Let’s Encrypt Wild­card Teil 2: Renew

Wie im letz­ten Post zu die­sem The­ma: „So erstel­len Sie ein Let’s Encrypt Wild­card Zer­ti­fi­kat“ ange­kün­digt, kommt hier die Aktua­li­sie­rung wie man Let’s Encrypt Wild­card Zer­ti­fi­ka­te auto­ma­ti­siert erneu­ern kann.

Das Kom­man­do für den Renew unse­res Wild­card­zer­ti­fi­kats

Die Para­me­ter des Kom­man­dos im Detail

  • ser­ver: Gibt den acme chal­len­ge Ser­ver an, der auch Wild­card­zer­ti­fi­ka­te aus­stel­len kann.
  • manu­al: Wird benö­tigt, um die nöti­gen Anga­ben für die Aktua­li­sie­rung des Wild­card­zer­ti­fi­kats benö­tigt.
  • pre­fer­red-chal­len­ge: Gibt an, dass wir die Domain über DNS-01 authen­ti­fi­zie­ren möch­ten.
  • agree-tos: Nimmt auto­ma­ti­siert die Let’s Encrypt Terms of Service an.
  • manu­al-public-ip-log­ging-ok: Stimmt dem Log­ging für die IP zu von der aus das Zer­ti­fi­kat bean­tragt wur­de.
  • manu­al-auth-hook: Ein Script, das dafür sorgt, dass der acme chal­len­ge Ser­ver den rich­ti­gen Token von unse­rem Name­ser­ver abfra­gen kann. Das Skript fin­den Sie wei­ter unten hier im Arti­kel.
  • d: Gibt die Domain an für die wir das Wild­card­zer­ti­fi­kat bean­tra­gen wol­len.

DNS über nsup­date aktua­li­sie­ren

Das Skript nutzt nsup­date und den Key unse­rer Sub­do­main, um den Token für die acme chal­len­ge in die ent­spre­chen­de Zone unse­res Name­ser­vers ein­zu­pfle­gen.

Wir selbst haben kei­nen Arti­kel, der erklärt wie man einen dyna­mi­schen DNS mit nsup­date auf­setzt, aber dafür soll­te es aus­rei­chend Anlei­tun­gen im Netz geben. Falls es Pro­ble­me gibt und Sie bis hier­her gekom­men sind, dür­fen Sie uns ger­ne eine E-Mail mit Ihrer Fra­ge schi­cken. Sofern es unse­re Kun­den­pro­jek­te zulas­sen beant­wor­ten wir die offe­nen Fra­gen ger­ne.

Fazit

Ich bin erstaunt wie ein­fach es am Ende doch ist ein Wild­card Zer­ti­fi­kat über Let’s Encrypt zu bekom­men. Die Magie steckt im manu­al-auth-hook Script. Das kann natür­lich auch für ande­re Mög­lich­kei­ten des Name­ser­ver-Updates ange­passt wer­den, z.B. über eine HTTP Schnitt­stel­len über die man dann per curl die neu­en Infor­ma­tio­nen in den DNS-Ser­ver reicht.

Ganz im Sin­ne des Slo­gans von Let’s Encrypt „Encrypt the ent­i­re web“ bie­ten wir jetzt auch in allen Web­hos­ting Tari­fen SSL Zer­ti­fi­ka­te, natür­lich von Let’s Encrypt, inklu­si­ve mit an.

Let’s Encrypt Wild­card Teil 2: Renew
5 (100%) 1 Bewertung[en]

Andreas Nitsche

Andreas Nitsche

Andreas Nitsche ist Gründer und Inhaber von sixhop.net, dem starken Partner für Hosting und Pflege von Webplattformen. Der leidenschaftliche Webservice-Spezialist und sein Team stehen für zuverlässigen Service in den Bereichen Webhosting, Webentwicklung, Weboptimierung sowie Datensicherheit.
Andreas Nitsche

Letz­te Arti­kel von Andreas Nitsche (Alle anzei­gen)

    2 Gedanken zu “Let’s Encrypt Wild­card Teil 2: Renew

    1. Hal­lo zusam­men,

      wie wür­de den ein auto­ma­ti­scher renew für eine bei 1und1 gehos­te­te Domä­ne ablau­fen?
      Wird immer ein Script benö­tigt um auto­ma­ti­siert die TXT Ein­trä­ge anzu­pas­sen?

      Gruß,
      Heg­geg

      • Hal­lo,

        irgend­wie muss Let’s Encrypt ja sicher­stel­len kön­nen, dass Ihnen die voll­stän­di­ge Domain gehört. Das funk­tio­niert nicht, wenn adresse-im-netz.de oder http://www.adresse-im-netz.de auf einen Web­ser­ver zeigt, d.h. für ein Wild­card­zer­ti­fi­kat wür­de ich kei­ne HTTP-01 Chal­len­ge anneh­men. Des­halb wird das über die DNS-01 Chal­len­ge gemacht, denn wenn sie DNS-Ein­trä­ge für die ent­spre­chen­de Domain anpas­sen kön­nen, dann ist die Wahr­schein­lich­keit, dass Ihnen die Domain auch gehört deut­lich grö­ßer.

        Das Script so wie wir es nut­zen trig­gert ein nsup­date. Es ist aber auch durch­aus mög­lich mit Hil­fe von curl eine URL zu trig­gern, die dann den ent­spre­chen­den DNS Ein­trag hin­ter einem DynDNS Service zu erstel­len. Unser DynDNS Service funk­tio­niert zumin­dest mit einer ein­fa­chen Fritz!Box. Das müss­te ich noch­mal nach­schau­en ob wir auch TXT records per URL set­zen könn­ten.

        Das bedeu­tet für Sie, dass Sie irgend­ei­ne Mög­lich­keit benö­ti­gen, um zeit­nah DNS TXT Records für Ihre Domain mit Hil­fe eines Scripts, set­zen kön­nen.

        Sup­port für ande­re Hos­ter kön­nen wir nicht leis­ten.

        Vie­le Grü­ße
        Andreas Nitsche

    Schreibe einen Kommentar