Hallo Steffen,
ich nehme für LE-Zertifikate den ganz normalen Certbot und je nachdem, wo die Domain registriert ist, gibt es da diverse Plugins. Das Ergebnis ist bei uns jetzt folgendes:
- dank Plugin muss überhaupt kein Port nach draußen offen sein, denn nach Aufruf des Certbot legt dieser direkt eine CNAME Challenge an und kann so das Zertifikat verifizieren.
- man bekommt sogar ein Wildcard-Zertifikat (wenn man will). Also „*.meine-Schule.de“ und kann das überall hin verteilen.
- Der Certbot kann auf irgendeiner VM liegen - das Zertifikat wird dann per Hook.sh einfach geholt und verteilt.
Falls du mehr wissen willst, kann ich das gerne noch ausführlicher ausführen.
Ich bin jetzt sehr zufrieden - keine offenen Ports mehr, nur noch ein Zertifikat für alles.
viele Grüße
Manuel