Lets Encrypt 1 Domain 2 IP

[Enyalios]

Hey Leute,

seit es Lets Encrypt gibt, nutze ich es auch. Jedoch habe ich immer noch so meine Probleme damit. Grund dafür: Ich schiebe es immer auf, aber damit soll nun Schluss sein.

Also:

Eine (Sub)Domain -> "mail.example.de" -> DNS verweisst auf 2 IP Adressen SRV#1 = "1.1.1.1" und SRV#2 = "2.2.2.2"

So wird mal dieser- mal jener Server genutzt. In der Vergangenheit habe ich es dann wie folg gelöst:

1. SRV#1: Apache stoppen
2. Einloggen bei meinem Provider - DNS Auflösung zum SRV#2 löschen ( Warum? Antwort: Wenn dummerweise die IP vom 2. Server aufgelöst wird wird dieser natürlich nicht wie gewünscht antworten! )
3. SRV#1: renewall
4. SRV#1: rsync SRV#1 -> SRV#2
5. SRV#1: Apache starten
6. Bei meinem Provider die Auflösung zum SRV#2 wieder herstellen.


UND ES NERVT MICH - Sowie ich die Benachrichtigung bekommen "In 9 Tagen ......" bekomme ich schon schlechte Laune.


Wäre echt cool wenn ihr mir bei einer Lösung helfen würdet.

MfG Eny

[TRex]

Es ist spät, ich könnte auch völlig daneben liegen, aber erfüllt das hier deinen Zweck?

https://community.letsencrypt.org/t/wil ... in/6830/18

[Enyalios]

Ich habe gesucht und gesucht, aber auf den Thread bin ich nicht gestoßen. Das ist es was ich im Grunde will. Ich habe noch nie mit "nginx" gearbeitet. Kann ich statt dessen auch einen meiner Webserver ( Edit: apache sagt die Glasskugel ) dazu nutzen? Ich schaue mir das jetzt aber gleich mal etwas genauer an. Danke schön mal für deine Antwort! =)

[Enyalios]

Ich hab mir das nun mal alles auf der Zunge zergehen lassen und bin nun tatsächlich etwas schlauer als vorher. Dennoch habe ich ein paar Fragen.

Code: Alles auswählen

Domain: mail.example.it
Type:   connection
Detail: Failed to connect to xx.xx.xxx.xxx:443 for tls-sni-01
challenge

Kann ich ausschließlich diese Anfragen per apache proxypass zu meinem encrypt Server weiterleiten?

[ThorstenS]

Ich würde an deiner Stelle auf die DNS-01 challenge umschwenken. Also über nsupdate dynamisch einen txt-record setzen. Dann brauchst du deinen Apachen nicht immer umkonfigurieren. Mache ich mittlerweile auch für intranet-Seiten.

Zur Inspiration:
https://github.com/lukas2511/dehydrated ... ate-script

[Enyalios]

Hmm ich habe mir das nun auch mal angeschaut. Ist eine feine Sache wenn man entweder einen eigenen DNS Server hat oder die API vom Provider nutzt. Ich habe noch so viele Baustellen so das ich eigentlich nicht noch was anfangen will ( Bind ) ... später sicher.

Also schön finde ich die Lösung, aber ich würde es gern erstmal mit einem Proxypass vom Apache umsetzen. Ist es den möglich zu sagen das nur eine bestimmte Quelle die auf meinen Apache zugreift umgeleitet wird? Ich finde viele beispiele für eine generelle Umleitungen, aber nichts was mir wirklich hilft. Ich werde mal weiter schauen und lesen.

Ich freue mich aber sehr wenn weiterhin Hilfen - Vorschläge kämen. Auch wenn ich sie nicht gleich umsetzen möchte/kann. Vielen Dank schon mal im voraus =)

[ruedigerp]

Moin,

du musst doch nur die location /.woll-known per Proxy_pass auf den Host umleiten der letsencrypt verwaltet.

auf dem 2. Webserver (10.11.11.12)

location /.well-known {
# proxy_pass http://IP-Deines-Letsencrypt-backends;
proxy_pass http://10.11.11.11;
}

Anschliessend auf dem host den Certbot laufen lassen und die Certs liegen in archive.
Die location config für Port 80,443 und beim default vhost eintragen. Dann kannst Du Certs schon mal anlegen bevor eine Domain auf dem Host aktivert wurde und auch das erste Cert klappt dann auch wenn noch gar kein SSL für eine Domain funktioniert.