Login
Newsletter
Werbung
Di, 20. Dezember 2016, 14:00
Tipps::Netzwerk

»Let's Encrypt«-Zertifikate per DNS Auth generieren

Dieser Artikel zeigt, wie man gültige »Let's Encrypt«-Zertifikate für eine Subdomain per DNS Authentication generieren kann.

Wir betreiben einige hausinternen Dienste, die aus dem lokalen Netz über Subdomains im Stil von wiki.firma.example.com erreichbar sind. Manche dieser Dienste (in Zukunft hoffentlich alle) werden mit SSL abgesichert. Seit Let's Encrypt (LE) haben wir nun die Möglichkeit, kostenlose, sauber signierte Zertifikate zu erhalten. Seit einiger Zeit bietet LE auch die Möglichkeit, die Inhaberschaft per DNS Authentication zu bestätigen. Hier folgt eine Schritt für Schritt-Anleitung, sich ein LE Zertifikat für eine Subdomain mit Hilfe der Software manuale unter Verwendung von DNS Auth zu erstellen.

Voraussetzungen

  • Man benötigt Python3 sowie pip3
    • OS X: brew install python3. pip3 wird automatisch mit installiert
  • Man benötigt Zugriff auf den DNS, der die Domain verwaltet

Installation

pip3 install manuale

Registrierung und Erstellung des Zertifikats

Die Vorgehensweise der Erstellung eines Zertifikats für die Domain wiki.firma.example.com wäre folgende:

  • Registrierung: manuale register me@example.com
  • Autorisierung: manuale authorize wiki.firma.example.com

Das Resultat sollte sein:

DNS verification required. Make sure these records are in place:
  _acme-challenge.wiki.firma.example.com. IN TXT "HASH"
Press enter to continue.

Erst weiterlesen, dann RETURN drücken! Auf dem zuständigen DNS wird nun eine Subdomain _acme-challenge.wiki.firma.example.com. angelegt und für diese ein TXT-Eintrag mit dem zwischen den Anführungszeichen angegebenen Hash (z.B. x-676p1a4_v6wapLrhTaspuRjoPg3X-NMKDBJchzsho).

Sofern es die Subdomain vorher nicht bereits gab, sollte der Eintrag sofort für alle verfügbar sein. Testweise informiert man sich mit einem dig @8.8.8.8 TXT _acme-challenge.wiki.firma.example.com., ob zumindest die Google-Nameserver die Subdomain schon auflösen können und der korrekte Hash zurückgeliefert wird. Ist dies der Fall, geht es in dem immer noch wartenden Skript weiter durch Drücken von RETURN.

wiki.firma.example.com: waiting for verification. Checking in 5 seconds.
wiki.firma.example.com: OK! Authorization lasts until 2016-11-27T14:52:55Z.

1 domain(s) authorized. Let's Encrypt!

1 2 Nächste
In diesem Artikel:
Kommentare (Insgesamt: 3 || Alle anzeigen )
Re: Cool (Dr. Random, Di, 20. Dezember 2016)
Wenn Du eh schon acme.sh nutzt: dort gibt es mehrere Plugins für mehr oder weniger bekannte DNS-Provider und latürnich für eigene DNS-Server über nsupdate.
Re: Cool (holm, Di, 20. Dezember 2016)
Cool (morph027, Di, 20. Dezember 2016)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten

141
Mach­t's gut!

51
Neue Raspber­ry Pi-Va­ri­an­te mit 8 GB RAM

0
Genode 20.05 frei­ge­ge­ben

9
Sub­ver­si­on 1.14.0-LTS vor­ge­stellt

0
»Hum­ble Ci­ties: Sky­lines Bund­le« vor­ge­stellt

0
End of Life für Co­reOS Con­tai­ner Linux ver­kün­det

32
Elek­tra 0.9.2 er­schie­nen

8
Nex­tDNS ver­lässt die Be­ta-Pha­se

23
Tu­xe­do stellt Ga­mer-Note­book vor

0
Libre Gra­phics Mee­ting be­ginnt als On­li­ne-Va­ri­an­te
 
Werbung