Hallo zusammen
Ist zwar nicht direkt ne Linux-Frage, aber evtl. weiss das jemand von euch?
Wieso muss ich, wenn der Let's Encrypt Bot nach x Monaten das Zertifikat neu anfordert, ständig den _acme.domain.com-DNS-TXT-Record wieder neu von Hand in der DNS-Konfig der entsprechenden Domain eintragen?
KERNFRAGE: Wieso kann dieser nicht einfach immer der Selbe sein...? Wenn ich z.B. bei Google Seiten eintrage (ich weiss, ist ein anderes Thema, aber letztendlich geht's auch um Verifikation), muss ich ja auch nicht ständig wenn sich das ändert das statische Google HTML-Verifikations-File ODER die ensprechenden Meta-Tags ändern?
Wieso kann der _acme.domain.com-DNS-TXT-Record nicht einfach auf ewig der Selbe bleiben? Finde das ein wenig mühsam (aktuell verwende ich Plesk) - es würde aber (theoretisch zumindest) Möglichkeiten geben den _acme.domain.com-DNS-TXT-Record automaisch per API (falls der DNS-Anbieter das unterstützt, was bei dns.he.net der Fall wäre) upzudaten BEVOR das Wildcard-Zertifikat neu ausgestellt wird.
Besten Dank für eure Feedbacks!
ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken? [Gelöst]
ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken? [Gelöst]
Zuletzt geändert von jmar83 am 24.05.2022 10:27:12, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan
Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?
Moin,
die Frage warum das so sein muss ist denke mal klar. Ein Zertifikat ist halt etwas um zu zertifizieren. Und da sollte man sich schon vergewissern ob die Domain noch in der Hand des Antragstellers ist.
Ob dein DNS-Anbieter von z.B. Certbot unterstützt wird, kannst du hier nachlesen.
Wenn du deine Domain nicht zu einem der Anbieter umziehen kannst/möchtest, dann bleit noch der Weg mit challenge-alias und einer weiteren Domain(so habe ich das) und acme.sh. Der Bot kann das. Ich weiß nicht ob der Certbot das vielleicht auch schon kann.
die Frage warum das so sein muss ist denke mal klar. Ein Zertifikat ist halt etwas um zu zertifizieren. Und da sollte man sich schon vergewissern ob die Domain noch in der Hand des Antragstellers ist.
Ob dein DNS-Anbieter von z.B. Certbot unterstützt wird, kannst du hier nachlesen.
Wenn du deine Domain nicht zu einem der Anbieter umziehen kannst/möchtest, dann bleit noch der Weg mit challenge-alias und einer weiteren Domain(so habe ich das) und acme.sh. Der Bot kann das. Ich weiß nicht ob der Certbot das vielleicht auch schon kann.
Gruß Ole
AbuseIPDB
AbuseIPDB
Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?
Aber bei Google muss ich ja z.B. auch nicht jedes mal das stat HTML-Verfikationsfile ODER die Meta-Tags ODER den DNS-TXT-Record ändern...
Einmal ein solches Token abzulegen wäre sicher genug und somit sinnvoller? *
Oder, anders formuliert: Wo liegt mein Denkfehler *, wenn ich dies so sehe...?
Einmal ein solches Token abzulegen wäre sicher genug und somit sinnvoller? *
Oder, anders formuliert: Wo liegt mein Denkfehler *, wenn ich dies so sehe...?
Freundliche Grüsse, Jan
Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?
Es geht um den Stellenwert den ein Zertifikat hat. Wenn dir jemand die Google identität klaut, dann logt er deinen Trafic. Wenn dir aber jemand die Zertifikatsidentität klaut ist das schon gravierender. Der könnte Unterzertifikate erstellen oder in deinem Namen etwas signieren usw.
Gruß Ole
AbuseIPDB
AbuseIPDB
Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?
Vielen Dank für die Klarstellung!!
Freundliche Grüsse, Jan