Let’s Encrypt: Wildcard Zertifikate - mit Acme Package noch warten



  • Hallo,

    Let’s Encrypt hat ja für Anfang 2018 Wildcard Zertifikate angekündigt.

    Nun will ich das Acme Package in Verbindung mit einem HA Proxy Package installieren, würdet Ihr noch warten bis es die Wildcard Zertifikate gibt?
    Kann das Acme Package schon mit den Wildcard Zertifikaten umgehen oder muss noch ein Package Update kommen?


  • LAYER 8 Moderator

    Hi,

    das Paket nutzt ganz normal einen ACME Client. Dieser wird sicherlich noch geupdated, aber davon abgesehen wird der Client einfach ganz normal "beantragen", was konfiguriert wird. Wenn man also *.blubb.de beantragt wird er den Request rausschicken und momentan auf die Nase fallen, weil es noch keine Wildcards gibt. Das Paket an sich muss dafür aber nichts wirklich dazulernen, da wird höchstens acme.sh - also der ACME Client - aktualisiert.

    Allerdings muss man das auch nicht wirklich haben/machen, sondern kann einfach auch mal loslaufen mit dem Package und normalen Zertifikaten. Wenn du nicht vorhast, mit dem Proxy 50 Domains aus der gleichen Domain zu bedienen, kann man auch erstmal mit einzelnen Zertifikaten loslegen :)



  • Hi,

    Wenn du nicht vorhast, mit dem Proxy 50 Domains aus der gleichen Domain zu bedienen, kann man auch erstmal mit einzelnen Zertifikaten loslegen :)

    Nee, sind nur 5. Dann lege ich mal los.

    Und danke für die schnelle Antwort  :)



  • Auch auf die gefahr hin mich unbeliebt zu machen:

    Genau das hatte ich eigentlich vor.
    Einen Squid-Reverse-Proxy zu bauen, der mir den HTTPS-Mist abnimmt und mit wenigen Wildcards auskommt.

    Dann rennen die User zum Proxy und bekommen dort ihre Verschlüsselung und ich muss nicht Zertifikate auf X-Servern mit verschiedenster Software pflegen.

    Das passende Tutorial fehlt mir leider noch - daher werde ich wohl später wieder zum Fragen hier aufschlagen - sorry.

    Mich wundert ehrlich warum das noch kein anderer vor mir gemacht hat ????


  • Banned

    Edit: Falsch gelesen. Schau dir mal https://doc.pfsense.org/index.php/Haproxy_package an.


  • LAYER 8 Moderator

    @trixters: haben schon genug Leute gemacht, allerdings eben nicht mit Wildcards sondern mit einzelnen Zertifikaten. SSL Termination via Proxy (meistens HAproxy) oder Loadbalancer ist nichts Abgefahrenes :) Und bei einer halbwegs passablen Umsetzung ist da kein Wildcard notwendig. Seit LE richtig am Start ist brauchen wir überall, wo wir sonst mit Wildcards genutzt haben inzwischen auf einzelne Zertifikate umgestiegen ohne große Probleme. Darum der Kommentar von LE bzw. mir: Wildcards nur wo es nötig ist :)


Log in to reply