Empfehlung für einen ACME- / Letsencrypt-Client

SolarCatcher

Well-Known Member
Ich bin bisher immer Bernard Spil's Howtos in Sachen Letsencrypt gefolgt. Vom Python-Client zu acme-client. Leider habe ich jetzt (erst) festgestellt, dass die Portable Version des jetzigen OpenBSD-Base-Tools nicht mehr supported ist und bereits im Mai aus den FreeBSD-Ports entfernt wurde.

Daher: Womit habt Ihr gute Erfahrung gemacht? Ich benötige nur die Methode "HTTP-01 challenge" (also nicht DNS) und hätte gerne etwas das klein, ohne viele Abhängigkeiten ist und was Eurer Meinung nach zuverlässig seinen Dienst tut.
 
Man muss allerdings Zugriff auf sein DNS haben, um dort einen API-Key zu hinterlegen.

An der Stelle mal wieder der Hinweis auf die Flexibilität von DNS: Man braucht nicht Zugriff "auf seine Domain", wenn man eine öffentliche Adresse (IPv6 geht auch) frei hat. Man kann den Challenge-Record auch als CNAME anlegen und auf eine Subdomain zeigen lassen, welche an einen dedizierten DNS-Server delegiert ist. Sowas ist kein Problem:

Code:
_acme-challenge.foo.example.net. IN CNAME foo._acme-challenge.example.net.
 
Ich möchte noch "dehydrated" in den Raum werfen. Das ist auch in den Ports und braucht meine ich "nur" die Bash und cURL.

Allerdings: Das Script arbeitet mit einer Domainliste und wenn es ein Problem mit einem Zertifikat gibt, bricht es an der Stelle ab. Wenn LE nur temporär unerwartet antwortet, ist das Problem noch mit dem nächsten Durchlauf behoben. Anders sieht es aber aus, wenn LE z.B. für einen bestimmten Namen generell kein Zertifikat ausstellen will. Das ist nicht unbedingt problematisch, aber man sollte es im Hinterkopf behalten.
 
Vielen Dank an Euch alle. Beeindruckend, was für eine Bandbreite Ihr da empfehlt. Ich werde es erstmal mit Yamagi's Tip versuchen, weil mir eine reine Shell-Lösung sehr sympatisch ist.
 
Kurzes Feedback: Ich habe in den letzten Tagen mehrere Domains auf unterschiedlichen Servern/Jails auf Letsencrypt-Verwaltung per security/acme.sh umgestellt. Nach etwas Einlesen und Ausprobieren hat das einwandfrei geklappt. Etwas gewöhnungsbedürftig, aber nicht schlecht ist, dass man die Befehle zunächst ausführt und diese dann entsprechende Konfigurations-Dateien für das Account und separat für jede Domain anlegen. Dort ist hinterlegt, wo die Zertifikate hinkopiert werden müssen, ggf. welcher Reload-Command für den Webserver ausgeführt werden soll, ob Notify-Emails versandt werden etc.

Unterm Strich: Ich bin sehr zufrieden mit acme.sh! Sehr schöne Lösung ohne weitere Paket-Abhängigkeiten.
 
Zurück
Oben