Let's Encrypt startet Wildcard-Zertifikate

Hallo!

Das liest sich interessant/gut!

http://www.admin-magazin.de/News/Let-s-Encrypt-startet-Wildcard-Zertifikate?utm_source=Newsletter&utm_campaign=ADMIN-Newsletter-2018-11&utm_medium=email

Beste Grüße

Thorsten

Yepp, geht aber im Moment nur mit DNS-Validierung, andere Moeglichkeiten sind in Planung.

Hallo zusammen,

ich wollte mal nach einem generellen workflow für die neuen Wldcard-Zertifikate von LetsEncrypt fragen.

Da ich volle Kontrolle über die Domain habe, konnte ich schon testweise ein Wildcard-Zertifikat für die Domain bekommen.

Meine Idee wäre jetzt gewesen, dass ein Server (z.B. Nextcloud in derDMZ das Zertifikat regelmäßig updatet und dieses Zertifikt dann per Cron Job auf den Linuxmuster-Server und den Unifi-Controller-Server usw. kopiert wird bzw. von diesem per SCP abgeholt werden.

Oder wie würdet ihr das machen?

Viele Grüße
Manuel

Hi.
Daran scheitert es auch hier gerade. Die domain example.org ist vollständig bei uns auf einem vServer verwaltbar.

Ich hatte es bisher via http-01 versucht, was aber nicht für alle Clients in der Domain klappt (s. Parallelthread). Das Verfahren via dns-01 wird zum Beispiel hier beschrieben:

Dort gibt es auch bereits hooks für diverse Anbieter – allerdings klappte das hier bisher alles nicht wie erhofft. Der allround-Weg scheint via “lexicon” zu laufen. Aber das habe ich mir nicht mehr näher angesehen.

Michael

Hallo Michael,

ein Wildcard Zertifikat habe ich wie hier beschrieben erfolgreich erzeugt (mit DNS Challenge - Die Domain verwalte ich über INWX):

Mir ging es jetzt mehr darum, wie ich das Zertifikat innerhalb des Schulnetzes auf die einzelnen Server verteile.

Viele Grüße
Manuel

Das Verteilen hatte Tobias doch mit seinem hook hier dargestellt, meine ich?

Michael

Hallo,

ja, danke für den Hinweis. Stimmt.
Die hook.sh von dehydratisiert müsste ja auch auf meine Certbot-Variante anpassbar sein und per Cron-Job aufrufbar.

Grüße

Hier nochmal eine Ergänzung. Wenn man dieser Seite folgt, versteht man die Erstellung von Wildcard-Zertifikaten via dns-01-Challenge besser, fand ich. Dort wird’s zwar mit certbot anstelle von dehydrated gezeigt, aber mir war danach klar, wie die DNS-TXT-Records auszusehen haben!

Es bleibt das Problem, dass man die passende hook.sh benötigt, die mit dem Provider auch klar kommt. Ansonsten hat man alle 3 Monate Handarbeit für diese TXT-Records vor sich :frowning:

Und genau da habe ich mit HostEurope zur Zeit noch schlechte Karten, fürchte ich?! (HostEurope wird im Moment noch als “Potential providers” bei lexicon aufgeführt. Vielleicht habt ihr da mehr Glück?
Schöne Grüße,
Michael