Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SSL - Strato - Letsencrypt für Dummies - was tun für DNS-01 Challange?

Mitglied: JiggyLee

JiggyLee (Level 1) - Jetzt verbinden

30.06.2020, aktualisiert 15:34 Uhr, 284 Aufrufe, 10 Kommentare

Hallo an alle,

ich möchte die Sicherheit innerhalb meines Heimnetzes ein wenig verbessern. Ich habe mich bisher immer nur auf meine Fritz Box verlassen.

Ich verwende Opnsense (eine Open Source Firewall) und bin damit auch sehr zufrieden.

Um die Sicherheit bei mir zu verbessern, möchte ich das Dashboard meiner Firewall mit Letsencrypt zertifizieren lassen.

Für meine Firewall habe ich eine Subdomain, sowie den passenden A Record eingerichtet und DynDNS aktiviert.

Jetzt ist die Ausstellung der Zertifikate mit Letsencrypt doch ein wenig kniffliger als ich dachte.

Scheinbar möchte mein Letsencrypt Plugin (acme) bei der Überprüfungsmethode (http-01), dass ich Port 80 auf meiner Firewall öffne. Da ich das persönlich riskanter finde als eine DNS-01 Challange, wollte ich mal fragen, ob ich das auch ohne Wildcard Zertifikat bewerkstelligen kann?

Bei der Überprüfung meiner Subdomain bekam ich online folgendes Ergebnis:

Ich habe zum test mal Port 80 mit Ziel Port 80 auf die Firewall freigeschaltet. Das hatte trotzdem nicht geklappt... Ich habe allerdings noch nicht versucht Port 80 auf den Acme port zu lenken...

Da DNS-01 noch eine Alternative ist, möchte ich wissen was ich einstellen muss.

Wenn ich den DNS Challange ohne die einstellung im DNS versuche, sehe ich folgende Meldung:

Man muss im TXT-Record einen Präfix setzen. -> _acme-challange

Im Internet findet man zu dem Thema in Bezug auf Strato und den dazu nötigen TXT-Record nur relativ wenig.
Allerdings scheint das in den unterschiedlichsten Variationen bei Strato nicht zu funktionieren. Was ich versucht habe:

Außerdem meinen sogar andere, man benötigt 2 TXT-Records.

Meine Fragen nun:

- Benötige ich für die DNS Challange ein Wildcard Zertifikat?
- Muss ich für ein Wildcard Zertifikat ein SSL Starter Paket bei Strato kaufen und über die Strato alle Sub-/ Domains verschlüsseln lassen?
- Muss man den TXT-Record nur bei der zu zertifiziernden Subdomain hinterlegen, oder benötigt die eigentliche Domain auch einen TXT Record?
Ich vermute mal, den muss man dann so aufbauen (example.com = TXT _acme-challange._example.com , Wert = <schlüssel>) ( sub.example.com = TXT _acme-challange._sub.example.com , Wert = <schlüssel2> )
- Wirkt der Wert innerhalb des Text records wie eine Art Passwort? Sprich acme benötigt den gleichen wert <schlüssel2> für meine subdomain?
- Benötige ich überhaupt DynDNS wenn ich meine Plattform nur von Intern erreichen will? Ich bekomme von Strato auch keine Dynamische IP zugewiesen

Bin für jede Hilfe dankbar!
Mitglied: bloodstix
30.06.2020 um 11:42 Uhr
Hallo,

der Text ist echt schwer zu lesen.
Eigentlich sagt der certbot-Client dir was zu tun ist.
Bei DNS-Challenge wird er dich nacheinander dazu auffordern 2 TXT-Records mit dem Namen "_acme-challenge.sub.example.com" anzulegen mit dem Wert den es dir nennt. In deinem Log wäre das "EX23iU_VajbWqEm4jiEyzKtqcOCZ9d7qelIo0MxLPNA".

Frage: Wo läuft der letsencrypt-client ?

Gruß
bloody
Bitte warten ..
Mitglied: JiggyLee
30.06.2020 um 11:51 Uhr
HI,

danke fürs schnelle Feedback. Ich werds gleich ändern.

Der Client läuft direct auf der Firewall. Dort möchte ich auch das Zertifikat für das Dashboard installieren.
Bitte warten ..
Mitglied: JiggyLee
30.06.2020, aktualisiert 01.07.2020
Übrigens genau an dem Punkt scheitert ja das ganze. Ich kann diesen TXT Record mit dem Präfix _acme-challange.sub.example.com nicht anlegen.
Laut Beispiel Syntax von Strato müsste das so aussehen: _selector._domainkey

edit:
Man muss für den TXT Record folgendes eingeben:

_acme-challenge._domainkey

Kann mir trotzdem jemand die restlichen Fragen beantworten?
Bitte warten ..
Mitglied: SlainteMhath
30.06.2020 um 13:55 Uhr
Moin,

nur mal so nebenbei bemerkt: Die "Absicherung" deines FW-Dashboards mittels SSL verbessert weder die Sicherheit in deinem Netzwerk, noch verhindert es DNS Rebinding Attacks

Schau mal was hier https://en.wikipedia.org/wiki/DNS_rebinding unter "Protection" steht.

lg,
Slainte
Bitte warten ..
Mitglied: JiggyLee
30.06.2020 um 14:23 Uhr
Viele der Techniken aus dem Artikel sind mir bereits bekannt. Doch schon die Verwendung von OpenDNS allein hilft nicht, weil OpenDNS trotzdem unverschlüsselt über Port 53 kommuniziert. Das war nämlich ein Angriffsvektor bei dem rebinding. (DoT habe ich nachträglich eingerichtet) Ich will nur weg von Selbstsignierten Zertifikaten für Oberflächen. Ich möchte mir nur den Aufwand ersparen für alle Geräte eine PKI für Zertifikate aufzubauen, die ich dann auch auf alle Clients verteilen muss.
Bitte warten ..
Mitglied: SlainteMhath
30.06.2020 um 14:50 Uhr
Selbstsignierte Zertifikate mindern NICHT die Sicherheit der SSL-Verbindung (je nach Einsatzszenario sind SelfSigned Cert sogar SICHERER als jene von öffentlichen PKIs) aber egal...

Und nein OpenDNS schützt natürlich nicht vor Rebinding Attacken (wie auch) Angriffplattform hierfür ist ja i.d.R. Javascript und Konsorten...
Bitte warten ..
Mitglied: tech-flare
30.06.2020 um 16:23 Uhr
Um das ganze zu automatisieren ist strato eher ungeeignet als Domain Host.

Der TXT Eintrag muss aller 3 Monate erneuert werden. Bessere wäre da ein reiner DomainHoster mit API wie zum Beispiel inwx o.ä.
Bitte warten ..
Mitglied: JiggyLee
30.06.2020 um 16:54 Uhr
Scheint als hätte das jemand bereits hinbekommen.

HowTo
Bitte warten ..
Mitglied: BirdyB
30.06.2020 um 22:32 Uhr
Zitat von JiggyLee:

_acme-challange._domainkey

Nö, das heißt _acme-challenge._domainkey
Richtig abschreiben müsstest du schon.
Bitte warten ..
Mitglied: JiggyLee
03.07.2020 um 09:30 Uhr
Danke! Habs geändert.

Hilft trotzdem nicht. :D
Bitte warten ..
Ähnliche Inhalte
Administrator.de Feedback
Neues SSL-Zertifikat von Letsencrypt
Information von admtechAdministrator.de Feedback1 Kommentar

Hallo Administrator User, wir benutzen ab sofort für die administrator.de Domäne ein SSL-Zertifikat von Letsencrypt. Wie immer erhalten wir ...

Hosting & Housing

Frage zu SSL-Zertifikaten von Letsencrypt

gelöst Frage von vafk18Hosting & Housing6 Kommentare

Guten Tag, ich bin seit Eweigkeiten bei Strato und habe dort mein Webhosting. In meinem Paket wird mir genau ...

Windows Server

DNS Weiterleitung Strato

gelöst Frage von 127941Windows Server6 Kommentare

Hallo, ich habe mir vor kurzem ein Domain Controller mit Windows Server 2012 r2 Standard aufgesetzt. Meine Domäne heißt ...

Netzwerkprotokolle

Nextcloudpi und letsencrypt

gelöst Frage von lumpdidumpNetzwerkprotokolle5 Kommentare

Hallo liebe Gemeinde, es geht um eine Nextcloudpi 15, die ich auf einem Raspberrypi installiert habe. Ja, ich hatte ...

Neue Wissensbeiträge
Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 5 StundenRouter & Routing

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Netzwerke
PfSense und OPNsense Client VPN mit L2TP Protokoll
Anleitung von aqui vor 13 StundenNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 3 TagenDatenschutz2 Kommentare

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 5 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Heiß diskutierte Inhalte
Firewall
Sophos XG Firewall mit RED 15 verbinden
Frage von roeggiFirewall23 Kommentare

Hallo Zusammen Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall. Ich habe das ...

Festplatten, SSD, Raid
Raid5 SAS HDD auf RAID10 SSD ML350 G8
gelöst Frage von DCFan01Festplatten, SSD, Raid19 Kommentare

Hallo Community, ich habe hier bei mir einen HPE ML350G8, mit P440 Raid-Controller und derzeit 4x SAS 10K HDD ...

Video & Streaming
Kaufberatung gesucht: Überwachungskamera
Frage von SarekHLVideo & Streaming17 Kommentare

Hallo zusammen, der Bereich hinter unserer Kirche hat sich zu einem abendlichen Treffpunkt für Jugendliche entwickelt, die dort regelmäßig ...

VB for Applications
VB Script Webseite open
gelöst Frage von MrLabelVB for Applications13 Kommentare

Hallo, ich habe ein VB Script geschrieben zur Anmeldung an einer Webseite. Das läuft auch alles gut soweit - ...