Notiz für mich.
Let's encrypt stellt ja auch Wildcard Zertifikate aus. D.h. für rootgemeinschaft.de; www.rootgemeinschaft.de; smtp.rootgemeinschaft.de usw. gibt es nur ein Zertifikat, das vermeidet Meckern vom Browser und Mail Client.
Derzeit stelle ich die Domains Zug um Zug auf Wildcard Domains manuell um.
Nebenbei funktioniert die automatische Verlängerung nicht mehr, weil das ACME Protokoll V1 nicht mehr akzeptiert wird.
Meine Versuche, das zu lösen waren bisher nicht erfolgreich.
Update: Der Schlüssel zu einem neuen Script für das Renew ist wohl hier:
https://community.hetzner.com/tutorials/letsencrypt-dns
Wenn ich hier wieder auf Reihe bin, werde ich das umsetzen.
Egal, hier die notwendigen Schritte zu Ersterstellung von Wildcard Zertifikaten und was zusätzlich nötig sein könnte.
certbot certonly --manual -d *.rootgemeinschaft.de -d rootgemeinschaft.de --agree-tos --no-bootstrap --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
Man wird dann aufgefordert, einen TXT Eintrag in der DNS Zone einzutragen: _acme-challenge.rootgemeinschaft.de Value="FgHjU89_asdvFetrxBlaFasely"
Der Eintrag im DNS Robot bei Hetzner für die Domain rootgemeinschaft.de muss dann so lauten:
Name | Value |
_acme-challenge | FgHjU89_asdvFetrxBlaFasely |
Also ohne .rootgemeinschaft.de, das wird automatisch ergänzt, da hatte ich ein Verständnisproblem.
Als TTL nehme ich 60s und warte, bis ich in einem zweiten Terminal Fenster den eingetragenen TXT Record auch finde.
root@rootgemeinschaft ~ # dig -t txt _acme-challenge.rootgemeinschaft.de +short "FgHjU89_asdvFetrxBlaFasely"
Jetzt kann man Enter drücken und hoffen, das alles klappt.
Falls es sich wie hier um den Mailserver handelt muss auch der Dienst neugestartet werden, sonst wird das neue Zertifikat nicht angezogen.
service postfix restart service dovecot restart
Oder eben der Webserver.
Danach muss certbot ohne parameter aufgerufem werden, Option 1
Experimentell habe ich heute (22.7.2020) auch mal die Hetzner API ausprobiert. Scheint gut zu laufen, ist aber sehr langsam, aber scheinbar habe ich jetzt den Kanackpunkt gefunden, warum bei mir das Auto Renew mit den Wildcard Domains nicht klappte.
Wenn ich sicher bin, dass es läuft, ergänze ich es hier.
Ergänzung: openssl x509 -dates -noout </etc/letsencrypt/live/rootgemeinschaft.de/fullchain.pem
Ergibt das Expiredate, ich muß noch ein Script machen, dass dovecot durchstartet, wenn ein neues Cert vorhanden ist
Danach muss certbot ohne parameter aufgerufem werden, Option 1