Cerbot, STRATO, Wildcard-Zertifikat und kein Auto-Renew

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
2,310
Punkte für Reaktionen
387
Punkte
83
Für die Einrichtung von Certbot für STRATO und Wildcard-Zertifikate findet man mehr als genug Anleitungen, obwohl dieser Teil eigentlich recht einfach zu bewältigen ist.
Das böse Erwachen kam nach zwei Monaten, als meine späte Erkenntnis kam, dass der TXT-Record mit _acme-challenge vor jedem Renew ebenfalls neu gesetzt werden muss. Und genau das lässt sich nur mit einer zum Provider passenden DNS-API automatisieren. Diese API gibt es für STRATO leider nicht oder zumindest nicht offiziell.
Irgendwann habe ich dann https://github.com/Buxdehuda/strato-certbot gefunden und auf ein leichtes Spiel gehofft. Aber Python unter Windows ist so gar nicht mein Ding und ich scheiterte grandios.

Falls jemand mit diesem strato-certbot vertraut ist und mir Hilfestellung leisten könnte?
 
Ich hatte mal bei Strato nachgefragt, ob es sowas wie eine DNS-API gibt, nicht unbedingt für Certbot, eher für ACME.
Die Antwort war negativ - gibt es nicht.
 
Danke für die Reaktion.
Aber mit ACME stehe ich vor demselben Problem, denn Wildcard Zertifikate verlangen zwingend die DNS-01 Challenge, unabhängig vom Bot.
 
Genau das wollt ich ja damit sagen - bei Strato sieht's damit wohl eher schlecht aus.
Aber erstell doch bitte auch mal einen Feature-Request - vielleicht hilft's ja, wenn mehrere das tun.
 
Zuletzt bearbeitet:
Kannst du die Nameserver umbiegen? Denkbar wäre es für die ganze Domain, oder für eine spezifische "dyn" Subdomain. HE oder Cloudflare sind dann typische Ziele für sowas, da ist die API recht einfach und lässt sich teilweise einfach per wget oder curl bedienen.
 
"Nameserver umbiegen" ist bei dem Hosting-Paket keine Option.

Nun musste ich das Renew manuell erledigen und habe dann wieder 90 Tage Zeit für die Python-Lösung von Buxdehuda.
 
"Nameserver umbiegen" ist bei dem Hosting-Paket keine Option.
Kann man das nicht einstellen, oder ist es nur für dich keine Option? Man kann ja auch bei einem externen Nameserver die A und AAAA Records wieder zu Strato IPs zeigen lassen.

Ich kenne Strato nicht, deshalb kann das natürlich so sein. Ich wunder mich nur, dass man txt records erzeugen kann und sogar eine API hat, und ns records gehen nicht. Aber wie gesagt, ist denkbar.

Ich mache es übrigens bei netcup, nur so am Rande. Aber mit einem Root Server, nicht mit einem Webhosting Paket. Möglicherweise sind da die DNS Möglichkeiten auch schon wieder anders. Aber die haben auch eine DNS API, für die es auch fertige certbot Hook Scripte gibt.
 
Man hat bei STRATO leider keine API für die DNS-Einträge, sondern nur die bucklige Weboberfläche.
Und das mit dem Umbiegen hatte ich nicht sofort gleichgesetzt mit "NS-Record setzen".
Aktuell ist das für die Hauptdomain leider keine Option, aber genau für die benötige ich das LE-Wildcard-Zertifikat.
 
Man hat bei STRATO leider keine API für die DNS-Einträge, sondern nur die bucklige Weboberfläche.
Das ist natürlich heikel. Wenn die das Layout der Webseite nur ein wenig verändern, dann funktionieren die Pythonscripte von oben vermutlich nicht mehr. Da muss man also auch hoffen, dass die permanent aktuell gehalten werden.
 
Nun hatte ich nach dem "Verbrennen" der ersten Domain einen "halb erfolgreichen" Durchlauf. Halb, weil die Scripts funktionieren aber das Timing absolut nicht funktioniert.

Und das ist vermutlich ein hausgemachtes Problem, denn Python öffnet hier aus dem Certbot heraus (unter Windows) immer ein eigenes Fenster, auf das selbstverständlich nicht gewartet wird und dann kommt der TXT-Eintrag für den gnadenlos weiter laufenden Certbot unweigerlich zu spät.
 
Einen CNAME für die _acme-challenge Subdomain wird man sogar bei Strato anlegen können, oder? Damit kann man den TXT-Record bei einem DNS-Hoster mit API unterbringen und automatisiert ändern. Das ist eine offiziell akzeptierte Methode.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
Ich vermute, du beziehst dich darauf:
Since Let’s Encrypt follows the DNS standards when looking up TXT records for DNS-01 validation, you can use CNAME records or NS records to delegate answering the challenge to other DNS zones. This can be used to delegate the _acme-challenge subdomain to a validation-specific server or zone. It can also be used if your DNS provider is slow to update, and you want to delegate to a quicker-updating server.
Kannst du kurz erklären, wie man das einrichtet?
 
Klingt wirklich cool, nur STRATO lässt keine Unterstriche in (Sub-)Domain-Namen zu.
 
Mit _acme-challenge ist m.E. der/die TXT-Record(s) und nicht die Subdomain gemeint.
 
Das von dir Zitierte/Verlinkte klingt aber etwas anders. Aber vielleicht habe ich das noch nicht komplett verstanden.
 
Ein CNAME record für _acme-challenge.deinedomain.example lässt sich bei Strato problemlos anlegen.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
Und was dann? Muss der auf eine Domain zeigen, dessen Provider DNS-API unterstützt?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.