• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Empfehlung für einen ACME- / Letsencrypt-Client

SolarCatcher

Well-Known Member
Themenstarter #1
Ich bin bisher immer Bernard Spil's Howtos in Sachen Letsencrypt gefolgt. Vom Python-Client zu acme-client. Leider habe ich jetzt (erst) festgestellt, dass die Portable Version des jetzigen OpenBSD-Base-Tools nicht mehr supported ist und bereits im Mai aus den FreeBSD-Ports entfernt wurde.

Daher: Womit habt Ihr gute Erfahrung gemacht? Ich benötige nur die Methode "HTTP-01 challenge" (also nicht DNS) und hätte gerne etwas das klein, ohne viele Abhängigkeiten ist und was Eurer Meinung nach zuverlässig seinen Dienst tut.
 

TCM

Well-Known Member
#5
Man muss allerdings Zugriff auf sein DNS haben, um dort einen API-Key zu hinterlegen.
An der Stelle mal wieder der Hinweis auf die Flexibilität von DNS: Man braucht nicht Zugriff "auf seine Domain", wenn man eine öffentliche Adresse (IPv6 geht auch) frei hat. Man kann den Challenge-Record auch als CNAME anlegen und auf eine Subdomain zeigen lassen, welche an einen dedizierten DNS-Server delegiert ist. Sowas ist kein Problem:

Code:
_acme-challenge.foo.example.net. IN CNAME foo._acme-challenge.example.net.
 
#6
Ich möchte noch "dehydrated" in den Raum werfen. Das ist auch in den Ports und braucht meine ich "nur" die Bash und cURL.

Allerdings: Das Script arbeitet mit einer Domainliste und wenn es ein Problem mit einem Zertifikat gibt, bricht es an der Stelle ab. Wenn LE nur temporär unerwartet antwortet, ist das Problem noch mit dem nächsten Durchlauf behoben. Anders sieht es aber aus, wenn LE z.B. für einen bestimmten Namen generell kein Zertifikat ausstellen will. Das ist nicht unbedingt problematisch, aber man sollte es im Hinterkopf behalten.
 

SolarCatcher

Well-Known Member
Themenstarter #7
Vielen Dank an Euch alle. Beeindruckend, was für eine Bandbreite Ihr da empfehlt. Ich werde es erstmal mit Yamagi's Tip versuchen, weil mir eine reine Shell-Lösung sehr sympatisch ist.