Cerbot, STRATO, Wildcard-Zertifikat und kein Auto-Renew

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63
Für die Einrichtung von Certbot für STRATO und Wildcard-Zertifikate findet man mehr als genug Anleitungen, obwohl dieser Teil eigentlich recht einfach zu bewältigen ist.
Das böse Erwachen kam nach zwei Monaten, als meine späte Erkenntnis kam, dass der TXT-Record mit _acme-challenge vor jedem Renew ebenfalls neu gesetzt werden muss. Und genau das lässt sich nur mit einer zum Provider passenden DNS-API automatisieren. Diese API gibt es für STRATO leider nicht oder zumindest nicht offiziell.
Irgendwann habe ich dann https://github.com/Buxdehuda/strato-certbot gefunden und auf ein leichtes Spiel gehofft. Aber Python unter Windows ist so gar nicht mein Ding und ich scheiterte grandios.

Falls jemand mit diesem strato-certbot vertraut ist und mir Hilfestellung leisten könnte?
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,764
Punkte für Reaktionen
117
Punkte
63
Ich hatte mal bei Strato nachgefragt, ob es sowas wie eine DNS-API gibt, nicht unbedingt für Certbot, eher für ACME.
Die Antwort war negativ - gibt es nicht.
 

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63
Danke für die Reaktion.
Aber mit ACME stehe ich vor demselben Problem, denn Wildcard Zertifikate verlangen zwingend die DNS-01 Challenge, unabhängig vom Bot.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,764
Punkte für Reaktionen
117
Punkte
63
Genau das wollt ich ja damit sagen - bei Strato sieht's damit wohl eher schlecht aus.
Aber erstell doch bitte auch mal einen Feature-Request - vielleicht hilft's ja, wenn mehrere das tun.
 
Zuletzt bearbeitet:

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,347
Punkte für Reaktionen
149
Punkte
63
Kannst du die Nameserver umbiegen? Denkbar wäre es für die ganze Domain, oder für eine spezifische "dyn" Subdomain. HE oder Cloudflare sind dann typische Ziele für sowas, da ist die API recht einfach und lässt sich teilweise einfach per wget oder curl bedienen.
 

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63
"Nameserver umbiegen" ist bei dem Hosting-Paket keine Option.

Nun musste ich das Renew manuell erledigen und habe dann wieder 90 Tage Zeit für die Python-Lösung von Buxdehuda.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,347
Punkte für Reaktionen
149
Punkte
63
"Nameserver umbiegen" ist bei dem Hosting-Paket keine Option.
Kann man das nicht einstellen, oder ist es nur für dich keine Option? Man kann ja auch bei einem externen Nameserver die A und AAAA Records wieder zu Strato IPs zeigen lassen.

Ich kenne Strato nicht, deshalb kann das natürlich so sein. Ich wunder mich nur, dass man txt records erzeugen kann und sogar eine API hat, und ns records gehen nicht. Aber wie gesagt, ist denkbar.

Ich mache es übrigens bei netcup, nur so am Rande. Aber mit einem Root Server, nicht mit einem Webhosting Paket. Möglicherweise sind da die DNS Möglichkeiten auch schon wieder anders. Aber die haben auch eine DNS API, für die es auch fertige certbot Hook Scripte gibt.
 

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63
Man hat bei STRATO leider keine API für die DNS-Einträge, sondern nur die bucklige Weboberfläche.
Und das mit dem Umbiegen hatte ich nicht sofort gleichgesetzt mit "NS-Record setzen".
Aktuell ist das für die Hauptdomain leider keine Option, aber genau für die benötige ich das LE-Wildcard-Zertifikat.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,347
Punkte für Reaktionen
149
Punkte
63
Man hat bei STRATO leider keine API für die DNS-Einträge, sondern nur die bucklige Weboberfläche.
Das ist natürlich heikel. Wenn die das Layout der Webseite nur ein wenig verändern, dann funktionieren die Pythonscripte von oben vermutlich nicht mehr. Da muss man also auch hoffen, dass die permanent aktuell gehalten werden.
 

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63
Nun hatte ich nach dem "Verbrennen" der ersten Domain einen "halb erfolgreichen" Durchlauf. Halb, weil die Scripts funktionieren aber das Timing absolut nicht funktioniert.

Und das ist vermutlich ein hausgemachtes Problem, denn Python öffnet hier aus dem Certbot heraus (unter Windows) immer ein eigenes Fenster, auf das selbstverständlich nicht gewartet wird und dann kommt der TXT-Eintrag für den gnadenlos weiter laufenden Certbot unweigerlich zu spät.
 

bugmenotbugmenot

Neuer User
Mitglied seit
10 Jun 2018
Beiträge
143
Punkte für Reaktionen
27
Punkte
28
Einen CNAME für die _acme-challenge Subdomain wird man sogar bei Strato anlegen können, oder? Damit kann man den TXT-Record bei einem DNS-Hoster mit API unterbringen und automatisiert ändern. Das ist eine offiziell akzeptierte Methode.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,764
Punkte für Reaktionen
117
Punkte
63
Ich vermute, du beziehst dich darauf:
Since Let’s Encrypt follows the DNS standards when looking up TXT records for DNS-01 validation, you can use CNAME records or NS records to delegate answering the challenge to other DNS zones. This can be used to delegate the _acme-challenge subdomain to a validation-specific server or zone. It can also be used if your DNS provider is slow to update, and you want to delegate to a quicker-updating server.
Kannst du kurz erklären, wie man das einrichtet?
 

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63
Klingt wirklich cool, nur STRATO lässt keine Unterstriche in (Sub-)Domain-Namen zu.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,764
Punkte für Reaktionen
117
Punkte
63
Mit _acme-challenge ist m.E. der/die TXT-Record(s) und nicht die Subdomain gemeint.
 

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,576
Punkte für Reaktionen
244
Punkte
63
Das von dir Zitierte/Verlinkte klingt aber etwas anders. Aber vielleicht habe ich das noch nicht komplett verstanden.
 

bugmenotbugmenot

Neuer User
Mitglied seit
10 Jun 2018
Beiträge
143
Punkte für Reaktionen
27
Punkte
28
Ein CNAME record für _acme-challenge.deinedomain.example lässt sich bei Strato problemlos anlegen.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,764
Punkte für Reaktionen
117
Punkte
63
Und was dann? Muss der auf eine Domain zeigen, dessen Provider DNS-API unterstützt?
 
Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via