[Closed - Impossible] Lets Encrypt ACMEv2 | RFC 2136 Update | Strato



  • Hallo Zusammen,

    benötige mal wieder eure Schwarm-Intelligenz. Hoffe jemand hat eine Idee für mein Problem :-)

    Hat schon jemand ein Lets Encrypt Wildcard Zertifikat für eine bei Strato registrierte Domain mit automatischer Verlängerung hinbekommen? Wollte das gern mittels DNS-NSupdate / RFC 2136 einrichten, bin aber irgendwie nicht dazu in der Lage.

    Was muss ich denn in die Felder eintragen?

    Aktuell steht bei mir folgendes:
    Domainname: *.domain.eu
    Server:https://dyndns.strato.com/nic/update
    Key Name: Leer
    Key Algorithm:HMAC-MD5
    Key: Strato-Kennwort

    Log:

    domain.eu_RFC2136_Updater
    Renewing certificateaccount: wildcard.domain.eu
    server: letsencrypt-production-2

    /usr/local/pkg/acme/acme.sh –issue -d '*.domain.eu' --home '/tmp/acme/domain.eu_RFC2136_Updater/' --accountconf '/tmp/acme/domain.eu_RFC2136_Updater/accountconf.conf' --force --reloadCmd '/tmp/acme/domain.eu_RFC2136_Updater/reloadcmd.sh' --dns 'dns_nsupdate' --log-level 3 --log '/tmp/acme/domain.eu_RFC2136_Updater/acme_issuecert.log'

    Array
    (
    [path] => /etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin/
    [PATH] => /etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin/
    [NSUPDATE_SERVER] => /tmp/acme/domain.eu_RFC2136_Updater/.domain.eu/nsupdate
    [NSUPDATE_KEYNAME] =>
    [NSUPDATE_KEYALGO] => 157
    [NSUPDATE_KEY] => /tmp/acme/domain.eu_RFC2136_Updater/
    .domain.eu/nsupdate
    )
    [Sun Apr 8 19:59:17 CEST 2018] Single domain='.domain.eu'
    [Sun Apr 8 19:59:17 CEST 2018] Getting domain auth token for each domain
    [Sun Apr 8 19:59:22 CEST 2018] Getting webroot for domain='
    .domain.eu'
    [Sun Apr 8 19:59:22 CEST 2018] Found domain api file: /usr/local/pkg/acme/dnsapi/dns_nsupdate.sh
    [Sun Apr 8 19:59:22 CEST 2018] adding _acme-challenge.domain.eu. 60 in txt "Zeichenfolgefüracmechallengederdomainblabla"
    couldn't get address for 'https://dyndns.strato.com/nic/update': not found
    [Sun Apr 8 19:59:22 CEST 2018] error updating domain
    [Sun Apr 8 19:59:22 CEST 2018] Error add txt for domain:_acme-challenge.domain.eu
    [Sun Apr 8 19:59:22 CEST 2018] Please check log file for more details: /tmp/acme/domain.eu_RFC2136_Updater/acme_issuecert.log

    Wäre sehr dankbar, wenn jemand einen Hinweis hat, was ich falsch mache.

    Viele Grüße


  • Moderator

    Ich bin verwirrt. Was ist hier jetzt konkret die Frage? Wie du dein DynDNS konfigurierst? Oder das ACME Package? Zudem ist Strato m.W. kein RFC2136 sondern macht Dyndns mittels Interface bzw. UpdateURL. Echtes dynamisches DNS nach RFC2136 läuft ja über einen DNS Key der erstellt wird und entsprechend hinterlegt.

    Daher: um was gehts nun konkret?



  • Hallo,

    danke für deine Antwort. Also einfach gesagt: Ich will ein Wildcard Zertifikat von Lets Encrypt für meine Domain, die bei Strato liegt.
    Eine Idee, wie ich das hin bekomme?

    Viele Grüße


  • Moderator

    a) wofür Wildcard
    b) für Wildcard muss der ACME Client DNS Text Einträge erzeugen können/dürfen. Das sollte man erstmal hinterfragen ob das überhaupt funktioniert bei Strato. Nachdem ich mir die Liste angeschaut habe - NEIN.

    Daher: Kurze Suche wäre vielleicht erfolgreich gewesen: https://www.heise.de/ct/ausgabe/2018-4-SSL-TLS-Zertifikate-gratis-fuer-alle-3953332.html
    Zitat:

    Wer seine Webseiten bei einem der hiesigen Platzhirsche wie 1&1, Hetzner oder Strato hostet, kommt entweder gar nicht oder nur durch Eigeninitiative in den Genuss der kostenfreien LE-Zertifikate. So sagt ein Sprecher von Strato auf Nachfrage, dass man „Let’s Encrypt bei den Webhosting-Paketen aktuell nicht unterstützt.“ Bei Server-Produkten von Strato sind zur Installation der LE-Zertifikate root-Rechte nötig (siehe ct.de/y68u). Ansonsten setzt Strato auf DigiCert, weil man „keine Kompromisse bei den Qualitätsansprüchen“ eingehen wolle, so der Sprecher.

    Und JA das bezieht sich auf deren Pakte und Co. Du hast da vielleicht nur ne Domain registriert. Das reicht aber, denn wenn du nicht deinen DNS Service irgendwo hin packst, wo du ne ordentliche API o.ä. hast, dann wird das mit Letsencrypt eben nichts. Das ist mit ein Grund, warum ich mir seit Jahren die ganzen billig-Provider nicht mehr gebe, denn irgendwas scheitert immer an deren Interfaces, Einschränkungen oder nicht vorhandenen (einfachen) Services.

    Grüße



  • Hallo,

    a) Für das einfachere Handlich am Reverse mit mehr als 10 Sites dahinter.
    b) Verstanden. Vollkommen korrekt. Den Artikel habe ich sogar gesehen, aber mich hat wohl die Hoffnung etwas blind gemacht - sorry.

    Dann suche ich mal nach einem Provider bei dem ich sowohl DynDNS als auch Lets Encrypt Wildcard Zertifikate bekommen kann. Hast du da einen Tipp für mich?

    Viele Grüße


  • Moderator

    Dann suche ich mal nach einem Provider bei dem ich sowohl DynDNS als auch Lets Encrypt Wildcard Zertifikate bekommen kann. Hast du da einen Tipp für mich?

    Das hängt davon ab, ob du ein Webhosting damit gebundelt brauchst oder du nur die Domain + Mail bspw. nutzen willst. Da ich direkt kein Webhosting brauche, habe ich meine Domain selbst registriert und nutze für DNS (kostenfrei) Cloudflares DNS Server. Mail wird dann per MX direkt zum Mailprovider geschickt den ich nutze, alles andere kann ich dann selbst eintragen und handeln. Dadurch dass Cloudflare via API von der pfSense genutzt werden kann, sollte das ACME Paket damit sauber funktionieren. Alternativ einen Provider, der einem die Möglichkeit gibt, per (z.B.) PowerDNS (API) seine DNS Einträge selbst zu ändern.
    Dann klappt das recht einfach, wobei ich bei 10 Sites das immer noch einfacher mit normalen einfachen LE Zertifikaten definieren würde :) Dann hat jede Site ihr eigenes Zertifikat und gut. :)

    Grüße



  • Brauche dort kein Webhosting. Nur Domain und DNS.
    Ziemlich cool, dass man das bei Cloudflare so einfach machen kann. Leider kann ich aber meine .eu Domain nicht selbst registrieren, oder habe ich was verpasst?

    GoDaddy müsste auch funktionieren? Könnte ja meine Domain dorthin umziehen.

    Vielen Dank nochmal für deine Tipps!


  • Moderator

    Wo du die Domain verwaltest ist im Prinzip egal, solange dir die Möglichkeit offensteht, eigene DNS Server anzugeben. Das machen durchaus einige Registrare, manche wollen alles bei sich behalten. Evtl. gibts auch was praktischeres als Kombination, aber ich habe einen Anbieter, bei dem ich bei der Registrierung die DNSe angeben kann. Machen bspw. problemlos Schlundtech, der Hetzner Robot und andere Anbieter so. Dann die Domain bei Cloudflare angelegt, die Nameserver bei der Domain eingetragen und losreiten :)



  • Hallo,

    so nochmal abschließend:

    Hab meine Domain jetzt von Strato zu GoDaddy transferiert. Dort kann man mit einem API Key sowohl Dynamic DNS als auch ACME Wildcard Zertifikate erstellen lassen.
    Also alles was ich brauchte klappt jetzt.

    Danke für deine Hilfe!

    Viele Grüße