[Eisfair] dehydrated mit Wildcard-Zertifkat

Olaf Jaehrling eisfair at ojaehrling.de
Mo Jan 8 20:55:39 CET 2024 

Hallo Rolf,

Rolf Bensch schrieb am 08.01.24 um 19:38:
> Hallo Marcus,
> 
> Am 08.01.24 um 18:33 schrieb Marcus Röckrath:
>> Hallo Rolf,
>>
>> Marcus Röckrath wrote:
>>
>>>> Konfiguriert ist:
>>>>     DEHYDRATED_API_VERSION = 2  ("auto" funktioniert mit
>>>>     Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
>>> ...
>>>>      + Challenge validation has failed :(
>>>>     ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>>>>     "dns-01"
>>>
>>> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
> 
> Nein, das löst das Problem nicht:
> 
>      Certs_dehydrated was unable to update the certificate
>      for the following domain, because the provided challenge
>      was invalid.
> 
>      Domain: *.myDomain.info
>      Result: ["type"]    "dns-01"
>      ["status"]            "invalid"
>      ["error","type"]    "urn:ietf:params:acme:error:unauthorized"
>      ["error","detail"]    "No TXT record found at 
> _acme-challenge.myDomain.info"
>      ["error","status"]    403
>      ["error"]            


Diese Fehlermeldungen hatte ich auch bekommen und keine Möglichkeit 
gefunden zu erkennen was ich aif dem DNS-Server hätte ändern können
> 
>> Hier
>> https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat 

Fein, hier steht drind was man bei certs_dehydrated hinzufügen muss. Das 
werde ich dann mal händisch testen.
>>
>> wird das fett hevorgehoben.
> 
> Da wird auch beschrieben:
> 
>    WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's 
> Encrypt ist _nur möglich_, wenn
>      _zeitnah_ DNS-Einträge

Das ist hier die Frage. Was bedeutet zeitnah. Die normale TTL ist mind 
24 Std. Das hieße man müsste 24h vorher die TTL auf 5 Minuten umstellen. 
Das wiederum bedeutet, dass es nicht mehr automatisch funktionieren würde

>      _auf_ dem für die _Domäne zuständigen DNS-Server_
>    durchgeführt werden können !!!
> 
> Das wäre aktuell meine Fritzbox.
> 
>> Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
>> Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
>>
>> Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte 
>> Namen
>> angeben.
> 
> Tja, das wäre möglich. Gerade getestet: dehydrated läuft mit 2 
> Subdomains und einer 1st-level-domain problemlos durch. Aktuell 
> scheitert es nur bei Wildcards. Ich denke aber, es ist interessant zu 
> untersuchen, ob Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie 
> möglich sind und wieviel Aufwand damit verbunden ist. 

Das wäre am schönsten. Ich teste das mal demnächst und gebe Rückmeldung, 
damit Jürgen das evtl mit einbauen kann.

Gruß

Olaf


Schade
> 
> Grüße
> 
> Rolf
> 
> 
> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt

Mehr Informationen über die Mailingliste Eisfair