Toggle sidebar

Lets Encrypt automatisch erneuern ohne Portfreigabe

Swp2000

Swp2000

Benutzer
Registriert
29. Nov. 2013
Beiträge
2.025
Reaktionspunkte
37
Punkte
94
Hallo zusammen,

es ist wohl möglich seine Lets encrypt Zertifikate automatisiert mit acme.sh erneuern zu lassen ohne irgendwelche Ports öffnen zu müssen.
Kann mir jemand Schritt für Schritt erklären was hier zu tun ist?
Ich habe schon im Container Manager geschaut, da würde es ein Paket für acme.sh geben, ist dies zu empfehlen?

Besten Dank für Eure Unterstützung.
 
Da bist auf der richtigen Spur. Ich nutze den Container auch seit langer Zeit

Such mal hier im forum oder auch oder Google. Da gibts jede Menge Anleitungen dazu.
 
  • Like
Reaktionen: *kw*
Wie @Kachelkaiser schon geschrieben hat, liegst du mit dem Docker Container für acme.sh schon richtig. Weiterhin benötigst du noch einen Domain-Verwalter, der es dir erlaubt auf seine DNS-Verwaltung per API zuzugreifen. Somit kannst du dann das Zertifikat per DNS-01 ausstellen bzw. erneuern lassen. Dafür sind keine Portfreigaben notwendig. Danach musst du noch dran denken, die Zertifikate per Deploy-Script auf die Diskstation zu übertragen.

Ich hatte das länger zusammen mit dem Reverse Proxy der Diskstation am laufen und war auch ganz zufrieden damit. Mittlerweile habe ich aber auf Zoraxy als Reverse Proxy umgestellt. Dieser kümmert sich um die Zertifikate (inkl. Wildcard) und den Zugriff von außen. Dafür sind im Router nur die Ports 80 und 443 freigegeben.
 
  • Like
Reaktionen: Kachelkaiser
Bei welchem Anbieter hast denn deine Domains?
 
Meine Domains laufen bei hosting.de … weiterhin zu empfehlen wäre noch inwx.de
 
  • Like
Reaktionen: *kw*
Der Domainanbieter an sich ist egal. Man kann die Nameserver ja ändern, wenn der Anbieter selber nicht bei der API kompatibel ist
 
Swp2000 schrieb:
es ist wohl möglich seine Lets encrypt Zertifikate automatisiert mit acme.sh erneuern zu lassen ohne irgendwelche Ports öffnen zu müssen.
Zum Vergrößern anklicken....
Ich kenne deinen konkreten Anwendungsfall nicht. Wenn du nur einen 80er-port für mehrere Server hast und die standardmäßig nur die http-Challenge können: IPv6 kann dir da helfen. Ich habe 2 Synos und die erneuern seit Umstellung IPv6 automatisch ohne zusätzlichen Skript.
Bzgl Provider werfe ich noch HETZNER in den Topf: Hat eine DNS-API
 
Und wenn du die Domain nur intern benötigst, wie @Kachelkaiser schon schrieb: netcup.

de-Domain im Angebot für 13ct/mtl. (regulär 42ct), reicht für DNS-Challenge, kein Webhosting notwendig.
 
Nein, ich habe noch eine Mailadresse zur Domain, daher wird das benötigt. finde den Preis fair.
 
  • Like
Reaktionen: Benie und dil88
Ich nutze keinen Proxy, oder was meinst du?
Ich aktualisiere alle 90 Tage manuell.
 
Zuletzt bearbeitet von einem Moderator:
Ich glaube er meint Reverse Proxy. Viele können sich nämlich um die Zertifikate selber kümmern. Da musst du nichts mehr manuell machen
 
  • Like
Reaktionen: ctrlaltdelete
Achso, ja den Reverse Proxy verwende ich für Vaultwarden.
 
Den im DSM integrierten Reverse Proxy?
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten