Cname Record LetsEncrypt Zertifikat durchreichen

  • Hallo zusammen,


    ich habe über die Fritte ein DynDns über einen Drittanbieter laufen (meinedomain.anbieter.org). Soweit läuft dieser auch stabil und liefert die aktuelle IP der Fritte durch. So dass ich meine Anwendungen sauber aufrufen kann (Nginx fängt die Domain auf und leitet weiter). Da mir nun der Aufruf einer doch sehr langen URL unschön vorkommt, wollte ich über CNAME mein Webhosting nutzen.

    Jetzt stehe ich vor dem Problem, dass Nginx über Letsencryt zwar die Hauptdomain "anwendung.meinedomain.anbieter.org" verschlüsselt aber wenn ich den Cname aufrufe "anwendung.hosting.de" dann ist dieser unverschlüsselt. Hat jemand hier eine Lösung für?


    Ich hatte zwar noch als Ausweg überlegt das DynDns über netcup Api zu bewerkstelligen aber das scheint mir mehr kompliziert, als dass ich leider auch keine Anleitung gefunden habe, die handreichend ist.


    Grüße,

    Sover

  • "anwendung.hosting.de" und "anwendung.meinedomain.anbieter.org" sind verschiedene Domains und müssen entweder im Zeritifikat beide erwähnt werden oder jeweils ein eigenes Zertifikat haben. Wenn du "anwendung.hosting.de" in deinem Nginx konfigurierst und ein entsprechendes Zertifikat bei Letsencrypt besorgst und in deinem Nginx installierst, dann klappt es auch mit der Verschlüsselung. Dass die zwei Domains über den CNAME zur selben IP-Adresse führen, hat für die Zertifikate keine Bedeutung. Die Domains könnten genausogut auf verschiedenen Servern liegen.

  • Danke dir für die schnelle Antwort. Das beide Domains ein Zertifikat brauchen hab ich mir schon gedacht.
    Ich habe im Nginx auch beide Domains eingetragen, leider meldet Nginx bei der Zertifikatserstellung einen Fehler. Habe jetzt ein Tool genommen und gleiches Result:


    2024/07/15 11:33:26 Domain verification results for 'anwendung.hosting.de': error. 78.48.15.57: Invalid response from http://anwendung.hosting.de/.well-known/acme-challenge/JWMJKyehdKUVSDnzWu1ays-vf9A9kZxz33lp2J6_E8o: 404

    2024/07/15 11:33:26 You can now delete the 'JWMJKyehdKUVSDnzWu1ays-vf9A9kZxz33lp2J6_E8o' file.

    2024/07/15 11:33:29 Domain verification results for 'www.anwendung.hosting.de': error. DNS problem: NXDOMAIN looking up A for http://www.anwendung.hosting.de - check that a DNS record exists for this domain; DNS problem: NXDOMAIN looking up AAAA for http://www.anwendung.hosting.de - check that a DNS record exists for this domain

    2024/07/15 11:33:29 You can now delete the 'p-aXzcQhLqqUDvwcpqZR2nrYNBtj-QuxHFq1hVcaZ1E' file.

    2024/07/15 11:33:29 All verifications failed

    Aus dem Fehlerlog sieht es so aus als ob LetsEncrypt mit dem Cname Record nicht klar kommt (A, AAA Record existiert hier nicht für die Subdomain).

    PS: habe oben die Domain ersetzt durch Platzhalter.


    Edit:
    Den Cname eintrag "anwendung.hosting.de" habe ich auf die domain "meinedomain.anbieter.org" laufen, dieser löst dann die IP aus. Liegt hier der Fehler?

  • wenn ich den Cname aufrufe "anwendung.hosting.de" dann ist dieser unverschlüsselt

    2024/07/15 11:33:29 Domain verification results for 'www.anwendung.hosting.de': error. DNS problem: NXDOMAIN looking up A for http://www.anwendung.hosting.de - check that a DNS record exists for this domain; DNS problem: NXDOMAIN looking up AAAA for http://www.anwendung.hosting.de - check that a DNS record exists for this domain


    Den Cname eintrag "anwendung.hosting.de" habe ich auf die domain "meinedomain.anbieter.org" laufen, dieser löst dann die IP aus. Liegt hier der Fehler?

    Im ersten Beitrag wird die Existenz eines CNAME-Eintrags für die Unterdomäne "anwendung" erwähnt – für diese ist NGINX offenbar nicht richtig konfiguriert, daher der 404(file not found)-Fehler.

    Im zweiten Beitrag wird zusätzlich gezeigt, dass ein Zertifikat für die Unter(unter)domäne "www.anwendung" angefordert wurde – das erfordert aber zwingend einen zweiten CNAME-Eintrag (für "www.anwendung"), denn der vorhergenannte CNAME-Eintrag funktioniert wirklich nur für eine Ebene.

    EDIT: Alternativ – wenn der entsprechende Anbieter dies unterstützt – kann die gewünschte Funktionalität in diesem Fall durch einen einzigen DNAME-Eintrag realisiert werden (vgl. RFC2672), welcher beide CNAME-Einträge (und ggf. weitere) ersetzt.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Edited once, last by m_ueberall ().

    Thanks 1
  • 404(file not found)-Fehler.

    Unter(unter)domäne "www.anwendung" angefordert wurde – das erfordert aber zwingend einen zweiten CNAME-Eintrag (für "www.anwendung")

    EDIT: Alternativ – DNAME-Eintrag realisiert werden (vgl. RFC2672), welcher beide CNAME-Einträge (und ggf. weitere) ersetzt.

    Das hilft schon mal super weiter!
    Cname für "www.anwendung" ist nun erstellt. Zertifikate gehen nun auch zu erstellen und Verbindung wird als sicher eingestuft. :thumbup:


    DNAME geht bei dem Kollegen Anbieter leider nicht.