[Eisfair] Certs_dehydrated dns-01 challenge mit Cloudflare

Christian Richter christian at richter-ch.de
Do Nov 5 11:31:45 CET 2020


Am 05.11.20 um 09:26 schrieb Marcus Röckrath:
> 
> Allerdings bin ich insgesamt auch etwas verwirrt, was genau gewollt wird.
> 
> Was hat denn der eis mit Cloudfare zu tun?
> 
> Vielleicht kann Christian ja mal eine ausführlichere Beschreibung seines
> Anliegens machen.
> 


Hallo Marcus, hallo Jürgen,

also, gerne beschreibe ich einmal was ich eigentlich möchte.
Also ich habe z.Zt einen Webserver @home stehen auf Basis eines 
eisfair-ng, der mittels DynDNS (von Cloudflare) erreichbar ist. Die 
letsencrypt Zertifikate werden z.Zt noch von meiner IPFire Firewall 
mittels dehydrated und der cfhookbash aktuell gehalten.

Da ich aber gerade mein Netzwerk ein wenig umorganisiere und meinen 
(virtuellen) Serverpark verschlanken möchte, soll jetzt ein neu 
aufgesetzter eisfair64 die Aufgaben des Web- und Mailservers übernehmen.
Die Firewall wird auch ersatzlos gestrichen, da der 
Konfigurations/Wartungsaufwand in keinem Verhältnis zum Nutzen steht.
Da liegt es doch nah, auch die Zertifikate vom eisfair64 managen zu lassen.

Irgentwie hatte ich es in der Vergangenheit auch nicht geschafft die 
http-01 challenge zu verwenden, weshalb ich die DNS-01 challenge als 
Mittel der Wahl angesehen habe.
Da ich ein Wildcard Zertifikat erstellen lasse, geht sowieso nur die 
DNS-01 challenge. (Dazu sollte meiner Meinung nach noch ein Hinweis in 
die Doku des Paketes. Ich habe mich immer gewundert warum in die 
/etc/dehydrated/config immer wieder die DNS-01 anstatt wie in der Config 
des Paketes eingetragenen http-01 reingeschrieben wird.)

Wie gesagt, auf der Firewall war das mit dehydrated und der cfhookbash 
kein Hexenwerk.

Beim eisfair brech ich mir die Ohren.
Es gibt für dehydrated ja nun mal schon fertige hooks für alle möglichen 
DNS-Anbieter, da denke ich mir ja, das ich die auch ohne großes Tamtam 
in den (E)asy(I)nternet(S)erver einbinden können sollte.



 >> dosenbrot # perl certs-download-mozilla-ca-bundle.pl
 >                     ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
 > welchen Sinn soll es machen die CA-Bundles über einen
 > certs_dehydrated-Hook herunterladen zu wollen? Dies verstehe
 > ich nicht. Root-Zertifikate legt man einmal auf seinem Server
 > ab und das war es dann.

Ich wollte doch gar nicht die CA-Bundles über einen 
certs_dehydrated-Hook herunterladen.
Da ich aber immer wieder einen Curl SSL Fehler bekommen habe wurde mir 
geraten einmal das CA-Bundle zu nstallieren. Das hat über das Menü aber 
nicht gelklappt, deshalb habe ich versucht das über die Konsole 
anzustossen. Das war sogesehen eine andere Baustelle, die nicht direkt 
was mit der certs_dehydrated-Hook zu tun hatte, nur in dem Kontext 
aufgetaucht war.

Ich hoffe ein wenig Licht ins Dunkel gebracht zu haben.

Gruß
Christian



Mehr Informationen über die Mailingliste Eisfair