[Eisfair] Certs_dehydrated dns-01 challenge mit Cloudflare

Olaf Jaehrling eisfair at ojaehrling.de
Do Nov 5 12:44:48 CET 2020 

Hallo Christian,

Christian Richter schrieb am 05.11.20 um 11:31:

> 
> 
> Hallo Marcus, hallo Jürgen,
> 
> also, gerne beschreibe ich einmal was ich eigentlich möchte.
> Also ich habe z.Zt einen Webserver @home stehen auf Basis eines
> eisfair-ng, der mittels DynDNS (von Cloudflare) erreichbar ist. Die
> letsencrypt Zertifikate werden z.Zt noch von meiner IPFire Firewall
> mittels dehydrated und der cfhookbash aktuell gehalten.

Das ist ja nichts anderes als wenn man noip oder dyndns verwendet, oder?

> 

> Irgentwie hatte ich es in der Vergangenheit auch nicht geschafft die
> http-01 challenge zu verwenden, weshalb ich die DNS-01 challenge als
> Mittel der Wahl angesehen habe.
> Da ich ein Wildcard Zertifikat erstellen lasse, geht sowieso nur die
> DNS-01 challenge. (Dazu sollte meiner Meinung nach noch ein Hinweis in
> die Doku des Paketes. Ich habe mich immer gewundert warum in die
> /etc/dehydrated/config immer wieder die DNS-01 anstatt wie in der Config
> des Paketes eingetragenen http-01 reingeschrieben wird.)

ok, das ist bei mir anders. Ich nutze z.Z noch kein wikldcard. Aber
eigentlich sollte es kein Unterschied sein.
Deshalb hier mal meine Konfig vom E64 (Den du ja jetzt einsetzen möchtest)

DEHYDRATED_DOMAIN_N='1'
DEHYDRATED_DOMAIN_1_ACTIVE='yes'
DEHYDRATED_DOMAIN_1_NAME='bugs.olaf.no-ip.org:subdomain.olaf.no-ip.org'
DEHYDRATED_DOMAIN_1_USAGE='all'
DEHYDRATED_HOOK_CHAIN='no'
DEHYDRATED_HOOK_CMD_N='6'
DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_1_EXEC='/root/scripts/mein_dehydrated_update.sh'
DEHYDRATED_HOOK_CMD_1_OPTIONS='start'
DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_3_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_3_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_3_OPTIONS='--cleanup-certs'
DEHYDRATED_HOOK_CMD_4_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_4_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_4_EXEC='/root/scripts/mein_dehydrated_update.sh'
DEHYDRATED_HOOK_CMD_4_OPTIONS='stop'
DEHYDRATED_HOOK_CMD_5_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_5_TYPE='invalid_challenge'
DEHYDRATED_HOOK_CMD_5_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_5_OPTIONS='--send-challenge-warning'
DEHYDRATED_HOOK_CMD_6_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_6_TYPE='exit_hook'
DEHYDRATED_HOOK_CMD_6_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_6_OPTIONS='--restart-eisfair-services-on-request'


CMD 1 und 4 werden dazu verwendet bestimmt Kommandos vorher auf dem EIS
auszuführen. In meinem Fall die Apachekonfig leicht anzupassen und Ports
in der Firewall öffnen, damit letsencrypt nicht immer auf die ... fällt.
CMD 1 ändert die Konfig, CMD 4 macht es wieder rückgängig :)

Wenn diese Konfig verwendet wird, ist es egal, ob es dyndns oder
cloudflare ist. Du hast ja bestimmt eine dynamische Domain (in meinem
Fall olaf.no-ip.org) bekommen. Diese trägst du bei Domain_Name ein.
Evlt. mit * für die wildcard.


@ Marcus. Christian möchte weg von eisfair-ng und zu eisfair-64 (nicht
eisfair1) wechseln. :)


Gruß

Olaf


> 
> Ich hoffe ein wenig Licht ins Dunkel gebracht zu haben.
> 
> Gruß
> Christian
> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt

Mehr Informationen über die Mailingliste Eisfair