Let's-Encrypt-Certs via acme-dns #30
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Wir haben uns beim letzten Treffen entschieden, die Zertifikate in Zukunft üer das DNS-01 Challenge-Protokoll zu besorgen. Dazu wollen wir acme-dns verwenden.
Prozess
Um für einen Domain-Namen Zertifikate mit Hilfe von acme-dns ausgestellt zu bekommen (z. B. mit cerbtbot, acme.sh oder LEGO), muss folgendes gemacht werden:
Technisches Setup
acme-dns ist sowohl ein DNS- als auch ein HTTP-Server.
Wir können acme-dns auf einer privaten Adresse betreiben, wir müssen nur die Challenge-Zone dorthin weiterleiten (von unserem normalen authoritativen DNS-Server), und HTTP-Requests vom Reverse-Proxy weiterleiten.
acme-dns hat keine Authentifzierung, d.h. jeder mit Zugriff auf den Registrierungs-Endpunkt kann neue Challenge-Domains anfordern. Das möchten wir nicht, deshalb schalten wir oauth2-proxy dazwischen. Ein kleine, statische Webanwendung kann genutzt werden, um eine neue Challenge-Domain anzufordern.