Login
Login-Name Passwort


 
Newsletter
Werbung

Di, 20. Dezember 2016, 14:00

»Let's Encrypt«-Zertifikate per DNS Auth generieren

Dieser Artikel zeigt, wie man gültige »Let's Encrypt«-Zertifikate für eine Subdomain per DNS Authentication generieren kann.

Wir betreiben einige hausinternen Dienste, die aus dem lokalen Netz über Subdomains im Stil von wiki.firma.example.com erreichbar sind. Manche dieser Dienste (in Zukunft hoffentlich alle) werden mit SSL abgesichert. Seit Let's Encrypt (LE) haben wir nun die Möglichkeit, kostenlose, sauber signierte Zertifikate zu erhalten. Seit einiger Zeit bietet LE auch die Möglichkeit, die Inhaberschaft per DNS Authentication zu bestätigen. Hier folgt eine Schritt für Schritt-Anleitung, sich ein LE Zertifikat für eine Subdomain mit Hilfe der Software manuale unter Verwendung von DNS Auth zu erstellen.

Voraussetzungen

  • Man benötigt Python3 sowie pip3
    • OS X: brew install python3. pip3 wird automatisch mit installiert
  • Man benötigt Zugriff auf den DNS, der die Domain verwaltet

Installation

pip3 install manuale

Registrierung und Erstellung des Zertifikats

Die Vorgehensweise der Erstellung eines Zertifikats für die Domain wiki.firma.example.com wäre folgende:

  • Registrierung: manuale register me@example.com
  • Autorisierung: manuale authorize wiki.firma.example.com

Das Resultat sollte sein:

DNS verification required. Make sure these records are in place:
  _acme-challenge.wiki.firma.example.com. IN TXT "HASH"
Press enter to continue.

Erst weiterlesen, dann RETURN drücken! Auf dem zuständigen DNS wird nun eine Subdomain _acme-challenge.wiki.firma.example.com. angelegt und für diese ein TXT-Eintrag mit dem zwischen den Anführungszeichen angegebenen Hash (z.B. x-676p1a4_v6wapLrhTaspuRjoPg3X-NMKDBJchzsho).

Sofern es die Subdomain vorher nicht bereits gab, sollte der Eintrag sofort für alle verfügbar sein. Testweise informiert man sich mit einem dig @8.8.8.8 TXT _acme-challenge.wiki.firma.example.com., ob zumindest die Google-Nameserver die Subdomain schon auflösen können und der korrekte Hash zurückgeliefert wird. Ist dies der Fall, geht es in dem immer noch wartenden Skript weiter durch Drücken von RETURN.

wiki.firma.example.com: waiting for verification. Checking in 5 seconds.
wiki.firma.example.com: OK! Authorization lasts until 2016-11-27T14:52:55Z.

1 domain(s) authorized. Let's Encrypt!

Kommentare (Insgesamt: 3 || Alle anzeigen || Kommentieren )
Pro-Linux
Gewinnspiel
Neue Nachrichten
Werbung