[Eisfair] dehydrated mit Wildcard-Zertifkat

Rolf Bensch azubi at bensch-net.de
Mo Jan 8 19:38:08 CET 2024 

Hallo Marcus,

Am 08.01.24 um 18:33 schrieb Marcus Röckrath:
> Hallo Rolf,
> 
> Marcus Röckrath wrote:
> 
>>> Konfiguriert ist:
>>>     DEHYDRATED_API_VERSION = 2  ("auto" funktioniert mit
>>>     Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
>> ...
>>>      + Challenge validation has failed :(
>>>     ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>>>     "dns-01"
>>
>> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?

Nein, das löst das Problem nicht:

	Certs_dehydrated was unable to update the certificate
	for the following domain, because the provided challenge
	was invalid.

	Domain: *.myDomain.info
	Result: ["type"]	"dns-01"
	["status"]	        "invalid"
	["error","type"]	"urn:ietf:params:acme:error:unauthorized"
	["error","detail"]	"No TXT record found at _acme-challenge.myDomain.info"
	["error","status"]	403
	["error"]	        {"type":"urn:ietf:params:acme:error:unauthorized","detail":"No TXT record found at _acme-challenge.myDomain.info","status":403}
	["url"]	                "https://acme-v02.api.letsencrypt.org/acme/chall-v3/302088017026/73t32w"
	["token"]	        "UV6Rve7eSbLMzSLBp4OTS2lfDd9_UzOR5bYPENwq7RE"
	["validated"]	        "2024-01-08T18:02:42Z"


> Hier
> https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
> wird das fett hevorgehoben.

Da wird auch beschrieben:

   WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's Encrypt ist _nur möglich_, wenn
     _zeitnah_ DNS-Einträge
     _auf_ dem für die _Domäne zuständigen DNS-Server_
   durchgeführt werden können !!!

Das wäre aktuell meine Fritzbox.

> Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
> Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
> 
> Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte Namen
> angeben.

Tja, das wäre möglich. Gerade getestet: dehydrated läuft mit 2 Subdomains und einer 1st-level-domain problemlos durch. Aktuell scheitert es nur bei Wildcards. Ich denke aber, es ist interessant zu untersuchen, ob Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie möglich sind und wieviel Aufwand damit verbunden ist.

Grüße

Rolf

Mehr Informationen über die Mailingliste Eisfair