letsencrypt_dns01

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
letsencrypt_dns01 [2018/02/03 23:24] mazdermindletsencrypt_dns01 [2020/11/29 18:35] (current) – [Schritt 2: Key in bind-config eintragen] andi
Line 1: Line 1:
 ====== HowTo Relay/LoadBalancer für dns-01 konfigurieren ====== ====== HowTo Relay/LoadBalancer für dns-01 konfigurieren ======
  
-===== Warum eigentlich ''dns-01''? =====+===== Warum eigentlich dns-01? =====
 Die ''dns-01''-Challenge ist eindeutig komplizierter als die meist als Default eingesetzte ''http-01''-Challenge, allerdings behebt sie in unserem Nutzungskontext einige Probleme- Die ''dns-01''-Challenge ist eindeutig komplizierter als die meist als Default eingesetzte ''http-01''-Challenge, allerdings behebt sie in unserem Nutzungskontext einige Probleme-
  
Line 11: Line 11:
 Letztenendes erlaubt es uns ''dns-01'' auch Hosts mit korrekten LE-Zertifikaten zu versorgen, die selbst nicht im Internet Verfügbar sind (''live.lan.c3voc.de'' auf einem nicht-Congess-Event z.B.). Letztenendes erlaubt es uns ''dns-01'' auch Hosts mit korrekten LE-Zertifikaten zu versorgen, die selbst nicht im Internet Verfügbar sind (''live.lan.c3voc.de'' auf einem nicht-Congess-Event z.B.).
  
-Dies rechtfertigt mMn. die einmalige, komplexere Konfiguration. Während des Congresses empfiehlt es sich dennoch, die [[letsencrypt_fake]]-Config zu benverwenden.+Dies rechtfertigt mMn. die einmalige, komplexere Konfiguration. Während des Congresses empfiehlt es sich dennoch, die [[letsencrypt_fake]]-Config zu verwenden.
  
  
Line 27: Line 27:
 <code> <code>
 key "le-dns-challenge.live.somewhere.c3voc.de" { key "le-dns-challenge.live.somewhere.c3voc.de" {
-        algorithm hmac-sha256; +  algorithm hmac-sha256; 
-        secret "xX3TgmAd0SesdD8wtK4kstrGZU7VYVbUC27V/S9qslk=";+  secret "xX3TgmAd0SesdD8wtK4kstrGZU7VYVbUC27V/S9qslk=";
 }; };
 </code> </code>
Line 49: Line 49:
 </code> </code>
  
-Eine Datei ''/var/cache/bind/_acme-challenge.live.somewhere.c3voc.de'' mit folgendem Inhalt anlegen:+Eine Datei `/var/cache/bind/_acme-challenge.live.somewhere.c3voc.demit folgendem Inhalt anlegen:
 Dies ist eine leere Zonendatei, die in Zukunft vom bind-Server verwaltet werden wird. Dies ist eine leere Zonendatei, die in Zukunft vom bind-Server verwaltet werden wird.
 <code> <code>
Line 61: Line 61:
  600        ; minimum (10 minutes)  600        ; minimum (10 minutes)
  )  )
- NS ns1.c3voc.d+ NS ns1.c3voc.de
 </code> </code>
  
 In der Datei ''/etc/bind/zones/c3voc.de/zone.db'' am Angang die Serial-Nr um 1 erhöhen und am Ende einen solchen Block einfügen In der Datei ''/etc/bind/zones/c3voc.de/zone.db'' am Angang die Serial-Nr um 1 erhöhen und am Ende einen solchen Block einfügen
-Dieser Block deligiert die Sub-Zone mit den ACME-Challenges an einen einzelnen DNS-Server (''ns1.c3voc.de.'' == ''mngslave.dus.c3voc.de.''), so dass für dei ''dns-01''-Challenge nur dieser eine Server aktualisiert werden muss.+Dieser Block deligiert die Sub-Zone mit den ACME-Challenges an einen einzelnen DNS-Server (''ns1.c3voc.de.'' \== ''mngslave.dus.c3voc.de.''), so dass für die ''dns-01''-Challenge nur dieser eine Server aktualisiert werden muss.
 <code> <code>
 $ORIGIN _acme-challenge.live.somewhere.c3voc.de. $ORIGIN _acme-challenge.live.somewhere.c3voc.de.
 @             IN      NS     ns1.c3voc.de. @             IN      NS     ns1.c3voc.de.
 </code> </code>
 +
 +Zum Abschluss den DNS-Server reloaden: `sudo service bind9 reload` 
  
 ===== Key und Private in KeePass eintragen ===== ===== Key und Private in KeePass eintragen =====
  • letsencrypt_dns01.1517696660.txt.gz
  • Last modified: 2018/02/03 23:24
  • by mazdermind