[Eisfair] certs_dehydrated Wechsel auf dns-01 (was: Problem bei certs_dehydrated Zertifikat Update?)

Detlef Paschke schabau at t-online.de
Di Feb 7 17:41:12 CET 2023 

Am 06.02.2023 um 12:52 schrieb Detlef Paschke:

> Ich habe auch die Möglichkeit, auf dns-01 umzusteigen und solchen
> Problemen damit aus dem Weg zu gehen. Aber es tut mir Leid, ich verstehe
> die Doku an dieser Stelle einfach nicht. Ich sehe zwar den Unterschied
> der Challenge-Typen, aber ich bin einfach zu blöd um zu begreifen, wie
> ich einen anderen als den Standard http-01 einzurichten habe.
> 
> Ich habe von meinem Domainanbieter eine Adresse und einen API-Token für
> die DNS-01 Validation. In die Adresse muss neben dem API-Token, die
> Domain und der Wert für den neuen TXT-Record. Das hat wenn ich es
> richtig verstehe, certs_dehydrated als Umgebungsvariablen zur Verfügung.
> (DOMAIN, TOKEN_VALUE)
> Dann würde die Adresse so aussehen.
> 
> https://my.do.de/api/letsencrypt?token=XXX&domain=_acme-challenge.DOMAIN&value=TOKEN_VALUE
> 
> Aber wo muss ich die Zeile nun eintragen? Ich sehe es einfach nicht.

Ich habe es gefunden und meine immer noch, in der DOKU findet sich
nicht, dass für dns-01 ein eigenes Script an den Anfang der
DEHYDRATED_HOOK muss, welches die Aufrufe zum jeweiligen Anbieter macht.

Ich habe es nun herausbekommen. Ich brauchte bei mir ja auch nicht viel,
im Grunde nur den Aufruf einer Adresse. So dachte ich leichtsinniger
Weise, dass ich jetzt recht leicht von http-01 auf dns-01 umstellen
kann. Mit DEHYDRATED_MODE='test' hat auch alles fehlerfrei funktioniert.
Nun dachte ich, es ist alle gut und ich kann auf DEHYDRATED_MODE='live'
wechseln, bekam dann aber diese Meldung.

Request Let’s Encrypt certificate update

Umgebung : live
Challenge: dns-01

Do you want to force a renewal of the certificate(s) (y/n) [no]? y

# INFO: Using main config file /etc/dehydrated/config
Processing schabau.eu with alternative names: helpdesk.schabau.eu
mail.schabau.eu
 + Checking domain name(s) of existing cert... unchanged.
 + Checking expire date of existing cert...
 + Valid till May  8 15:09:45 2023 GMT (Longer than 30 days). Ignoring
because renew was forced!
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting new certificate order from CA...
 + Received 3 authorizations URLs from the CA
 + Handling authorization for schabau.eu
ERROR: Validating this certificate is not possible using dns-01.
Possible validation methods are: http-01
-> Executing hook script 'exit_hook' ...

Press ENTER to continue

Was soll denn jetzt noch nicht stimmen und vor allem in welche Richtung
sollte ich Suchen, wenn der Testdurchlauf absolut fehlerfrei durchläuft?

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu

Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair