Let's Encrypt-Zertifikat ausstellen, wenn DNS "round robin" verwendet wird?

Status
Not open for further replies.
Q

qhkaekoxkz

Guest
Hallo zusammen

Das scheint oft Probleme zu geben - insbesondere dann, wenn die Let's Encrypt-Server das Zerti ausstellen und dann der "falsche" A-Record (innerhalb des DNS round robin) drankommt...

Wie löst man dieses Problem? A-Record statt mehrere Einträge (eben "round robin") vorübergehend auf 1 Eintrag umstellen und dann jeweils das Zerti ausstellen lassen? Allerdings: Ich kann mir nicht vorstellen, dass dies reibungslos funktioniert - auch wenn man für 1 Domain mit 2 Einträgen mit "round robin" das jeweils einzeln ausstellen liess - später wird man dem A-Record ja wieder den 2. Eintrag hinzufügen.... und spätestens wenn sich die Zertis automatisch aktualisieren sollen (alle 3 Monate oder so) wird's wieder Stress machen.

Aktuell habe ich 2 Domains, auf beide Domains sollen beide IP-Adressen (also 2x das Gleiche); verwenden tu ich dazu den "nginx Reverse Proxy Mananger" (https://nginxproxymanager.com/ ), welcher als (SSL-)Reverse Proxy fungiert...

Vielen Dank für die Feedbacks! :)
 

marce

Well-Known Member
Auth via DNS

(oder den Acme-Auth-Path auf ein ded. System leiten und von dort aus dann die Zerts nach Austellen / Renew verteilen - das Verteilungsproblem hast Du ja so oder so...)
 
Q

qhkaekoxkz

Guest
Hallo marce

"Auth via DNS"


Vielen Dank für das super schnelle Feedback. das tönt sehr interessant! :)

Gibt es vielleicht irgendwo eine (brauchbare) Anleitung wie man sowas reibungslos hinkriegt?
 
Q

qhkaekoxkz

Guest
Noch 2 kurze off-topic-Fragen @Admin:

- Warum ist der Profil-admin-Bereich plötzlich in Englisch? (Soviel ich weiss war er heute morgen noch Deutsch...!?)
- Warum wird mir die Signatur nicht angezeigt?
 
Last edited by a moderator:
Q

qhkaekoxkz

Guest
Es stellt sich dabei die Kernfrage, wie man das handhaben muss denn der Let's Encrypt-Server die Daten im "well-known" Verzeichnis abfragen will, dann aber dummerweise der falsch Round Robin-Eintrag innerhalb des A-Records drankommt... dann wird wohl nix mit dem "well-known"-Verzeichnis... ;-)
 
Q

qhkaekoxkz

Guest
Und dabei ist der Fall dass

a.) IP "A": Die eine IP (von diesem Anbieter habe ich mehr als eine) ist direkt öffentlich an den VMs angebunden. Dabei habe ich aktuell 2 IPs, welche auf 2 versch. virt. Maschinen (Dev/Test sowie produktiv) gehen. Dort drauf sind KEINE "Apache Virtual Hosts" drauf - die (End)Web-Server liefern also immer das Gleiche aus...

JEDOCH

b.) IP "B": Die andere IP (von einem anderen Provider) ist jedoch nur 1-fach vorhanden und muss erst über den "nginx Proxy Manager" und wird von dort dann nach http://192.168.71.10:80 (produktiv) sowie http://192.168.71.20:80 (Dev/Test) geleitet - je nach Domain, der die IP auflöst.

Der eine Round-Robin-IP-Eintrag innerhalb des A-Records legt also sein "well-known" auf dem (End)Web-Server ab, der andere Round-Robin-IP-Eintrag auf dem "nginx Proxy Manager"...
 

danton

Debian User
Wenn du deine ACME-Challenge per DNS durchführst, wird der Code nicht auf einem Webserver sondern als TXT-Record im DNS hinterlegt. Auch darüber kann die Domain verifiziert wird. Es wird kein well-known Verzeichnis auf dem Webserver abgefragt.
 
Q

qhkaekoxkz

Guest
Genau sowas habe ich eben vermutet (war mangels Praxiserfahrung aber nicht 100% sicher) - vielen Dank!! :)
 

Joe User

Zentrum der Macht
Wurde das aus der offiziellen Doku gestrichen? Das letzte Mal, dass ich sie gelesen habe, stand es noch drin...
 
Q

qhkaekoxkz

Guest
Irgendwie werde ich aus der ganzen Sache auch nur halbwegs schlau... aber am MO werde ich das Ganze try-and-error-mässig auf einem Testsystem durchspielen... früher oder später erreiche ich mein Vorhaben - zumindest so wie meistens... ;-)
 

Thunderbyte

Moderator
Staff member
Auf A machst Du DNS mit dem Certbot mit DNS-01 challenge, mit dem Nginx Proxy Manager (NPM) kann man auf B die DNS Challenge selbst im GUI einstellen. Wenn Du DNS-01 verwendest, kannst Du Dir auch gleich ein Wildcard Zertifikat (*.domain.tld) für die Domain holen und dieses dann mehrfach verwenden, das geht mit der HTTP Challenge nicht.

Ich verwende als DNS-01 fähigen DNS Server Cloudflare für die betreffenden Domains ( https://certbot-dns-cloudflare.readthedocs.io/en/stable/ ).

Vielleicht wäre ja auch eine Realisierung über Docker und Docker Swarm für Dich relevant: https://docs.docker.com/engine/swarm/key-concepts/ , da könnte man sich evtl noch einige Ressourcen und ggfalls IP Adressen sparen. NPM gibt es natürlich auch als Container, der super dafür geeignet ist, NichtSSL-HTTP Container mit LE Zertifikaten zu versorgen.
 
Q

qhkaekoxkz

Guest
Besten Dank!! :)

@Admin: Irgendwie erhalte ich keine Benachrichtigungs-Mails, demzufolge erfahre ich nicht, wenn mir auf einen Beitrag geantwortet wird. Ggf. wäre es sinnvoll, die Absender-Mailadresse der Foren-SW in meiner SPAM-Whitelist zu vermerken...
 

marce

Well-Known Member
Das hat nichts mit Deiner Spam-Whitelist zu tun (für die Du zuständig wärest und nicht der Admin des Forums) sondern mit den Einstellungen in deinem Profil.
 
Q

qhkaekoxkz

Guest
Hm, da bin ich mir aber nicht so sicher...(?)

333.JPG


sowie

222.JPG


Oder ich habe eine Regel definiert, welche das Mail löscht - versehentlich. Ist mir auch schon passiert. Wobei man bei meinem Mail-Anbieter gar nicht vollständig löschen kann per Mail-Regel... denn unter "löschen" wird dort das Verschieben in den "Papierkorb" verstanden. Und dort drin ist ebenfalls nix.

-> *@serversupportforum.de habe ich übrigens bereits in der Spam-Whitelist...

Mal bei meinem Account ein wenig genauer reinschauen, vielen Dank für dein Feedback!!
 

MadMakz

Member
Alternativer ansatz: Proxy pass /.well-known/acme-challenge/ zu einer festen IP / Node auf der das cert erstellt werden soll. Anschließend das cert auf die Server verteilen.
 
Status
Not open for further replies.
Top