Let's Encrypt-Zertifikat ausstellen, wenn DNS "round robin" verwendet wird?

Status
Not open for further replies.
Q

qhkaekoxkz

Guest
Hallo zusammen

Das scheint oft Probleme zu geben - insbesondere dann, wenn die Let's Encrypt-Server das Zerti ausstellen und dann der "falsche" A-Record (innerhalb des DNS round robin) drankommt...

Wie löst man dieses Problem? A-Record statt mehrere Einträge (eben "round robin") vorübergehend auf 1 Eintrag umstellen und dann jeweils das Zerti ausstellen lassen? Allerdings: Ich kann mir nicht vorstellen, dass dies reibungslos funktioniert - auch wenn man für 1 Domain mit 2 Einträgen mit "round robin" das jeweils einzeln ausstellen liess - später wird man dem A-Record ja wieder den 2. Eintrag hinzufügen.... und spätestens wenn sich die Zertis automatisch aktualisieren sollen (alle 3 Monate oder so) wird's wieder Stress machen.

Aktuell habe ich 2 Domains, auf beide Domains sollen beide IP-Adressen (also 2x das Gleiche); verwenden tu ich dazu den "nginx Reverse Proxy Mananger" (https://nginxproxymanager.com/ ), welcher als (SSL-)Reverse Proxy fungiert...

Vielen Dank für die Feedbacks! :)
 
Auth via DNS

(oder den Acme-Auth-Path auf ein ded. System leiten und von dort aus dann die Zerts nach Austellen / Renew verteilen - das Verteilungsproblem hast Du ja so oder so...)
 
Hallo marce

"Auth via DNS"
Click to expand...


Vielen Dank für das super schnelle Feedback. das tönt sehr interessant! :-)

Gibt es vielleicht irgendwo eine (brauchbare) Anleitung wie man sowas reibungslos hinkriegt?
 
letsencrypt.org

Challenge Typen

Wenn Sie ein Zertifikat von Let’s Encrypt erhalten, überprüfen unsere Server, ob Sie die Domänennamen in diesem Zertifikat mithilfe von “Challenges” steuern, die im ACME-Standard definiert sind. Meistens wird diese Validierung automatisch von Ihrem ACME-Client durchgeführt. Wenn Sie jedoch...
letsencrypt.org
 
Noch 2 kurze off-topic-Fragen @Admin:

- Warum ist der Profil-admin-Bereich plötzlich in Englisch? (Soviel ich weiss war er heute morgen noch Deutsch...!?)
- Warum wird mir die Signatur nicht angezeigt?
 
Last edited by a moderator:
Es stellt sich dabei die Kernfrage, wie man das handhaben muss denn der Let's Encrypt-Server die Daten im "well-known" Verzeichnis abfragen will, dann aber dummerweise der falsch Round Robin-Eintrag innerhalb des A-Records drankommt... dann wird wohl nix mit dem "well-known"-Verzeichnis... ;-)
 
Und dabei ist der Fall dass

a.) IP "A": Die eine IP (von diesem Anbieter habe ich mehr als eine) ist direkt öffentlich an den VMs angebunden. Dabei habe ich aktuell 2 IPs, welche auf 2 versch. virt. Maschinen (Dev/Test sowie produktiv) gehen. Dort drauf sind KEINE "Apache Virtual Hosts" drauf - die (End)Web-Server liefern also immer das Gleiche aus...

JEDOCH

b.) IP "B": Die andere IP (von einem anderen Provider) ist jedoch nur 1-fach vorhanden und muss erst über den "nginx Proxy Manager" und wird von dort dann nach http://192.168.71.10:80 (produktiv) sowie http://192.168.71.20:80 (Dev/Test) geleitet - je nach Domain, der die IP auflöst.

Der eine Round-Robin-IP-Eintrag innerhalb des A-Records legt also sein "well-known" auf dem (End)Web-Server ab, der andere Round-Robin-IP-Eintrag auf dem "nginx Proxy Manager"...
 
Wenn du deine ACME-Challenge per DNS durchführst, wird der Code nicht auf einem Webserver sondern als TXT-Record im DNS hinterlegt. Auch darüber kann die Domain verifiziert wird. Es wird kein well-known Verzeichnis auf dem Webserver abgefragt.
 
Genau sowas habe ich eben vermutet (war mangels Praxiserfahrung aber nicht 100% sicher) - vielen Dank!! :-)
 
Wurde das aus der offiziellen Doku gestrichen? Das letzte Mal, dass ich sie gelesen habe, stand es noch drin...
 
Irgendwie werde ich aus der ganzen Sache auch nur halbwegs schlau... aber am MO werde ich das Ganze try-and-error-mässig auf einem Testsystem durchspielen... früher oder später erreiche ich mein Vorhaben - zumindest so wie meistens... ;-)
 
Auf A machst Du DNS mit dem Certbot mit DNS-01 challenge, mit dem Nginx Proxy Manager (NPM) kann man auf B die DNS Challenge selbst im GUI einstellen. Wenn Du DNS-01 verwendest, kannst Du Dir auch gleich ein Wildcard Zertifikat (*.domain.tld) für die Domain holen und dieses dann mehrfach verwenden, das geht mit der HTTP Challenge nicht.

Ich verwende als DNS-01 fähigen DNS Server Cloudflare für die betreffenden Domains ( https://certbot-dns-cloudflare.readthedocs.io/en/stable/ ).

Vielleicht wäre ja auch eine Realisierung über Docker und Docker Swarm für Dich relevant: https://docs.docker.com/engine/swarm/key-concepts/ , da könnte man sich evtl noch einige Ressourcen und ggfalls IP Adressen sparen. NPM gibt es natürlich auch als Container, der super dafür geeignet ist, NichtSSL-HTTP Container mit LE Zertifikaten zu versorgen.
 
Besten Dank!! :-)

@Admin: Irgendwie erhalte ich keine Benachrichtigungs-Mails, demzufolge erfahre ich nicht, wenn mir auf einen Beitrag geantwortet wird. Ggf. wäre es sinnvoll, die Absender-Mailadresse der Foren-SW in meiner SPAM-Whitelist zu vermerken...
 
Das hat nichts mit Deiner Spam-Whitelist zu tun (für die Du zuständig wärest und nicht der Admin des Forums) sondern mit den Einstellungen in deinem Profil.
 
Hm, da bin ich mir aber nicht so sicher...(?)

333.JPG


sowie

222.JPG


Oder ich habe eine Regel definiert, welche das Mail löscht - versehentlich. Ist mir auch schon passiert. Wobei man bei meinem Mail-Anbieter gar nicht vollständig löschen kann per Mail-Regel... denn unter "löschen" wird dort das Verschieben in den "Papierkorb" verstanden. Und dort drin ist ebenfalls nix.

-> *@serversupportforum.de habe ich übrigens bereits in der Spam-Whitelist...

Mal bei meinem Account ein wenig genauer reinschauen, vielen Dank für dein Feedback!!
 
Alternativer ansatz: Proxy pass /.well-known/acme-challenge/ zu einer festen IP / Node auf der das cert erstellt werden soll. Anschließend das cert auf die Server verteilen.
 
Status
Not open for further replies.
Back
Top