)
Wobei ich gerade nicht kreativ genug bin einen Grund zu finden, wieso ich die DynDNS Adresse in das Cert mit reinnehmen sollte, wenn ich in der Anwendung ausschließlich den CNAME benutze. Auch das ist allen Anwendungen jenseits der DNS Auflösung vollkommen egal, weil die da eh nichts von mitbekommen.
Das einzige was da wirklich eine Ausstellung verhindern kann, ist ein CAA Record der letencrypt.org explizit ausschließt.