Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
dehydrated mit Wildcard-Zertifkat
4 views
Skip to first unread message
Rolf Bensch
Jan 8, 2024, 11:26:26 AM1/8/24
to
Hallo zusammen,
ich versuche aktuell ein Wildcard-Zertifikat mit dehydrated zu etablieren. Gegeben ist:
- Eis64 mit Certs-Paket. Das Certs-Paket ist "START_CERTS = no" gesetzt.
- dehydrated in der Version 1.1.9 stable
- Port 80 ist am Router dauerhaft zum Server hin geöffnet.
Konfiguriert ist:
DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit Wildcard-Zertifikaten nicht)
DEHYDRATED_CHALLENGE_TYPE = http-01
Mit
DEHYDRATED_DOMAIN_N = 1
│ DEHYDRATED_DOMAIN_1_ACTIVE = yes
│ DEHYDRATED_DOMAIN_1_NAME = www.myDomain.info
│ DEHYDRATED_DOMAIN_1_USAGE = apache2
kann ich problemlos eine Subdomain zertifizieren. Jetzt geht es darum dieses Zertifikat auf *.myDomain.info umzustellen. Entsprechend den Infos aus diesem Forum setze ich daher:
DEHYDRATED_DOMAIN_1_NAME = myDomain.info:*.myDomain.info:myDomain.info
Das erzeugt zur Aktualisierung einen Fehler:
Activate configuration now (y/n) [yes]?
version (eisfair-64): v1.1.9
creating domains.txt file ...
creating well-known configuration ...
creating index.html file ...
creating certs_dehydrated configuration ...
creating files/links required by eisfair ...
+ domain 'myDomain.info':
- skipped.
checking alpn server hook state ...
checking package usage definition ...
checking symbolic links to certificate ...
+ domain 'myDomain.info':
- skipped.
looking for dead symbolic link to certificate files ...
adding cronjob ...
creating logrotate configuration ...
Creating Apache2 configuration ...
activating modules...
done activating modules
phpSysInfo: Write domain 'www.myDomain.info/phpsysinfo' config ... [ OK ]
* Restarting Disk Cache Cleaning Daemon for Apache HTTP Server ... [ OK ]
* Stopping The Apache HTTP Server ... [ OK ]
* Starting The Apache HTTP Server ... [ OK ]
requesting/updating certificate(s) ...
# INFO: Using main config file /etc/dehydrated/config
Processing myDomain.info with alternative names: *.myDomain.info
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 2 authorizations URLs from the CA
+ Handling authorization for myDomain.info
+ Handling authorization for myDomain.info
+ 2 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for myDomain.info authorization...
-> Executing hook script 'invalid_challenge' ...
+ Cleaning challenge tokens...
+ Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "dns-01"
["status"] "invalid"
["error","type"] "urn:ietf:params:acme:error:unauthorized"
["error","detail"] "No TXT record found at _acme-challenge.myDomain.info"
["error","status"] 403
["error"] {"type":"urn:ietf:params:acme:error:unauthorized","detail":"No TXT record found at _acme- challenge.myDomain.info","status":403}
["url"] "https://acme-v02.api.letsencrypt.org/acme/chall-v3/302078626256/4OhwcA"
["token"] "OXF9Qws7hRDsqeajy1R-kOuHbV0onz2JFCjHH8SJ9cQ"
["validated"] "2024-01-08T16:21:11Z")
-> Executing hook script 'exit_hook' ...
finished.
* Stopping certs_dehydrated.service ... [ OK ]
Press ENTER to continue
Wie bekomme ich das in den Griff?
Grüße
Rolf
ich versuche aktuell ein Wildcard-Zertifikat mit dehydrated zu etablieren. Gegeben ist:
- Eis64 mit Certs-Paket. Das Certs-Paket ist "START_CERTS = no" gesetzt.
- dehydrated in der Version 1.1.9 stable
- Port 80 ist am Router dauerhaft zum Server hin geöffnet.
Konfiguriert ist:
DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit Wildcard-Zertifikaten nicht)
DEHYDRATED_CHALLENGE_TYPE = http-01
Mit
DEHYDRATED_DOMAIN_N = 1
│ DEHYDRATED_DOMAIN_1_ACTIVE = yes
│ DEHYDRATED_DOMAIN_1_NAME = www.myDomain.info
│ DEHYDRATED_DOMAIN_1_USAGE = apache2
kann ich problemlos eine Subdomain zertifizieren. Jetzt geht es darum dieses Zertifikat auf *.myDomain.info umzustellen. Entsprechend den Infos aus diesem Forum setze ich daher:
DEHYDRATED_DOMAIN_1_NAME = myDomain.info:*.myDomain.info:myDomain.info
Das erzeugt zur Aktualisierung einen Fehler:
Activate configuration now (y/n) [yes]?
version (eisfair-64): v1.1.9
creating domains.txt file ...
creating well-known configuration ...
creating index.html file ...
creating certs_dehydrated configuration ...
creating files/links required by eisfair ...
+ domain 'myDomain.info':
- skipped.
checking alpn server hook state ...
checking package usage definition ...
checking symbolic links to certificate ...
+ domain 'myDomain.info':
- skipped.
looking for dead symbolic link to certificate files ...
adding cronjob ...
creating logrotate configuration ...
Creating Apache2 configuration ...
activating modules...
done activating modules
phpSysInfo: Write domain 'www.myDomain.info/phpsysinfo' config ... [ OK ]
* Restarting Disk Cache Cleaning Daemon for Apache HTTP Server ... [ OK ]
* Stopping The Apache HTTP Server ... [ OK ]
* Starting The Apache HTTP Server ... [ OK ]
requesting/updating certificate(s) ...
# INFO: Using main config file /etc/dehydrated/config
Processing myDomain.info with alternative names: *.myDomain.info
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 2 authorizations URLs from the CA
+ Handling authorization for myDomain.info
+ Handling authorization for myDomain.info
+ 2 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for myDomain.info authorization...
-> Executing hook script 'invalid_challenge' ...
+ Cleaning challenge tokens...
+ Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "dns-01"
["status"] "invalid"
["error","type"] "urn:ietf:params:acme:error:unauthorized"
["error","detail"] "No TXT record found at _acme-challenge.myDomain.info"
["error","status"] 403
["error"] {"type":"urn:ietf:params:acme:error:unauthorized","detail":"No TXT record found at _acme- challenge.myDomain.info","status":403}
["url"] "https://acme-v02.api.letsencrypt.org/acme/chall-v3/302078626256/4OhwcA"
["token"] "OXF9Qws7hRDsqeajy1R-kOuHbV0onz2JFCjHH8SJ9cQ"
["validated"] "2024-01-08T16:21:11Z")
-> Executing hook script 'exit_hook' ...
finished.
* Stopping certs_dehydrated.service ... [ OK ]
Press ENTER to continue
Wie bekomme ich das in den Griff?
Grüße
Rolf
Marcus Röckrath
Jan 8, 2024, 12:20:03 PM1/8/24
to
Hallo Rolf,
Rolf Bensch wrote:
> Konfiguriert ist:
> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
--
Gruß Marcus
[eisfair-Team]
Rolf Bensch wrote:
> Konfiguriert ist:
> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
...
> + Challenge validation has failed :(
> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
> "dns-01"
Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
> + Challenge validation has failed :(
> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
> "dns-01"
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Jan 8, 2024, 12:40:03 PM1/8/24
to
Hallo Rolf,
Marcus Röckrath wrote:
>> Konfiguriert ist:
>> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
>> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
> ...
>> + Challenge validation has failed :(
>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>> "dns-01"
>
> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
Hier
https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
wird das fett hevorgehoben.
Könntest du auf dns-Challenge umstellen?
Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte Namen
angeben.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath wrote:
>> Konfiguriert ist:
>> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
>> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
> ...
>> + Challenge validation has failed :(
>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>> "dns-01"
>
> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
wird das fett hevorgehoben.
Könntest du auf dns-Challenge umstellen?
Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte Namen
angeben.
--
Gruß Marcus
[eisfair-Team]
Rolf Bensch
Jan 8, 2024, 1:38:11 PM1/8/24
to
Hallo Marcus,
Am 08.01.24 um 18:33 schrieb Marcus Röckrath:
Certs_dehydrated was unable to update the certificate
for the following domain, because the provided challenge
was invalid.
Domain: *.myDomain.info
Result: ["type"] "dns-01"
["url"] "https://acme-v02.api.letsencrypt.org/acme/chall-v3/302088017026/73t32w"
["token"] "UV6Rve7eSbLMzSLBp4OTS2lfDd9_UzOR5bYPENwq7RE"
["validated"] "2024-01-08T18:02:42Z"
> Hier
> https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
> wird das fett hevorgehoben.
Da wird auch beschrieben:
WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's Encrypt ist _nur möglich_, wenn
_zeitnah_ DNS-Einträge
_auf_ dem für die _Domäne zuständigen DNS-Server_
durchgeführt werden können !!!
Das wäre aktuell meine Fritzbox.
> Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
> Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
>
> Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte Namen
> angeben.
Tja, das wäre möglich. Gerade getestet: dehydrated läuft mit 2 Subdomains und einer 1st-level-domain problemlos durch. Aktuell scheitert es nur bei Wildcards. Ich denke aber, es ist interessant zu untersuchen, ob Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie möglich sind und wieviel Aufwand damit verbunden ist.
Grüße
Rolf
Am 08.01.24 um 18:33 schrieb Marcus Röckrath:
> Hallo Rolf,
>
> Marcus Röckrath wrote:
>
>>> Konfiguriert ist:
>>> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
>>> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
>> ...
>>> + Challenge validation has failed :(
>>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>>> "dns-01"
>>
>> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
Nein, das löst das Problem nicht:
>
> Marcus Röckrath wrote:
>
>>> Konfiguriert ist:
>>> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
>>> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
>> ...
>>> + Challenge validation has failed :(
>>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>>> "dns-01"
>>
>> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
Certs_dehydrated was unable to update the certificate
for the following domain, because the provided challenge
was invalid.
Domain: *.myDomain.info
Result: ["type"] "dns-01"
["status"] "invalid"
["error","type"] "urn:ietf:params:acme:error:unauthorized"
["error","detail"] "No TXT record found at _acme-challenge.myDomain.info"
["error","status"] 403
["error"] {"type":"urn:ietf:params:acme:error:unauthorized","detail":"No TXT record found at _acme-challenge.myDomain.info","status":403}
["error","type"] "urn:ietf:params:acme:error:unauthorized"
["error","detail"] "No TXT record found at _acme-challenge.myDomain.info"
["error","status"] 403
["url"] "https://acme-v02.api.letsencrypt.org/acme/chall-v3/302088017026/73t32w"
["token"] "UV6Rve7eSbLMzSLBp4OTS2lfDd9_UzOR5bYPENwq7RE"
["validated"] "2024-01-08T18:02:42Z"
> Hier
> https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
> wird das fett hevorgehoben.
WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's Encrypt ist _nur möglich_, wenn
_zeitnah_ DNS-Einträge
_auf_ dem für die _Domäne zuständigen DNS-Server_
durchgeführt werden können !!!
Das wäre aktuell meine Fritzbox.
> Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
> Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
>
> Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte Namen
> angeben.
Grüße
Rolf
Marcus Röckrath
Jan 8, 2024, 2:20:02 PM1/8/24
to
Hallo Rolf,
Rolf Bensch wrote:
Rolf Bensch wrote:
>> Hier
>>
https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
>> wird das fett hevorgehoben.
>
> Da wird auch beschrieben:
>
> WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's Encrypt
> ist _nur möglich_, wenn
> _zeitnah_ DNS-Einträge
> _auf_ dem für die _Domäne zuständigen DNS-Server_
> durchgeführt werden können !!!
>
> Das wäre aktuell meine Fritzbox.
Der zu manipulieende DNS muss doch "weltweit" erreichbar sein, die Fritz ist
>>
https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
>> wird das fett hevorgehoben.
>
> Da wird auch beschrieben:
>
> WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's Encrypt
> ist _nur möglich_, wenn
> _zeitnah_ DNS-Einträge
> _auf_ dem für die _Domäne zuständigen DNS-Server_
> durchgeführt werden können !!!
>
> Das wäre aktuell meine Fritzbox.
doch aber nur loakler DNS.
Oder meinst du diese von Fritz/AVM (myfritz) bereitgestellte DynDNS-Adresse?
Ob es damit funktionieren kann?
>> Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
>> Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
>>
>> Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte
>> Namen angeben.
>
> Tja, das wäre möglich. Gerade getestet: dehydrated läuft mit 2 Subdomains
> und einer 1st-level-domain problemlos durch. Aktuell scheitert es nur bei
> Wildcards. Ich denke aber, es ist interessant zu untersuchen, ob
> Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie möglich sind und
> wieviel Aufwand damit verbunden ist.
hat er ja nur nachgefragt, warum dann bei der Aktualisierung etwas doppelt
durchgenudelt wird, jedoch nicht, dass es nicht funktioniert.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Jan 8, 2024, 2:55:41 PM1/8/24
to
Hallo Rolf,
Rolf Bensch schrieb am 08.01.24 um 19:38:
gefunden zu erkennen was ich aif dem DNS-Server hätte ändern können
>
>> Hier
>> https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
Fein, hier steht drind was man bei certs_dehydrated hinzufügen muss. Das
werde ich dann mal händisch testen.
24 Std. Das hieße man müsste 24h vorher die TTL auf 5 Minuten umstellen.
Das wiederum bedeutet, dass es nicht mehr automatisch funktionieren würde
> _auf_ dem für die _Domäne zuständigen DNS-Server_
> durchgeführt werden können !!!
>
> Das wäre aktuell meine Fritzbox.
>
>> Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
>> Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
>>
>> Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte
>> Namen
>> angeben.
>
> Tja, das wäre möglich. Gerade getestet: dehydrated läuft mit 2
> Subdomains und einer 1st-level-domain problemlos durch. Aktuell
> scheitert es nur bei Wildcards. Ich denke aber, es ist interessant zu
> untersuchen, ob Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie
> möglich sind und wieviel Aufwand damit verbunden ist.
Das wäre am schönsten. Ich teste das mal demnächst und gebe Rückmeldung,
damit Jürgen das evtl mit einbauen kann.
Gruß
Olaf
Schade
>
> Grüße
>
> Rolf
>
>
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Rolf Bensch schrieb am 08.01.24 um 19:38:
> Hallo Marcus,
>
> Am 08.01.24 um 18:33 schrieb Marcus Röckrath:
>> Hallo Rolf,
>>
>> Marcus Röckrath wrote:
>>
>>>> Konfiguriert ist:
>>>> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
>>>> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
>>> ...
>>>> + Challenge validation has failed :(
>>>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>>>> "dns-01"
>>>
>>> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
>
> Nein, das löst das Problem nicht:
>
> Certs_dehydrated was unable to update the certificate
> for the following domain, because the provided challenge
> was invalid.
>
> Domain: *.myDomain.info
> Result: ["type"] "dns-01"
> ["status"] "invalid"
> ["error","type"] "urn:ietf:params:acme:error:unauthorized"
> ["error","detail"] "No TXT record found at
> _acme-challenge.myDomain.info"
> ["error","status"] 403
> ["error"]
Diese Fehlermeldungen hatte ich auch bekommen und keine Möglichkeit
>
> Am 08.01.24 um 18:33 schrieb Marcus Röckrath:
>> Hallo Rolf,
>>
>> Marcus Röckrath wrote:
>>
>>>> Konfiguriert ist:
>>>> DEHYDRATED_API_VERSION = 2 ("auto" funktioniert mit
>>>> Wildcard-Zertifikaten nicht) DEHYDRATED_CHALLENGE_TYPE = http-01
>>> ...
>>>> + Challenge validation has failed :(
>>>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>>>> "dns-01"
>>>
>>> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
>
> Nein, das löst das Problem nicht:
>
> Certs_dehydrated was unable to update the certificate
> for the following domain, because the provided challenge
> was invalid.
>
> Domain: *.myDomain.info
> Result: ["type"] "dns-01"
> ["status"] "invalid"
> ["error","type"] "urn:ietf:params:acme:error:unauthorized"
> ["error","detail"] "No TXT record found at
> _acme-challenge.myDomain.info"
> ["error","status"] 403
> ["error"]
gefunden zu erkennen was ich aif dem DNS-Server hätte ändern können
>
>> Hier
>> https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_wildcard_zertifikat
Fein, hier steht drind was man bei certs_dehydrated hinzufügen muss. Das
werde ich dann mal händisch testen.
>>
>> wird das fett hevorgehoben.
>
> Da wird auch beschrieben:
>
> WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's
> Encrypt ist _nur möglich_, wenn
> _zeitnah_ DNS-Einträge
Das ist hier die Frage. Was bedeutet zeitnah. Die normale TTL ist mind
>> wird das fett hevorgehoben.
>
> Da wird auch beschrieben:
>
> WICHTIG - Das Ausstellen von Wildcard-Zertifikaten durch Let's
> Encrypt ist _nur möglich_, wenn
> _zeitnah_ DNS-Einträge
24 Std. Das hieße man müsste 24h vorher die TTL auf 5 Minuten umstellen.
Das wiederum bedeutet, dass es nicht mehr automatisch funktionieren würde
> _auf_ dem für die _Domäne zuständigen DNS-Server_
> durchgeführt werden können !!!
>
> Das wäre aktuell meine Fritzbox.
>
>> Wenn nein: Wäre es eine Idee, kein Wildcardzertifikat, sondern ein
>> Zertifikat für mehrere genau vordefinierte Domains erstellen zu lassen?
>>
>> Im DEHYDRATED_DOMAIN_1_NAME kann man ja auch mehrere fest definierte
>> Namen
>> angeben.
>
> Tja, das wäre möglich. Gerade getestet: dehydrated läuft mit 2
> Subdomains und einer 1st-level-domain problemlos durch. Aktuell
> scheitert es nur bei Wildcards. Ich denke aber, es ist interessant zu
> untersuchen, ob Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie
> möglich sind und wieviel Aufwand damit verbunden ist.
damit Jürgen das evtl mit einbauen kann.
Gruß
Olaf
Schade
>
> Grüße
>
> Rolf
>
>
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Olaf Jaehrling
Jan 8, 2024, 4:37:03 PM1/8/24
to
Hallo allerseits,
>
> Das ist hier die Frage. Was bedeutet zeitnah. Die normale TTL ist mind
> 24 Std. Das hieße man müsste 24h vorher die TTL auf 5 Minuten umstellen.
> Das wiederum bedeutet, dass es nicht mehr automatisch funktionieren würde
>
>> _auf_ dem für die _Domäne zuständigen DNS-Server_
>> durchgeführt werden können !!!
>>
>> Das wäre aktuell meine Fritzbox.
In der Datei /var/install/bin/certs_dehydrated-hook Zeile 142
folgende Zeilen hinzugefügt (lt Tachtler)
# Tachtler
echo ""
echo "Add the following to the zone definition of ${DOMAIN}:"
echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
echo ""
echo -n "Press enter to continue..."
read tmp
echo ""
Danach habe ich das setup aufgerufen und auf dns-01 und api-version 2
umgestellt, sowie DEHYDRATED_DOMAIN_1_NAME entsprechend angepasst.
Danach habe ich die Konfig abgespeichert und als die Meldung für den
DNS-Eintrag kam habe ich den eingetragen. Da bei meinem Provider 60
Sekunden nicht möglich sind (min 300 Sek) habe ich die 5 Minuten
gewartet und dann Enter gedrückt. Und siehe da, es hat funktioniert. Ggf
muss man die Symlinks nochmal prüfen, damit die nicht auf *.domain
zeigen. Das funktioniert nämlich nicht.
Danke Rolf für den Tip auf tachtler.net und Hr, Tachtler für das wiki.
Wie das Jürgen einbauen kann weiß ich allerdings nicht genau.
Gruß
Olaf
>
> Das ist hier die Frage. Was bedeutet zeitnah. Die normale TTL ist mind
> 24 Std. Das hieße man müsste 24h vorher die TTL auf 5 Minuten umstellen.
> Das wiederum bedeutet, dass es nicht mehr automatisch funktionieren würde
>
>> _auf_ dem für die _Domäne zuständigen DNS-Server_
>> durchgeführt werden können !!!
>>
>> Das wäre aktuell meine Fritzbox.
>> Tja, das wäre möglich. Gerade getestet: dehydrated läuft mit 2
>> Subdomains und einer 1st-level-domain problemlos durch. Aktuell
>> scheitert es nur bei Wildcards. Ich denke aber, es ist interessant zu
>> untersuchen, ob Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie
>> möglich sind und wieviel Aufwand damit verbunden ist.
>
> Das wäre am schönsten. Ich teste das mal demnächst und gebe Rückmeldung,
> damit Jürgen das evtl mit einbauen kann.
Ich habe das mal getestet.
>> Subdomains und einer 1st-level-domain problemlos durch. Aktuell
>> scheitert es nur bei Wildcards. Ich denke aber, es ist interessant zu
>> untersuchen, ob Wildcard-Zertifikate mit Eisfair-dehydrated irgendwie
>> möglich sind und wieviel Aufwand damit verbunden ist.
>
> Das wäre am schönsten. Ich teste das mal demnächst und gebe Rückmeldung,
> damit Jürgen das evtl mit einbauen kann.
In der Datei /var/install/bin/certs_dehydrated-hook Zeile 142
folgende Zeilen hinzugefügt (lt Tachtler)
# Tachtler
echo ""
echo "Add the following to the zone definition of ${DOMAIN}:"
echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
echo ""
echo -n "Press enter to continue..."
read tmp
echo ""
Danach habe ich das setup aufgerufen und auf dns-01 und api-version 2
umgestellt, sowie DEHYDRATED_DOMAIN_1_NAME entsprechend angepasst.
Danach habe ich die Konfig abgespeichert und als die Meldung für den
DNS-Eintrag kam habe ich den eingetragen. Da bei meinem Provider 60
Sekunden nicht möglich sind (min 300 Sek) habe ich die 5 Minuten
gewartet und dann Enter gedrückt. Und siehe da, es hat funktioniert. Ggf
muss man die Symlinks nochmal prüfen, damit die nicht auf *.domain
zeigen. Das funktioniert nämlich nicht.
Danke Rolf für den Tip auf tachtler.net und Hr, Tachtler für das wiki.
Wie das Jürgen einbauen kann weiß ich allerdings nicht genau.
Gruß
Olaf
Marcus Röckrath
Jan 9, 2024, 2:00:03 AM1/9/24
to
Hallo Olaf,
Olaf Jaehrling wrote:
>> Das wäre am schönsten. Ich teste das mal demnächst und gebe Rückmeldung,
>> damit Jürgen das evtl mit einbauen kann.
>
> Ich habe das mal getestet.
> In der Datei /var/install/bin/certs_dehydrated-hook Zeile 142
> folgende Zeilen hinzugefügt (lt Tachtler)
>
> # Tachtler
> echo ""
> echo "Add the following to the zone definition of ${DOMAIN}:"
> echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
> echo ""
> echo -n "Press enter to continue..."
> read tmp
> echo ""
>
> Danach habe ich das setup aufgerufen und auf dns-01 und api-version 2
> umgestellt, sowie DEHYDRATED_DOMAIN_1_NAME entsprechend angepasst.
> Danach habe ich die Konfig abgespeichert und als die Meldung für den
> DNS-Eintrag kam habe ich den eingetragen. Da bei meinem Provider 60
> Sekunden nicht möglich sind (min 300 Sek) habe ich die 5 Minuten
> gewartet und dann Enter gedrückt. Und siehe da, es hat funktioniert. Ggf
> muss man die Symlinks nochmal prüfen, damit die nicht auf *.domain
> zeigen. Das funktioniert nämlich nicht.
Laut dem schon angesprochenen Thread certs_dehydrated Wildcard-Zertifikat
und speziell darim dem Beitrag von Detlef Paschke vom 06.11.2023, 16:44:46
soll es auch mit einem unveränderten certs_dehydrated funktionieren:
[Zitat]
2023-09-03 02:15:00 - crontab update requested ...
environment: live
challenge : dns-01
Moving unused file to archive directory: schabau.eu/cert-1688256901.pem
Moving unused file to archive directory: schabau.eu/chain-1688256901.pem
Moving unused file to archive directory: schabau.eu/fullchain-1688256901.pem
Moving unused file to archive directory: schabau.eu/privkey-1688256901.pem
Moving unused file to archive directory: schabau.eu/ocsp-1687652101.der
Moving unused file to archive directory: schabau.eu/ocsp-1688256945.der
Moving unused file to archive directory: schabau.eu/ocsp-1688861701.der
Moving unused file to archive directory: schabau.eu/ocsp-1689466501.der
Moving unused file to archive directory: schabau.eu/ocsp-1690071301.der
Moving unused file to archive directory: schabau.eu/ocsp-1690676101.der
Moving unused file to archive directory: schabau.eu/ocsp-1691280901.der
Moving unused file to archive directory: schabau.eu/ocsp-1691885701.der
Moving unused file to archive directory: schabau.eu/ocsp-1692490501.der
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Sep 29 23:15:37 2023 GMT (Less than 30 days). Renewing!
+ Handling authorization for schabau.eu
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 69 0 --:--:-- --:--:-- --:--:--
69
{
"success": true,
"domain": "schabau.eu"
}
Warte 10 Sekunden...
-> Executing hook script 'deploy_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 71 0 --:--:-- --:--:-- --:--:--
71
{
"success": true,
"domain": "schabau.eu"
}
Warte 10 Sekunden...
+ Responding to challenge for schabau.eu authorization...
+ Challenge is valid!
+ Responding to challenge for schabau.eu authorization...
+ Challenge is valid!
+ Cleaning challenge tokens...
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 81 0 --:--:-- --:--:-- --:--:--
81
{
"success": true,
"domain": "schabau.eu"
}
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 112 0 --:--:-- --:--:-- --:--:--
111
100 51 0 51 0 0 111 0 --:--:-- --:--:-- --:--:--
111
{
"success": true,
"domain": "schabau.eu"
}
+ Requesting certificate...
+ Checking certificate...
+ Done!
+ Creating fullchain.pem...
-> Executing hook script 'deploy_cert' ...
- link '/usr/local/ssl/csr/schabau.eu.csr' created/updated.
- link '/usr/local/ssl/private/schabau.eu.key' created/updated.
- link '/usr/local/ssl/newcerts/schabau.eu.crt' created/updated.
- file '/usr/local/ssl/newcerts/schabau.eu.dh' exists.
- file '/usr/local/ssl/certs/schabau.eu.pem' created.
updating hashes '/usr/local/ssl/certs' ...
Moving unused file to archive directory: schabau.eu/cert-1688256901.pem
Moving unused file to archive directory: schabau.eu/chain-1688256901.pem
Moving unused file to archive directory: schabau.eu/fullchain-1688256901.pem
Moving unused file to archive directory: schabau.eu/privkey-1688256901.pem
Moving unused file to archive directory: schabau.eu/ocsp-1687652101.der
Moving unused file to archive directory: schabau.eu/ocsp-1688256945.der
Moving unused file to archive directory: schabau.eu/ocsp-1688861701.der
Moving unused file to archive directory: schabau.eu/ocsp-1689466501.der
Moving unused file to archive directory: schabau.eu/ocsp-1690071301.der
Moving unused file to archive directory: schabau.eu/ocsp-1690676101.der
Moving unused file to archive directory: schabau.eu/ocsp-1691280901.der
Moving unused file to archive directory: schabau.eu/ocsp-1691885701.der
Moving unused file to archive directory: schabau.eu/ocsp-1692490501.der
+ Done!
+ Updating OCSP stapling file
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling wrote:
>> Das wäre am schönsten. Ich teste das mal demnächst und gebe Rückmeldung,
>> damit Jürgen das evtl mit einbauen kann.
>
> Ich habe das mal getestet.
> In der Datei /var/install/bin/certs_dehydrated-hook Zeile 142
> folgende Zeilen hinzugefügt (lt Tachtler)
>
> # Tachtler
> echo ""
> echo "Add the following to the zone definition of ${DOMAIN}:"
> echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
> echo ""
> echo -n "Press enter to continue..."
> read tmp
> echo ""
>
> Danach habe ich das setup aufgerufen und auf dns-01 und api-version 2
> umgestellt, sowie DEHYDRATED_DOMAIN_1_NAME entsprechend angepasst.
> Danach habe ich die Konfig abgespeichert und als die Meldung für den
> DNS-Eintrag kam habe ich den eingetragen. Da bei meinem Provider 60
> Sekunden nicht möglich sind (min 300 Sek) habe ich die 5 Minuten
> gewartet und dann Enter gedrückt. Und siehe da, es hat funktioniert. Ggf
> muss man die Symlinks nochmal prüfen, damit die nicht auf *.domain
> zeigen. Das funktioniert nämlich nicht.
und speziell darim dem Beitrag von Detlef Paschke vom 06.11.2023, 16:44:46
soll es auch mit einem unveränderten certs_dehydrated funktionieren:
[Zitat]
2023-09-03 02:15:00 - crontab update requested ...
environment: live
challenge : dns-01
# INFO: Using main config file /etc/dehydrated/config
Moving unused file to archive directory: schabau.eu/cert-1688256901.csr
Moving unused file to archive directory: schabau.eu/cert-1688256901.pem
Moving unused file to archive directory: schabau.eu/chain-1688256901.pem
Moving unused file to archive directory: schabau.eu/fullchain-1688256901.pem
Moving unused file to archive directory: schabau.eu/privkey-1688256901.pem
Moving unused file to archive directory: schabau.eu/ocsp-1687652101.der
Moving unused file to archive directory: schabau.eu/ocsp-1688256945.der
Moving unused file to archive directory: schabau.eu/ocsp-1688861701.der
Moving unused file to archive directory: schabau.eu/ocsp-1689466501.der
Moving unused file to archive directory: schabau.eu/ocsp-1690071301.der
Moving unused file to archive directory: schabau.eu/ocsp-1690676101.der
Moving unused file to archive directory: schabau.eu/ocsp-1691280901.der
Moving unused file to archive directory: schabau.eu/ocsp-1691885701.der
Moving unused file to archive directory: schabau.eu/ocsp-1692490501.der
# INFO: Using main config file /etc/dehydrated/config
Processing schabau.eu with alternative names: *.schabau.eu
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Sep 29 23:15:37 2023 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 2 authorizations URLs from the CA
+ Handling authorization for schabau.eu
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 2 authorizations URLs from the CA
+ Handling authorization for schabau.eu
+ 2 pending challenge(s)
+ Deploying challenge tokens...
-> Executing hook script 'deploy_challenge' ...
+ Deploying challenge tokens...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 69 0 --:--:-- --:--:-- --:--:--
69
{
"success": true,
"domain": "schabau.eu"
}
Warte 10 Sekunden...
-> Executing hook script 'deploy_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 71 0 --:--:-- --:--:-- --:--:--
71
{
"success": true,
"domain": "schabau.eu"
}
Warte 10 Sekunden...
+ Responding to challenge for schabau.eu authorization...
+ Challenge is valid!
+ Responding to challenge for schabau.eu authorization...
+ Challenge is valid!
+ Cleaning challenge tokens...
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 81 0 --:--:-- --:--:-- --:--:--
81
{
"success": true,
"domain": "schabau.eu"
}
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 112 0 --:--:-- --:--:-- --:--:--
111
100 51 0 51 0 0 111 0 --:--:-- --:--:-- --:--:--
111
{
"success": true,
"domain": "schabau.eu"
}
+ Requesting certificate...
+ Checking certificate...
+ Done!
+ Creating fullchain.pem...
-> Executing hook script 'deploy_cert' ...
creating files/links required by eisfair ...
+ domain 'schabau.eu':
- link '/usr/local/ssl/csr/schabau.eu.csr' created/updated.
- link '/usr/local/ssl/private/schabau.eu.key' created/updated.
- link '/usr/local/ssl/newcerts/schabau.eu.crt' created/updated.
- file '/usr/local/ssl/newcerts/schabau.eu.dh' exists.
- file '/usr/local/ssl/certs/schabau.eu.pem' created.
updating hashes '/usr/local/ssl/certs' ...
checking package usage definition ...
checking symbolic links to certificate ...
checking symbolic links to certificate ...
# INFO: Using main config file /etc/dehydrated/config
Moving unused file to archive directory: schabau.eu/cert-1688256901.csr
Moving unused file to archive directory: schabau.eu/cert-1688256901.pem
Moving unused file to archive directory: schabau.eu/chain-1688256901.pem
Moving unused file to archive directory: schabau.eu/fullchain-1688256901.pem
Moving unused file to archive directory: schabau.eu/privkey-1688256901.pem
Moving unused file to archive directory: schabau.eu/ocsp-1687652101.der
Moving unused file to archive directory: schabau.eu/ocsp-1688256945.der
Moving unused file to archive directory: schabau.eu/ocsp-1688861701.der
Moving unused file to archive directory: schabau.eu/ocsp-1689466501.der
Moving unused file to archive directory: schabau.eu/ocsp-1690071301.der
Moving unused file to archive directory: schabau.eu/ocsp-1690676101.der
Moving unused file to archive directory: schabau.eu/ocsp-1691280901.der
Moving unused file to archive directory: schabau.eu/ocsp-1691885701.der
Moving unused file to archive directory: schabau.eu/ocsp-1692490501.der
+ Done!
+ Updating OCSP stapling file
-> Executing hook script 'exit_hook' ...
[/Zitat]
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Jan 9, 2024, 1:49:21 PM1/9/24
to
Hallo Marcus,
Marcus Röckrath schrieb am 09.01.24 um 07:55:
> Hallo Olaf,
>
> Laut dem schon angesprochenen Thread certs_dehydrated Wildcard-Zertifikat
> und speziell darim dem Beitrag von Detlef Paschke vom 06.11.2023, 16:44:46
> soll es auch mit einem unveränderten certs_dehydrated funktionieren:
>
> [Zitat]
> 2023-09-03 02:15:00 - crontab update requested ...
> environment: live
> challenge : dns-01
Ja, das war im September noch so. Am 19.12. hatte ich es zumindest
versucht und es ging nicht. Die Fehlermeldung war genau die gleiche wie
von Rolf beschrieben.
["error"]
{"type":"urn:ietf:params:acme:error:unauthorized","detail":"No TXT
record found at _acme-challenge.myDomain.xx","status":403}
bzw wenn ich irgendwas eingetragen hatte:
["error"]
{"type":"urn:ietf:params:acme:error:unauthorized","detail":"Incorrect
TXT record \"ftdjufPwx5avwJ1DRVVFDYmcXntz_tLZzyhQoRiL9gw\" found at
_acme-challenge.myDomain.xx","status":403}
Lt Internetsuche muss man den DNS-Eintrag machen, aber welchen genau war
nicht zu finden. Nur das es ein TXT-Record auf die subdomain
acme-challenge.xxx.yy sein muss. Aber was genau in dem TXT-Record stehen
soll habe ich nicht gefunden.
Mit den Änderungen im Script steht nun eindeutig was in den TXT-Record
gehört und damit hat es ja auch bei mir nun funktioniert.
Ggf hat ja LE die Toleranz verschärft. Keine Ahnung.
VG
Olaf
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 09.01.24 um 07:55:
> Hallo Olaf,
>
> Laut dem schon angesprochenen Thread certs_dehydrated Wildcard-Zertifikat
> und speziell darim dem Beitrag von Detlef Paschke vom 06.11.2023, 16:44:46
> soll es auch mit einem unveränderten certs_dehydrated funktionieren:
>
> [Zitat]
> 2023-09-03 02:15:00 - crontab update requested ...
> environment: live
> challenge : dns-01
versucht und es ging nicht. Die Fehlermeldung war genau die gleiche wie
von Rolf beschrieben.
["error"]
{"type":"urn:ietf:params:acme:error:unauthorized","detail":"No TXT
record found at _acme-challenge.myDomain.xx","status":403}
bzw wenn ich irgendwas eingetragen hatte:
["error"]
{"type":"urn:ietf:params:acme:error:unauthorized","detail":"Incorrect
TXT record \"ftdjufPwx5avwJ1DRVVFDYmcXntz_tLZzyhQoRiL9gw\" found at
_acme-challenge.myDomain.xx","status":403}
Lt Internetsuche muss man den DNS-Eintrag machen, aber welchen genau war
nicht zu finden. Nur das es ein TXT-Record auf die subdomain
acme-challenge.xxx.yy sein muss. Aber was genau in dem TXT-Record stehen
soll habe ich nicht gefunden.
Mit den Änderungen im Script steht nun eindeutig was in den TXT-Record
gehört und damit hat es ja auch bei mir nun funktioniert.
Ggf hat ja LE die Toleranz verschärft. Keine Ahnung.
VG
Olaf
--
Paketserver: https://ojaehrling.de/eis/index.txt
Juergen Edner
Jan 10, 2024, 1:18:59 PM1/10/24
to
Hallo Marcus,
>> + Challenge validation has failed :(
>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>> "dns-01"
>
> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
dies ist vollkommen korrekt :-)
Gruß Jürgen
--
Mail: jue...@eisfair.org
>> + Challenge validation has failed :(
>> ERROR: Challenge is invalid! (returned: invalid) (result: ["type"]
>> "dns-01"
>
> Kann es sein, dass bei Wildcard die dns-01-Challenge notwendig ist?
Gruß Jürgen
--
Mail: jue...@eisfair.org
Juergen Edner
Jan 10, 2024, 1:29:22 PM1/10/24
to
Hallo Olaf,
> Ich habe das mal getestet.
> In der Datei /var/install/bin/certs_dehydrated-hook Zeile 142
> folgende Zeilen hinzugefügt (lt Tachtler)
>
> # Tachtler
> echo ""
> echo "Add the following to the zone definition of ${DOMAIN}:"
> echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
> echo ""
> echo -n "Press enter to continue..."
> read tmp
> echo ""
dies ist für einen Test sicherlich in Ordnung. Die korrekte
Vorgehensweise ist jedoch das Anlegen einer eigene Skriptdatei, welche
die gewünschte DNS Konfiguration vornimmt, und diese dann über einen
anzulegenden DEHYDRATED_HOOK_CMD_..-Eintrag aufrufen zu lassen. Der
Zeitpunkt der ausführung wird dabei primär über den Wert des Parameters
DEHYDRATED_HOOK_CMD_x_TYPE bestimmt und sekundär über die Reihenfolge in
der die Einträge in der Konfiguration stehen.
> ... Da bei meinem Provider 60
nach der Aktualisierung des DNS-Eintrages ein und schon sollte sich
dieser Vorgang automatisieren lassen.
> Wie das Jürgen einbauen kann weiß ich allerdings nicht genau.
Dies erfordert keine Anpassung, da die Funktionen dafür bereits
existieren und sogar einer Paketaktualisierung standhalten ;-)
> Ich habe das mal getestet.
> In der Datei /var/install/bin/certs_dehydrated-hook Zeile 142
> folgende Zeilen hinzugefügt (lt Tachtler)
>
> # Tachtler
> echo ""
> echo "Add the following to the zone definition of ${DOMAIN}:"
> echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
> echo ""
> echo -n "Press enter to continue..."
> read tmp
> echo ""
Vorgehensweise ist jedoch das Anlegen einer eigene Skriptdatei, welche
die gewünschte DNS Konfiguration vornimmt, und diese dann über einen
anzulegenden DEHYDRATED_HOOK_CMD_..-Eintrag aufrufen zu lassen. Der
Zeitpunkt der ausführung wird dabei primär über den Wert des Parameters
DEHYDRATED_HOOK_CMD_x_TYPE bestimmt und sekundär über die Reihenfolge in
der die Einträge in der Konfiguration stehen.
> ... Da bei meinem Provider 60
> Sekunden nicht möglich sind (min 300 Sek) habe ich die 5 Minuten
> gewartet und dann Enter gedrückt.
Diese Verzögerung fügst Du in die oben genannte separate Skriptdatei,
> gewartet und dann Enter gedrückt.
nach der Aktualisierung des DNS-Eintrages ein und schon sollte sich
dieser Vorgang automatisieren lassen.
> Wie das Jürgen einbauen kann weiß ich allerdings nicht genau.
existieren und sogar einer Paketaktualisierung standhalten ;-)
Olaf Jaehrling
Jan 10, 2024, 3:29:24 PM1/10/24
to
Hallo Jürgen,
Juergen Edner schrieb am 10.01.24 um 19:29:
> dies ist für einen Test sicherlich in Ordnung. Die korrekte
> Vorgehensweise ist jedoch das Anlegen einer eigene Skriptdatei, welche
> die gewünschte DNS Konfiguration vornimmt, und diese dann über einen
> anzulegenden DEHYDRATED_HOOK_CMD_..-Eintrag aufrufen zu lassen.
Das würde aber doch eine API beim DNS-Provider voraussetzen, oder?
Ich wüsste jetzt nicht das mein DNS-Provider sowas hätten und wenn ja,
wie ich diese ansprechen sollte.
> Der
> Zeitpunkt der ausführung wird dabei primär über den Wert des Parameters
> DEHYDRATED_HOOK_CMD_x_TYPE bestimmt und sekundär über die Reihenfolge in
> der die Einträge in der Konfiguration stehen.
>
>> ... Da bei meinem Provider 60 Sekunden nicht möglich sind (min 300
>> Sek) habe ich die 5 Minuten gewartet und dann Enter gedrückt.
>
> Diese Verzögerung fügst Du in die oben genannte separate Skriptdatei,
> nach der Aktualisierung des DNS-Eintrages ein und schon sollte sich
> dieser Vorgang automatisieren lassen.
Wäre es dort nicht auch möglich den entsprechenden TXT-Record anzeigen
zu lassen?
Ich mache mir gerade Gedanken wie das mit mehreren Domains funktionieren
und wie die Scriptdatei aussehen könnte. Irgendwie fehlt mir das gerade
der zündende Einfall.
Gruß
Olaf
>
> Gruß Jürgen
--
Paketserver: https://ojaehrling.de/eis/index.txt
Juergen Edner schrieb am 10.01.24 um 19:29:
> dies ist für einen Test sicherlich in Ordnung. Die korrekte
> Vorgehensweise ist jedoch das Anlegen einer eigene Skriptdatei, welche
> die gewünschte DNS Konfiguration vornimmt, und diese dann über einen
> anzulegenden DEHYDRATED_HOOK_CMD_..-Eintrag aufrufen zu lassen.
Ich wüsste jetzt nicht das mein DNS-Provider sowas hätten und wenn ja,
wie ich diese ansprechen sollte.
> Der
> Zeitpunkt der ausführung wird dabei primär über den Wert des Parameters
> DEHYDRATED_HOOK_CMD_x_TYPE bestimmt und sekundär über die Reihenfolge in
> der die Einträge in der Konfiguration stehen.
>
>> ... Da bei meinem Provider 60 Sekunden nicht möglich sind (min 300
>> Sek) habe ich die 5 Minuten gewartet und dann Enter gedrückt.
>
> Diese Verzögerung fügst Du in die oben genannte separate Skriptdatei,
> nach der Aktualisierung des DNS-Eintrages ein und schon sollte sich
> dieser Vorgang automatisieren lassen.
zu lassen?
Ich mache mir gerade Gedanken wie das mit mehreren Domains funktionieren
und wie die Scriptdatei aussehen könnte. Irgendwie fehlt mir das gerade
der zündende Einfall.
>
>> Wie das Jürgen einbauen kann weiß ich allerdings nicht genau.
>
> Dies erfordert keine Anpassung, da die Funktionen dafür bereits
> existieren und sogar einer Paketaktualisierung standhalten ;-)
Das wäre natürlich am Besten.
>> Wie das Jürgen einbauen kann weiß ich allerdings nicht genau.
>
> Dies erfordert keine Anpassung, da die Funktionen dafür bereits
> existieren und sogar einer Paketaktualisierung standhalten ;-)
Gruß
Olaf
>
> Gruß Jürgen
--
Paketserver: https://ojaehrling.de/eis/index.txt
Juergen Edner
Jan 11, 2024, 10:24:09 AM1/11/24
to
Hallo Olaf,
>> dies ist für einen Test sicherlich in Ordnung. Die korrekte
>> Vorgehensweise ist jedoch das Anlegen einer eigene Skriptdatei, welche
>> die gewünschte DNS Konfiguration vornimmt, und diese dann über einen
>> anzulegenden DEHYDRATED_HOOK_CMD_..-Eintrag aufrufen zu lassen.
>
> Das würde aber doch eine API beim DNS-Provider voraussetzen, oder?
> Ich wüsste jetzt nicht das mein DNS-Provider sowas hätten und wenn ja,
> wie ich diese ansprechen sollte.
es ging mir darum herauszustellen, dass es nicht erforderlich ist eine
existierende Skriptdatei zu modifizieren und statt dessen die vorhandene
Schnittstelle im Paket zu nutzen um Befehle zur Aktualisierung des DNS
Eintrags auszuführen.
Dein Provider muss in der Tat eine Möglichkeit bieten über welche Du den
DNS-Eintrag Deiner eigenen Domain modifizieren kannst.
> Wäre es dort nicht auch möglich den entsprechenden TXT-Record anzeigen
> zu lassen?
Du kannst prinzipiell jeden Befehl in ein eigenes Skript einbauen,
welches vor der Aktualisierung eines Zertifikates ausgeführt wird.
Beispiel: dig +short -t TXT 8.8.8.8 <your-domain>
> Ich mache mir gerade Gedanken wie das mit mehreren Domains funktionieren
> und wie die Scriptdatei aussehen könnte. Irgendwie fehlt mir das gerade
> der zündende Einfall.
Generell werden an jede aufgerufene Skriptdatei ein paar
Umgebungsvariablen übergeben, die Du auslesen kannst. Eine Liste der
verfügbaren Variablen findest Du in der Dokumentation unter dem
Abschnitt "Die Umgebungsvariablen".
Hier findest Du Beispiele zu verschiedener DNS-Provider:
https://github.com/dehydrated-io/dehydrated/wiki#dns-providers
>> dies ist für einen Test sicherlich in Ordnung. Die korrekte
>> Vorgehensweise ist jedoch das Anlegen einer eigene Skriptdatei, welche
>> die gewünschte DNS Konfiguration vornimmt, und diese dann über einen
>> anzulegenden DEHYDRATED_HOOK_CMD_..-Eintrag aufrufen zu lassen.
>
> Das würde aber doch eine API beim DNS-Provider voraussetzen, oder?
> Ich wüsste jetzt nicht das mein DNS-Provider sowas hätten und wenn ja,
> wie ich diese ansprechen sollte.
existierende Skriptdatei zu modifizieren und statt dessen die vorhandene
Schnittstelle im Paket zu nutzen um Befehle zur Aktualisierung des DNS
Eintrags auszuführen.
Dein Provider muss in der Tat eine Möglichkeit bieten über welche Du den
DNS-Eintrag Deiner eigenen Domain modifizieren kannst.
> Wäre es dort nicht auch möglich den entsprechenden TXT-Record anzeigen
> zu lassen?
welches vor der Aktualisierung eines Zertifikates ausgeführt wird.
Beispiel: dig +short -t TXT 8.8.8.8 <your-domain>
> Ich mache mir gerade Gedanken wie das mit mehreren Domains funktionieren
> und wie die Scriptdatei aussehen könnte. Irgendwie fehlt mir das gerade
> der zündende Einfall.
Umgebungsvariablen übergeben, die Du auslesen kannst. Eine Liste der
verfügbaren Variablen findest Du in der Dokumentation unter dem
Abschnitt "Die Umgebungsvariablen".
Hier findest Du Beispiele zu verschiedener DNS-Provider:
https://github.com/dehydrated-io/dehydrated/wiki#dns-providers
Olaf Jaehrling
Jan 11, 2024, 12:36:35 PM1/11/24
to
Hallo Jürgen,
Juergen Edner schrieb am 11.01.24 um 16:24:
> Hallo Olaf,
>
> Du kannst prinzipiell jeden Befehl in ein eigenes Skript einbauen,
> welches vor der Aktualisierung eines Zertifikates ausgeführt wird.
>
> Beispiel: dig +short -t TXT 8.8.8.8 <your-domain>
Ja gut, aber ich weis zu dem Zeitpunkt ja den gewünschten TXT-Record
noch nicht. Den bekomme ich ja erst durch die Erweiterung mitgeteilt.
>
> Hier findest Du Beispiele zu verschiedener DNS-Provider:
>
> https://github.com/dehydrated-io/dehydrated/wiki#dns-providers
Da ist meiner nicht dabei. :(
Ich muss also vorher händisch den Record eintragen. Dazu muss ich also
wissen was genau ich eintragen muss. Das zeigt mir die Änderung von
Tachtler an.
OK, ich habe mir mal folgendes ausgedacht
Gegeben:
DEHYDRATED_HOOK_CHAIN='yes'
DEHYDRATED_HOOK_CMD_N='8'
DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_1_EXEC='/root/scripts/olaf.ddns.me_ip_aendern.sh'
DEHYDRATED_HOOK_CMD_1_OPTIONS='start'
DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
...
Soll:
DEHYDRATED_HOOK_CHAIN='yes'
DEHYDRATED_HOOK_CMD_N='9'
DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_1_EXEC='/root/scripts/olaf.display_txt-value'
DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_2_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_2_EXEC='/root/scripts/olaf.ddns.me_ip_aendern.sh'
DEHYDRATED_HOOK_CMD_2_OPTIONS='start'
DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_4_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_4_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_4_OPTIONS='--create-eisfair-cert'
in der /root/scripts/olaf.display_txt-value
steht dann folgendes
#!/bin/bash
Danke und Gruß
Juergen Edner schrieb am 11.01.24 um 16:24:
> Hallo Olaf,
>
> Du kannst prinzipiell jeden Befehl in ein eigenes Skript einbauen,
> welches vor der Aktualisierung eines Zertifikates ausgeführt wird.
>
> Beispiel: dig +short -t TXT 8.8.8.8 <your-domain>
noch nicht. Den bekomme ich ja erst durch die Erweiterung mitgeteilt.
>
> Hier findest Du Beispiele zu verschiedener DNS-Provider:
>
> https://github.com/dehydrated-io/dehydrated/wiki#dns-providers
Ich muss also vorher händisch den Record eintragen. Dazu muss ich also
wissen was genau ich eintragen muss. Das zeigt mir die Änderung von
Tachtler an.
OK, ich habe mir mal folgendes ausgedacht
Gegeben:
DEHYDRATED_HOOK_CHAIN='yes'
DEHYDRATED_HOOK_CMD_N='8'
DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_1_EXEC='/root/scripts/olaf.ddns.me_ip_aendern.sh'
DEHYDRATED_HOOK_CMD_1_OPTIONS='start'
DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
...
Soll:
DEHYDRATED_HOOK_CHAIN='yes'
DEHYDRATED_HOOK_CMD_N='9'
DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_1_EXEC='/root/scripts/olaf.display_txt-value'
DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_2_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_2_EXEC='/root/scripts/olaf.ddns.me_ip_aendern.sh'
DEHYDRATED_HOOK_CMD_2_OPTIONS='start'
DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_4_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_4_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_4_OPTIONS='--create-eisfair-cert'
in der /root/scripts/olaf.display_txt-value
steht dann folgendes
#!/bin/bash
echo ""
echo "Add the following to the zone definition of ${DOMAIN}:"
echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
echo ""
echo -n "Press enter to continue..."
read tmp
echo ""
Das müsste doch gehen, oder?
echo "Add the following to the zone definition of ${DOMAIN}:"
echo "_acme-challenge.${DOMAIN}. 60 IN TXT \"${TOKEN_VALUE}\""
echo ""
echo -n "Press enter to continue..."
read tmp
echo ""
Danke und Gruß
Detlef Paschke
Jan 12, 2024, 8:14:45 AM1/12/24
to
Am 09.01.2024 um 19:49 schrieb Olaf Jaehrling:
> Hallo Marcus,
Hallo Olaf, hallo Markus und auch Rolf,
>
> Marcus Röckrath schrieb am 09.01.24 um 07:55:
>> Hallo Olaf,
>
>>
>> Laut dem schon angesprochenen Thread certs_dehydrated Wildcard-Zertifikat
>> und speziell darim dem Beitrag von Detlef Paschke vom 06.11.2023, 16:44:46
>> soll es auch mit einem unveränderten certs_dehydrated funktionieren:
>>
>> [Zitat]
>> 2023-09-03 02:15:00 - crontab update requested ...
>> environment: live
>> challenge : dns-01
>
> Ja, das war im September noch so. Am 19.12. hatte ich es zumindest
> versucht und es ging nicht. Die Fehlermeldung war genau die gleiche wie
> von Rolf beschrieben.
bei mir läuft es unverändert gut. Ich habe gerade mal nachgesehen, mein
Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
Wartezeit in meinem Script etwas kurz war.
> Lt Internetsuche muss man den DNS-Eintrag machen, aber welchen genau war
> nicht zu finden. Nur das es ein TXT-Record auf die subdomain
> acme-challenge.xxx.yy sein muss. Aber was genau in dem TXT-Record stehen
> soll habe ich nicht gefunden.
So wie ich es überblickt habe, werden in den Textrecord beim Update
Prozess, von Let's Encrypt übermittelte tokens eingetragen, und dann von
Let's Encrypt abgerufen, ob sie so vorhanden sind. Ist das der Fall,
erkennt Let's Encrypt die Seite als Valide und stellt das Zertifikat aus.
Wenn der eine oder andere es gebrauchen kann ist hier mein Hook Script
für meinen Anbieter Domain-Offensive, die eine lächerlich einfache API
schlicht per GET Aufruf anbieten.
https://schabau.eu/certs_dehydrated_do.de_hook.sh.txt
Letztendlich sollte es bei anderen Anbietern aber ähnlich sein.
In certs_dehydrated ist es bei mir an zwei stellen eingetragen.
DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_1_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
DEHYDRATED_HOOK_CMD_1_OPTIONS='--update'
DEHYDRATED_HOOK_CMD_3_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_3_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_3_OPTIONS='--cleanup-certs'
DEHYDRATED_HOOK_CMD_4_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_4_TYPE='clean_challenge'
DEHYDRATED_HOOK_CMD_4_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
DEHYDRATED_HOOK_CMD_4_OPTIONS='--clean'
> VG
>
> Olaf
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu
Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu
> Hallo Marcus,
Hallo Olaf, hallo Markus und auch Rolf,
>
> Marcus Röckrath schrieb am 09.01.24 um 07:55:
>> Hallo Olaf,
>
>>
>> Laut dem schon angesprochenen Thread certs_dehydrated Wildcard-Zertifikat
>> und speziell darim dem Beitrag von Detlef Paschke vom 06.11.2023, 16:44:46
>> soll es auch mit einem unveränderten certs_dehydrated funktionieren:
>>
>> [Zitat]
>> 2023-09-03 02:15:00 - crontab update requested ...
>> environment: live
>> challenge : dns-01
>
> Ja, das war im September noch so. Am 19.12. hatte ich es zumindest
> versucht und es ging nicht. Die Fehlermeldung war genau die gleiche wie
> von Rolf beschrieben.
Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
Wartezeit in meinem Script etwas kurz war.
> Lt Internetsuche muss man den DNS-Eintrag machen, aber welchen genau war
> nicht zu finden. Nur das es ein TXT-Record auf die subdomain
> acme-challenge.xxx.yy sein muss. Aber was genau in dem TXT-Record stehen
> soll habe ich nicht gefunden.
Prozess, von Let's Encrypt übermittelte tokens eingetragen, und dann von
Let's Encrypt abgerufen, ob sie so vorhanden sind. Ist das der Fall,
erkennt Let's Encrypt die Seite als Valide und stellt das Zertifikat aus.
Wenn der eine oder andere es gebrauchen kann ist hier mein Hook Script
für meinen Anbieter Domain-Offensive, die eine lächerlich einfache API
schlicht per GET Aufruf anbieten.
https://schabau.eu/certs_dehydrated_do.de_hook.sh.txt
Letztendlich sollte es bei anderen Anbietern aber ähnlich sein.
In certs_dehydrated ist es bei mir an zwei stellen eingetragen.
DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
DEHYDRATED_HOOK_CMD_1_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
DEHYDRATED_HOOK_CMD_1_OPTIONS='--update'
DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
DEHYDRATED_HOOK_CMD_3_TYPE='deploy_cert'
DEHYDRATED_HOOK_CMD_3_EXEC='/var/install/config.d/certs_dehydrated.sh'
DEHYDRATED_HOOK_CMD_3_OPTIONS='--cleanup-certs'
DEHYDRATED_HOOK_CMD_4_ACTIVE='yes'
DEHYDRATED_HOOK_CMD_4_TYPE='clean_challenge'
DEHYDRATED_HOOK_CMD_4_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
DEHYDRATED_HOOK_CMD_4_OPTIONS='--clean'
> VG
>
> Olaf
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu
Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu
Detlef Paschke
Jan 12, 2024, 9:18:13 AM1/12/24
to
Am 08.01.2024 um 20:15 schrieb Marcus Röckrath:
Hallo Marcus,
> Ich denke Detlef Paschke setzt auf Wildcard-Zertifikat; im genannten Thread
> hat er ja nur nachgefragt, warum dann bei der Aktualisierung etwas doppelt
> durchgenudelt wird, jedoch nicht, dass es nicht funktioniert.
diese Doppelung gibt es weiterhin. Ob das nun so gewollt ist und sein
soll oder einfach ein gegebener Umstand ist... wer weiß es schon.
# INFO: Using main config file /etc/dehydrated/config
96
100 51 0 51 0 0 96 0 --:--:-- --:--:-- --:--:--
96
{
"success": true,
"domain": "schabau.eu"
}
Warte 60 Sekunden...
131
{
"success": true,
"domain": "schabau.eu"
}
Warte 60 Sekunden...
137
196
jetzt auf jeden Fall wesentlich intuitiver geworden. Juergen hat ja
einiges an veralteten Vorgaben entfernt. (Ist das jetzt eigentlich schon
im offiziellen certs_dehydrated Paket oder habe ich da noch eine
Vorversion im Einsatz?)
Für ein Wildcard-Zertifikat für meine Domain steht bei mir nur noch:
DEHYDRATED_DOMAIN_1_NAME='schabau.eu:*.schabau.eu'
Hallo Marcus,
> Ich denke Detlef Paschke setzt auf Wildcard-Zertifikat; im genannten Thread
> hat er ja nur nachgefragt, warum dann bei der Aktualisierung etwas doppelt
> durchgenudelt wird, jedoch nicht, dass es nicht funktioniert.
soll oder einfach ein gegebener Umstand ist... wer weiß es schon.
# INFO: Using main config file /etc/dehydrated/config
Processing schabau.eu with alternative names: *.schabau.eu
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Feb 3 09:24:52 2024 GMT (Less than 30 days). Renewing!
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 2 authorizations URLs from the CA
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 2 authorizations URLs from the CA
+ 2 pending challenge(s)
+ Deploying challenge tokens...
+ Deploying challenge tokens...
-> Executing hook script 'deploy_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 96 0 --:--:-- --:--:-- --:--:--
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
96
100 51 0 51 0 0 96 0 --:--:-- --:--:-- --:--:--
96
{
"success": true,
"domain": "schabau.eu"
}
Warte 60 Sekunden...
-> Executing hook script 'deploy_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 130 0 --:--:-- --:--:-- --:--:--
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
131
{
"success": true,
"domain": "schabau.eu"
}
Warte 60 Sekunden...
+ Responding to challenge for schabau.eu authorization...
+ Challenge is valid!
+ Responding to challenge for schabau.eu authorization...
+ Challenge is valid!
+ Cleaning challenge tokens...
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 137 0 --:--:-- --:--:-- --:--:--
+ Challenge is valid!
+ Responding to challenge for schabau.eu authorization...
+ Challenge is valid!
+ Cleaning challenge tokens...
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
137
{
"success": true,
"domain": "schabau.eu"
}
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
100 51 0 51 0 0 195 0 --:--:-- --:--:-- --:--:--
"success": true,
"domain": "schabau.eu"
}
-> Executing hook script 'clean_challenge' ...
% Total % Received % Xferd Average Speed Time Time Time
Current
Dload Upload Total Spent Left
Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:--
0
196
{
"success": true,
"domain": "schabau.eu"
}
+ Requesting certificate...
+ Checking certificate...
+ Done!
+ Creating fullchain.pem...
-> Executing hook script 'deploy_cert' ...
"success": true,
"domain": "schabau.eu"
}
+ Requesting certificate...
+ Checking certificate...
+ Done!
+ Creating fullchain.pem...
creating files/links required by eisfair ...
+ domain 'schabau.eu':
- link '/usr/local/ssl/csr/schabau.eu.csr' created/updated.
- link '/usr/local/ssl/private/schabau.eu.key' created/updated.
- link '/usr/local/ssl/newcerts/schabau.eu.crt' created/updated.
- file '/usr/local/ssl/newcerts/schabau.eu.dh' exists.
- file '/usr/local/ssl/certs/schabau.eu.pem' created.
updating hashes '/usr/local/ssl/certs' ...
- link '/usr/local/ssl/csr/schabau.eu.csr' created/updated.
- link '/usr/local/ssl/private/schabau.eu.key' created/updated.
- link '/usr/local/ssl/newcerts/schabau.eu.crt' created/updated.
- file '/usr/local/ssl/newcerts/schabau.eu.dh' exists.
- file '/usr/local/ssl/certs/schabau.eu.pem' created.
checking package usage definition ...
checking symbolic links to certificate ...
Das angeben von Wildcard-Zertifikaten im certs_dehydrated Paket ist
checking symbolic links to certificate ...
jetzt auf jeden Fall wesentlich intuitiver geworden. Juergen hat ja
einiges an veralteten Vorgaben entfernt. (Ist das jetzt eigentlich schon
im offiziellen certs_dehydrated Paket oder habe ich da noch eine
Vorversion im Einsatz?)
Für ein Wildcard-Zertifikat für meine Domain steht bei mir nur noch:
DEHYDRATED_DOMAIN_1_NAME='schabau.eu:*.schabau.eu'
Marcus Röckrath
Jan 12, 2024, 9:20:04 AM1/12/24
to
Hallo Detlef,
Detlef Paschke wrote:
>>> Laut dem schon angesprochenen Thread certs_dehydrated
>>> Wildcard-Zertifikat und speziell darim dem Beitrag von Detlef Paschke
>>> vom 06.11.2023, 16:44:46 soll es auch mit einem unveränderten
>>> certs_dehydrated funktionieren:
>>>
>>> [Zitat]
>>> 2023-09-03 02:15:00 - crontab update requested ...
>>> environment: live
>>> challenge : dns-01
>>
>
dns-Challenge durchaus ohne Eingriffe im Paket funktioniert, sofern der
eigene DNS-Anbieter eine vernünftige Schnittstelle bereitstellt.
--
Gruß Marcus
[eisfair-Team]
Detlef Paschke wrote:
>>> Laut dem schon angesprochenen Thread certs_dehydrated
>>> Wildcard-Zertifikat und speziell darim dem Beitrag von Detlef Paschke
>>> vom 06.11.2023, 16:44:46 soll es auch mit einem unveränderten
>>> certs_dehydrated funktionieren:
>>>
>>> [Zitat]
>>> 2023-09-03 02:15:00 - crontab update requested ...
>>> environment: live
>>> challenge : dns-01
>>
>
> bei mir läuft es unverändert gut. Ich habe gerade mal nachgesehen, mein
> Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
> keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
> Wartezeit in meinem Script etwas kurz war.
Danke für die Rückmeldung; war mein Eindruck laso korrekt, dass Wildcard mit
> Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
> keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
> Wartezeit in meinem Script etwas kurz war.
dns-Challenge durchaus ohne Eingriffe im Paket funktioniert, sofern der
eigene DNS-Anbieter eine vernünftige Schnittstelle bereitstellt.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Jan 12, 2024, 11:56:06 AM1/12/24
to
Hall Detlef,
Detlef Paschke schrieb am 12.01.24 um 14:14:
>
> bei mir läuft es unverändert gut. Ich habe gerade mal nachgesehen, mein
> Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
> keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
> Wartezeit in meinem Script etwas kurz war.
Danke für die Info und das Script, Auch wenn ich das Script aktuell
nicht verwenden kann.
>
> In certs_dehydrated ist es bei mir an zwei stellen eingetragen.
>
> DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
> DEHYDRATED_HOOK_CMD_1_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
> DEHYDRATED_HOOK_CMD_1_OPTIONS='--update'
> DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
> DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
> DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
> DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_3_TYPE='deploy_cert'
> DEHYDRATED_HOOK_CMD_3_EXEC='/var/install/config.d/certs_dehydrated.sh'
> DEHYDRATED_HOOK_CMD_3_OPTIONS='--cleanup-certs'
> DEHYDRATED_HOOK_CMD_4_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_4_TYPE='clean_challenge'
> DEHYDRATED_HOOK_CMD_4_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
> DEHYDRATED_HOOK_CMD_4_OPTIONS='--clean'
Super, also so wie ich es gedacht hatte.
Ich mache jetzt mal ein Ticket bei meinem DNS-Provider auf mit der Bitte
eine entsprechende Schnittstelle zur Verfügung zu stellen.
Danke und Gruß
Olaf
>
>> VG
>>
>> Olaf
>
> Viele Grüße
> Detlef Paschke
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Detlef Paschke schrieb am 12.01.24 um 14:14:
>
> bei mir läuft es unverändert gut. Ich habe gerade mal nachgesehen, mein
> Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
> keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
> Wartezeit in meinem Script etwas kurz war.
nicht verwenden kann.
>
> In certs_dehydrated ist es bei mir an zwei stellen eingetragen.
>
> DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
> DEHYDRATED_HOOK_CMD_1_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
> DEHYDRATED_HOOK_CMD_1_OPTIONS='--update'
> DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
> DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
> DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
> DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_3_TYPE='deploy_cert'
> DEHYDRATED_HOOK_CMD_3_EXEC='/var/install/config.d/certs_dehydrated.sh'
> DEHYDRATED_HOOK_CMD_3_OPTIONS='--cleanup-certs'
> DEHYDRATED_HOOK_CMD_4_ACTIVE='yes'
> DEHYDRATED_HOOK_CMD_4_TYPE='clean_challenge'
> DEHYDRATED_HOOK_CMD_4_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
> DEHYDRATED_HOOK_CMD_4_OPTIONS='--clean'
Ich mache jetzt mal ein Ticket bei meinem DNS-Provider auf mit der Bitte
eine entsprechende Schnittstelle zur Verfügung zu stellen.
Danke und Gruß
Olaf
>
>> VG
>>
>> Olaf
>
> Viele Grüße
> Detlef Paschke
>
--
Detlef Paschke
Jan 12, 2024, 3:30:07 PM1/12/24
to
Am 12.01.2024 um 17:56 schrieb Olaf Jaehrling:
> Hall Detlef,
Hallo Olaf,
> Detlef Paschke schrieb am 12.01.24 um 14:14:
>
>>
>> bei mir läuft es unverändert gut. Ich habe gerade mal nachgesehen, mein
>> Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
>> keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
>> Wartezeit in meinem Script etwas kurz war.
>
> Danke für die Info und das Script, Auch wenn ich das Script aktuell
> nicht verwenden kann.
na Du weißt ja, Hilfe immer gern. Und wenn ich auch mal was produktives
beisteuern kann, ist es um so besser.
>> In certs_dehydrated ist es bei mir an zwei stellen eingetragen.
>>
>> DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
>> DEHYDRATED_HOOK_CMD_1_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
>> DEHYDRATED_HOOK_CMD_1_OPTIONS='--update'
>> DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
>> DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
>> DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
>> DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_3_TYPE='deploy_cert'
>> DEHYDRATED_HOOK_CMD_3_EXEC='/var/install/config.d/certs_dehydrated.sh'
>> DEHYDRATED_HOOK_CMD_3_OPTIONS='--cleanup-certs'
>> DEHYDRATED_HOOK_CMD_4_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_4_TYPE='clean_challenge'
>> DEHYDRATED_HOOK_CMD_4_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
>> DEHYDRATED_HOOK_CMD_4_OPTIONS='--clean'
>
> Super, also so wie ich es gedacht hatte.
>
> Ich mache jetzt mal ein Ticket bei meinem DNS-Provider auf mit der Bitte
> eine entsprechende Schnittstelle zur Verfügung zu stellen.
Also eine API um deinen DNS-TXT-Record während des Update Prozess ändern
zu können, brauchst Du zwindend. Evtl. gibt es auch schon eine
entzsprechende API bei deinem Anbieter versteckt in den FAQ oder
Hilfetexten.
Bei meinem Anbieter klappt es aber auch gut mit Ticket-Anfragen. Das
einfügen der TTL Zeit in die API habe ich vor ein paar Monaten angefragt
und das wurde innerhalb weniger Tage eingebaut. Zuvor war die TTL Zeit
in der API noch festgenagelt (ich meine auf 15 Minuten). Besonders bei
Tests war das natürlich ungünstig.
> Danke und Gruß
> Hall Detlef,
Hallo Olaf,
> Detlef Paschke schrieb am 12.01.24 um 14:14:
>
>>
>> bei mir läuft es unverändert gut. Ich habe gerade mal nachgesehen, mein
>> Zertifikat wurde am 07.01.2024 aktualisiert. Lief problemlos, ich bekam
>> keine Meldung. Beim letzten Update hatte ich kurz Probleme, weil die
>> Wartezeit in meinem Script etwas kurz war.
>
> Danke für die Info und das Script, Auch wenn ich das Script aktuell
> nicht verwenden kann.
beisteuern kann, ist es um so besser.
>> In certs_dehydrated ist es bei mir an zwei stellen eingetragen.
>>
>> DEHYDRATED_HOOK_CMD_1_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_1_TYPE='deploy_challenge'
>> DEHYDRATED_HOOK_CMD_1_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
>> DEHYDRATED_HOOK_CMD_1_OPTIONS='--update'
>> DEHYDRATED_HOOK_CMD_2_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_2_TYPE='deploy_cert'
>> DEHYDRATED_HOOK_CMD_2_EXEC='/var/install/config.d/certs_dehydrated.sh'
>> DEHYDRATED_HOOK_CMD_2_OPTIONS='--create-eisfair-cert'
>> DEHYDRATED_HOOK_CMD_3_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_3_TYPE='deploy_cert'
>> DEHYDRATED_HOOK_CMD_3_EXEC='/var/install/config.d/certs_dehydrated.sh'
>> DEHYDRATED_HOOK_CMD_3_OPTIONS='--cleanup-certs'
>> DEHYDRATED_HOOK_CMD_4_ACTIVE='yes'
>> DEHYDRATED_HOOK_CMD_4_TYPE='clean_challenge'
>> DEHYDRATED_HOOK_CMD_4_EXEC='/usr/local/bin/certs_dehydrated_do.de_hook.sh'
>> DEHYDRATED_HOOK_CMD_4_OPTIONS='--clean'
>
> Super, also so wie ich es gedacht hatte.
>
> Ich mache jetzt mal ein Ticket bei meinem DNS-Provider auf mit der Bitte
> eine entsprechende Schnittstelle zur Verfügung zu stellen.
zu können, brauchst Du zwindend. Evtl. gibt es auch schon eine
entzsprechende API bei deinem Anbieter versteckt in den FAQ oder
Hilfetexten.
Bei meinem Anbieter klappt es aber auch gut mit Ticket-Anfragen. Das
einfügen der TTL Zeit in die API habe ich vor ein paar Monaten angefragt
und das wurde innerhalb weniger Tage eingebaut. Zuvor war die TTL Zeit
in der API noch festgenagelt (ich meine auf 15 Minuten). Besonders bei
Tests war das natürlich ungünstig.
> Danke und Gruß
>
> Olaf
Viele Grüße
Detlef Paschke
--
> Olaf
Viele Grüße
Detlef Paschke
--
Olaf Jaehrling
Jan 12, 2024, 4:46:58 PM1/12/24
to
Hallo Detlef,
Detlef Paschke schrieb am 12.01.24 um 21:30:
recht schnell geantwortet und geholfen.
Gruß
Detlef Paschke schrieb am 12.01.24 um 21:30:
> Am 12.01.2024 um 17:56 schrieb Olaf Jaehrling:
>> Hall Detlef,
>
>
>> Hall Detlef,
>
>
> Also eine API um deinen DNS-TXT-Record während des Update Prozess ändern
> zu können, brauchst Du zwindend. Evtl. gibt es auch schon eine
> entzsprechende API bei deinem Anbieter versteckt in den FAQ oder
> Hilfetexten.
> Bei meinem Anbieter klappt es aber auch gut mit Ticket-Anfragen. Das
> einfügen der TTL Zeit in die API habe ich vor ein paar Monaten angefragt
> und das wurde innerhalb weniger Tage eingebaut. Zuvor war die TTL Zeit
> in der API noch festgenagelt (ich meine auf 15 Minuten). Besonders bei
> Tests war das natürlich ungünstig.
Schau ma mal was domaindiscount24 antwortet. Bisher haben die immer
> zu können, brauchst Du zwindend. Evtl. gibt es auch schon eine
> entzsprechende API bei deinem Anbieter versteckt in den FAQ oder
> Hilfetexten.
> Bei meinem Anbieter klappt es aber auch gut mit Ticket-Anfragen. Das
> einfügen der TTL Zeit in die API habe ich vor ein paar Monaten angefragt
> und das wurde innerhalb weniger Tage eingebaut. Zuvor war die TTL Zeit
> in der API noch festgenagelt (ich meine auf 15 Minuten). Besonders bei
> Tests war das natürlich ungünstig.
recht schnell geantwortet und geholfen.
Gruß
0 new messages