Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
letsencrypt_dns01 [2018/02/03 23:23] – mazdermind | letsencrypt_dns01 [2020/11/29 18:35] (current) – [Schritt 2: Key in bind-config eintragen] andi | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== HowTo Relay/ | ====== HowTo Relay/ | ||
- | ===== Warum eigentlich | + | ===== Warum eigentlich dns-01? ===== |
- | Die `dns-01`-Challenge ist eindeutig komplizierter als die meist als Default eingesetzte | + | Die '' |
- | Das Hauptproblem sind die Domains | + | Das Hauptproblem sind die Domains |
Vor dem 34C3 lief das so und da die LE-Clients es im Fehlerfall nach einiger Zeit erneut versuchen kam irgendwann auch mal eine erfolgreiche Challenge-Response durch – aber verlässlich ist das nicht und es bricht auch falls wir irgendwann mal mehr LBs als 2 einsetzen wollen. | Vor dem 34C3 lief das so und da die LE-Clients es im Fehlerfall nach einiger Zeit erneut versuchen kam irgendwann auch mal eine erfolgreiche Challenge-Response durch – aber verlässlich ist das nicht und es bricht auch falls wir irgendwann mal mehr LBs als 2 einsetzen wollen. | ||
- | Zusätzlich umgeht die `dns-01` das Problem dass unsere Domains je nach Systemtyp einen nginx oder einem haproxy oder beiden bedient werden. Auch wird das Ausrollen von neuen Systemen einfacher, da nicht mehr unterschieden werden muss, ob bereits ein Dienst auf den Ports `80`, `443` oder beiden lauscht oder noch nicht. | + | Zusätzlich umgeht die '' |
- | Letztenendes erlaubt es uns `dns-01` auch Hosts mit korrekten LE-Zertifikaten zu versorgen, die selbst nicht im Internet Verfügbar sind (`live.lan.c3voc.de` auf einem nicht-Congess-Event z.B.). | + | Letztenendes erlaubt es uns '' |
- | Dies rechtfertigt mMn. die einmalige, komplexere Konfiguration. Während des Congresses empfiehlt es sich dennoch, die [[letsencrypt_fake]]-Config zu benverwenden. | + | Dies rechtfertigt mMn. die einmalige, komplexere Konfiguration. Während des Congresses empfiehlt es sich dennoch, die [[letsencrypt_fake]]-Config zu verwenden. |
===== Schritt 1: DNSSEC-Keypair generieren ===== | ===== Schritt 1: DNSSEC-Keypair generieren ===== | ||
- | Als `voc@mngslave.dus.c3voc.de` in einem Verzeichnis deiner Wahl folgendes ausführen: | + | Als '' |
< | < | ||
/ | / | ||
</ | </ | ||
- | Das Kommando generiert zwei Dateien: | + | Das Kommando generiert zwei Dateien: |
- | Die Zahl hinter | + | Die Zahl hinter |
===== Schritt 2: Key in bind-config eintragen ===== | ===== Schritt 2: Key in bind-config eintragen ===== | ||
- | In `/ | + | In '' |
Dieser Block macht den Key unter dem angegebenen Namen den bind-Server bekannt. | Dieser Block macht den Key unter dem angegebenen Namen den bind-Server bekannt. | ||
< | < | ||
key " | key " | ||
- | | + | |
- | secret " | + | secret " |
}; | }; | ||
</ | </ | ||
Line 61: | Line 61: | ||
600 | 600 | ||
) | ) | ||
- | NS ns1.c3voc.d | + | NS ns1.c3voc.de |
</ | </ | ||
- | In der Datei `/ | + | In der Datei '' |
- | Dieser Block deligiert die Sub-Zone mit den ACME-Challenges an einen einzelnen DNS-Server (`ns1.c3voc.de. == `mngslave.dus.c3voc.de.`), so dass für dei `dns-01`-Challenge nur dieser eine Server aktualisiert werden muss. | + | Dieser Block deligiert die Sub-Zone mit den ACME-Challenges an einen einzelnen DNS-Server ('' |
< | < | ||
$ORIGIN _acme-challenge.live.somewhere.c3voc.de. | $ORIGIN _acme-challenge.live.somewhere.c3voc.de. | ||
@ | @ | ||
</ | </ | ||
+ | |||
+ | Zum Abschluss den DNS-Server reloaden: `sudo service bind9 reload` | ||
===== Key und Private in KeePass eintragen ===== | ===== Key und Private in KeePass eintragen ===== | ||
- | In der Gruppe | + | In der Gruppe |
- | Unter `Advanced-> | + | Unter '' |
===== Schritt 4: Neuen Host deployen ===== | ===== Schritt 4: Neuen Host deployen ===== | ||
- | Ein Ansible-Deployment mit `--tags letsencrypt` sollte nun erfolgreich sein und alle nötigen Zertifikate anlegen. | + | Ein Ansible-Deployment mit '' |