SSL - Strato - Letsencrypt für Dummies - was tun für DNS-01 Challange?
Hallo an alle,
ich möchte die Sicherheit innerhalb meines Heimnetzes ein wenig verbessern. Ich habe mich bisher immer nur auf meine Fritz Box verlassen.
Ich verwende Opnsense (eine Open Source Firewall) und bin damit auch sehr zufrieden.
Um die Sicherheit bei mir zu verbessern, möchte ich das Dashboard meiner Firewall mit Letsencrypt zertifizieren lassen.
Für meine Firewall habe ich eine Subdomain, sowie den passenden A Record eingerichtet und DynDNS aktiviert.
Jetzt ist die Ausstellung der Zertifikate mit Letsencrypt doch ein wenig kniffliger als ich dachte.
Scheinbar möchte mein Letsencrypt Plugin (acme) bei der Überprüfungsmethode (http-01), dass ich Port 80 auf meiner Firewall öffne. Da ich das persönlich riskanter finde als eine DNS-01 Challange, wollte ich mal fragen, ob ich das auch ohne Wildcard Zertifikat bewerkstelligen kann?
Bei der Überprüfung meiner Subdomain bekam ich online folgendes Ergebnis:
Ich habe zum test mal Port 80 mit Ziel Port 80 auf die Firewall freigeschaltet. Das hatte trotzdem nicht geklappt... Ich habe allerdings noch nicht versucht Port 80 auf den Acme port zu lenken...
Da DNS-01 noch eine Alternative ist, möchte ich wissen was ich einstellen muss.
Wenn ich den DNS Challange ohne die einstellung im DNS versuche, sehe ich folgende Meldung:
Man muss im TXT-Record einen Präfix setzen. -> _acme-challange
Im Internet findet man zu dem Thema in Bezug auf Strato und den dazu nötigen TXT-Record nur relativ wenig.
Allerdings scheint das in den unterschiedlichsten Variationen bei Strato nicht zu funktionieren. Was ich versucht habe:
Außerdem meinen sogar andere, man benötigt 2 TXT-Records.
Meine Fragen nun:
- Benötige ich für die DNS Challange ein Wildcard Zertifikat?
- Muss ich für ein Wildcard Zertifikat ein SSL Starter Paket bei Strato kaufen und über die Strato alle Sub-/ Domains verschlüsseln lassen?
- Muss man den TXT-Record nur bei der zu zertifiziernden Subdomain hinterlegen, oder benötigt die eigentliche Domain auch einen TXT Record?
Ich vermute mal, den muss man dann so aufbauen (example.com = TXT _acme-challange._example.com , Wert = <schlüssel>) ( sub.example.com = TXT _acme-challange._sub.example.com , Wert = <schlüssel2> )
- Wirkt der Wert innerhalb des Text records wie eine Art Passwort? Sprich acme benötigt den gleichen wert <schlüssel2> für meine subdomain?
- Benötige ich überhaupt DynDNS wenn ich meine Plattform nur von Intern erreichen will? Ich bekomme von Strato auch keine Dynamische IP zugewiesen
Bin für jede Hilfe dankbar!
ich möchte die Sicherheit innerhalb meines Heimnetzes ein wenig verbessern. Ich habe mich bisher immer nur auf meine Fritz Box verlassen.
Ich verwende Opnsense (eine Open Source Firewall) und bin damit auch sehr zufrieden.
Um die Sicherheit bei mir zu verbessern, möchte ich das Dashboard meiner Firewall mit Letsencrypt zertifizieren lassen.
Für meine Firewall habe ich eine Subdomain, sowie den passenden A Record eingerichtet und DynDNS aktiviert.
Jetzt ist die Ausstellung der Zertifikate mit Letsencrypt doch ein wenig kniffliger als ich dachte.
Scheinbar möchte mein Letsencrypt Plugin (acme) bei der Überprüfungsmethode (http-01), dass ich Port 80 auf meiner Firewall öffne. Da ich das persönlich riskanter finde als eine DNS-01 Challange, wollte ich mal fragen, ob ich das auch ohne Wildcard Zertifikat bewerkstelligen kann?
Bei der Überprüfung meiner Subdomain bekam ich online folgendes Ergebnis:
Fatal: Check of /.well-known/acme-challenge/random-filename has a timeout. Creating a Letsencrypt certificate via http-01 challenge can't work. You need a running webserver (http) and an open port 80. If it's a home server + ipv4, perhaps a correct port forwarding port 80 extern ⇒ working port intern is required. Port 80 / http can redirect to another domain port 80 or port 443, but not other ports. If it's a home server, perhaps your ISP blocks port 80. Then you may use the dns-01 challenge. Trouble creating a certificate? Use https://community.letsencrypt.org/ to ask.
Ich habe zum test mal Port 80 mit Ziel Port 80 auf die Firewall freigeschaltet. Das hatte trotzdem nicht geklappt... Ich habe allerdings noch nicht versucht Port 80 auf den Acme port zu lenken...
Da DNS-01 noch eine Alternative ist, möchte ich wissen was ich einstellen muss.
Wenn ich den DNS Challange ohne die einstellung im DNS versuche, sehe ich folgende Meldung:
[Tue Jun 30 09:48:40 CEST 2020] d='sub.example.com'
[Tue Jun 30 09:48:40 CEST 2020] _d_alias
[Tue Jun 30 09:48:40 CEST 2020] txtdomain='_acme-challenge.sub.example.com'
[Tue Jun 30 09:48:40 CEST 2020] txt='EX23iU_VajbWqEm4jiEyzKtqcOCZ9d7qelIo0MxLPNA'
[Tue Jun 30 09:48:40 CEST 2020] d_api='/usr/local/share/examples/acme.sh/dnsapi/dns_nsupdate.sh'
[Tue Jun 30 09:48:40 CEST 2020] Found domain api file: /usr/local/share/examples/acme.sh/dnsapi/dns_nsupdate.sh
[Tue Jun 30 09:48:40 CEST 2020] Adding txt value: EX23iU_VajbWqEm4jiEyzKtqcOCZ9d7qelIo0MxLPNA for domain: _acme-challenge.sub.example.com
[Tue Jun 30 09:48:40 CEST 2020] adding _acme-challenge.sub.example.com. 60 in txt "EX23iU_VajbWqEm4jiEyzKtqcOCZ9d7qelIo0MxLPNA"
[Tue Jun 30 09:48:40 CEST 2020] error updating domain
[Tue Jun 30 09:48:41 CEST 2020] Error add txt for domain:_acme-challenge.sub.example.com
[Tue Jun 30 09:48:41 CEST 2020] _on_issue_err
Im Internet findet man zu dem Thema in Bezug auf Strato und den dazu nötigen TXT-Record nur relativ wenig.
Allerdings scheint das in den unterschiedlichsten Variationen bei Strato nicht zu funktionieren. Was ich versucht habe:
(Keine SPF-Regel)
_acme-challange.sub.example.com
_acme-challange._sub.example.com
_acme-challange._example.com
_acme-challange._
Außerdem meinen sogar andere, man benötigt 2 TXT-Records.
Meine Fragen nun:
- Benötige ich für die DNS Challange ein Wildcard Zertifikat?
- Muss ich für ein Wildcard Zertifikat ein SSL Starter Paket bei Strato kaufen und über die Strato alle Sub-/ Domains verschlüsseln lassen?
- Muss man den TXT-Record nur bei der zu zertifiziernden Subdomain hinterlegen, oder benötigt die eigentliche Domain auch einen TXT Record?
Ich vermute mal, den muss man dann so aufbauen (example.com = TXT _acme-challange._example.com , Wert = <schlüssel>) ( sub.example.com = TXT _acme-challange._sub.example.com , Wert = <schlüssel2> )
- Wirkt der Wert innerhalb des Text records wie eine Art Passwort? Sprich acme benötigt den gleichen wert <schlüssel2> für meine subdomain?
- Benötige ich überhaupt DynDNS wenn ich meine Plattform nur von Intern erreichen will? Ich bekomme von Strato auch keine Dynamische IP zugewiesen
Bin für jede Hilfe dankbar!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 583216
Url: https://administrator.de/contentid/583216
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
der Text ist echt schwer zu lesen.
Eigentlich sagt der certbot-Client dir was zu tun ist.
Bei DNS-Challenge wird er dich nacheinander dazu auffordern 2 TXT-Records mit dem Namen "_acme-challenge.sub.example.com" anzulegen mit dem Wert den es dir nennt. In deinem Log wäre das "EX23iU_VajbWqEm4jiEyzKtqcOCZ9d7qelIo0MxLPNA".
Frage: Wo läuft der letsencrypt-client ?
Gruß
bloody
der Text ist echt schwer zu lesen.
Eigentlich sagt der certbot-Client dir was zu tun ist.
Bei DNS-Challenge wird er dich nacheinander dazu auffordern 2 TXT-Records mit dem Namen "_acme-challenge.sub.example.com" anzulegen mit dem Wert den es dir nennt. In deinem Log wäre das "EX23iU_VajbWqEm4jiEyzKtqcOCZ9d7qelIo0MxLPNA".
Frage: Wo läuft der letsencrypt-client ?
Gruß
bloody
Moin,
nur mal so nebenbei bemerkt: Die "Absicherung" deines FW-Dashboards mittels SSL verbessert weder die Sicherheit in deinem Netzwerk, noch verhindert es DNS Rebinding Attacks
Schau mal was hier https://en.wikipedia.org/wiki/DNS_rebinding unter "Protection" steht.
lg,
Slainte
nur mal so nebenbei bemerkt: Die "Absicherung" deines FW-Dashboards mittels SSL verbessert weder die Sicherheit in deinem Netzwerk, noch verhindert es DNS Rebinding Attacks
Schau mal was hier https://en.wikipedia.org/wiki/DNS_rebinding unter "Protection" steht.
lg,
Slainte
Selbstsignierte Zertifikate mindern NICHT die Sicherheit der SSL-Verbindung (je nach Einsatzszenario sind SelfSigned Cert sogar SICHERER als jene von öffentlichen PKIs) aber egal...
Und nein OpenDNS schützt natürlich nicht vor Rebinding Attacken (wie auch) Angriffplattform hierfür ist ja i.d.R. Javascript und Konsorten...
Und nein OpenDNS schützt natürlich nicht vor Rebinding Attacken (wie auch) Angriffplattform hierfür ist ja i.d.R. Javascript und Konsorten...
Nö, das heißt _acme-challenge._domainkey
Richtig abschreiben müsstest du schon.
Richtig abschreiben müsstest du schon.