Lets Encrypt Wildcard Zertifikat (ACME v2)

[3x3cut0r]

Hallo
Da ich schon lange auf ein Wildcard Zertifikat von Lets Encrypt warte und es seit heute produktiv verfügbar sein soll (https://letsencrypt.org/upcoming-features/)
wollte ich mich jetzt mal langsam damit beschäftigen.

Hier gibt es auch eine kleine Beschreibung dazu:
https://community.letsencrypt.org/t/acme-v2-production-environment-wildcards/55578

Hier stellen sich mir jedoch so einige Fragen:
1) Was ist ACME überhaupt?
2) Kann die Synology ACME v1/2 oder wird es jemals können?
3) Werden Lets Encrypt Zertifikate bisher auch über eine API angefordert?
4) Über welchen Client fordert die Synology derzeit Zertifikate an?
5) und ist dieser in der "compatible list": https://letsencrypt.org/docs/client-options/#acme-v2-compatible-clients
6) ist es über den DSM jetzt schon möglich ein Wildcard Zertifikat alla "*.example.com" anzufordern?

Wär cool wenn mich hier mal jemand etwas aufklären könnte.

Danke

 

[Fusion]

1) Automatic Certificate Management Environment, das Protokoll, dass sich LE-Clients zu nutze machen um mit den Servern zu reden
https://ietf-wg-acme.github.io/acme/draft-ietf-acme-acme.html
2) Synology ist ACME v1 bis jetzt denke ich
3) http-01 challenge, Domain Validierung über Port 80
4) Welchen Client sie in ihrem syno-letsencrypt versteckt haben, oder wirklich was selber geschrieben haben weiß ich nicht.
5) 1:1 sicher nicht, siehe 4)
6) nein.

 

[3x3cut0r]

ok danke schonmal soweit.

Könnte ich, bis Synology seinen Client v2 fähig macht bzw. das in DSM integriert, mir manuell ein WC-Zertifikat anfordern und in DSM importieren?
Wenn ja, wie?

 

[NormalZeit]

Für die Erstellung ist auch ein spezieller DNS Eintrag erforderlich. Fraglich, ob das bei den üblichen DNS Anbietern so möglich ist.

Dann ist auch noch unklar, wie das bei einem Renewal aussieht. Das dann nämlich alle 90 Tage manuell zu machen ist blöd.

 

[SoniX]

Wäre schon doof wenn man alle 90 Tage manuell den DNS ändern muss. Aber soweit ich das mitbekommen habe ist ein DNS Eintrag nicht immer notwendig. Nichts genaueres weiß ich noch nicht. Warum hat der Tag bloß sowenige Stunden?

 

[3x3cut0r]

Synology könnte das aber mit Ihrem eigenen DDNS-Dienst synology.me im Zusammenspiel mit dem DSM schon lösen.
Auch das die Renewals alle 90 Tage (bzw früher) wären automatisiert umsetzbar!
Dann muss man selber gar nichts alle 90 Tage machen!

Wie das mit eigenen DDNS-Diensten aussieht ist natürlich was anderes.
Ich habe mal einen Feature-Request an Synology gestellt. "Es wurde an die Entwicklungsabteilung weitergeleitet"

 

[P4ddy]

Als ich das gelesen habe, hab ich mich auch direkt gefreut- und dachte mir ich versuche es einfach mal. Es fängt aber schon damit an, das man in der GUI vom DSM kein "*" eingeben kann.

ich hab auch direkt ein Request an Syno gesendet. Mal sehen was passiert.

 

[3x3cut0r]

Der Support hat mir geschrieben und gemeint es sei noch nicht implementiert und es würde an die Entwicklungsabteilung weitergeleitet werden.
Was das genau heißt, also welche Prio das hat, weis man allerdings nicht ...

 

[Adama]

Ich hab' ein Wildcard-Zertifikat nach dieser Anleitung für meine DSM-Oberfläche erstellt.

Voraussetzung ist allerdings, dass Du einen TXT-Record für Deine Domain anlegen kannst, damit die DNS-Challenge funktioniert. Da ich mein DynDNS über Strato nutze, war das kein Problem.

Ich hab' dann - entgegen der Anleitung - das erstellte Wildcard-Zertifikat direkt über die Systemsteuerung des DSM importiert.



Vielleicht hilft Dir das ja weiter.

 

[alexs1988]

Hallo Adama,

danke für den Link der Anleitung. erstellen hat super geklappt. Habe es auch über die Systemsteuerung im DSM eingefügt.
Muss man das auch alle 3 Monate über diesen Weg aktualisieren? oder funktioniert das von alleine?

Vielen Dank

 

[blurrrr]

Wenn Du nix eingerichtet hast, wird da nix von alleine erneuert. Die Zeile zum erneuern wurde da ja auch noch aufgeführt. Theoretisch müsstest Du diese dann entsprechend in ein Script und in einen Cronjob verfrachten.

 

[Adama]

blurrrr hat Recht...

Leider muss man das manuell anstossen. Steht auch in der Anleitung irgendwo.

Der Vorteil ist auf jeden Fall, dass man keinen Port dafür freigeben muss...

 

[blurrrr]

Normalerweise sollten für den "normalen" Betrieb die handvoll ALT-Names ausreichen (also kein Wildcard). Wildcard ist eine schöne Sache für "mehrere" Systeme, aber da immer alle 3 Monate händisch austauschen? Nääääääh.... dann doch lieber eins für 3 Jahre kaufen, da hat man den Aufwand nicht alle 3 Monate... oder eben via Puppet/Salt/etc. Wenn es denn dann (wovon ich nicht ausgehe) mal einen Mechanismus geben sollte, wo div. Systeme (mit dem gleichen Wildcard-Zertifikat) sich die Dinge quasi automatisch holen können... okay, aber bis dato, lass ich da lieber erstmal die Finger von, das ist mir den Aufwand nicht wert. Bis dato also eigentlich auch nur eine "nette Spielerei"

 

[SoniX]

Na schau, so unterschiedlich sind Meinungen.

Ich habe ein gekauftes Zertifikat, nutze es aber nichtmehr weil ich inzwischen liebend gerne Wildcard Subdomains nutze und das Zertifikat diese nicht unterstützt. Klar wärs toll wenn man ein Jahrelang gültiges Wildcardzertifikat hätte, aber die Kosten dafür sind zum davonlaufen.

Also nutze ich jetzt Lets Encrypt. Alle 3 Monate wird erneuert, ne Sache von 20min für meine 4 Diskstations. Das ists mir wert.

 

[blurrrr]

Najo, kommt drauf an "was" für ein Zertifikat man sich holt... also für 1 Jahr liegt man da mit einem günstigen schon deutlich unter 100€. Bei 4 Diskstations mag das wohl noch gehen, haste recht, bei "ein wenig" mehr, macht das dann so überhaupt gar keinen Spass mehr, da kann schon mal gut ein halber bis ganzer Tag bei rumgehen. Von daher... lieber eins kaufen und das Geld noch am gleichen Tag komplett wieder drin haben inkl. 3 Jahren Ruhe davor Sehe aber schon ein, dass das hier für die meisten eher weniger zweckmässig wäre

 

[3x3cut0r]

Weis einer wie ich den TXT Record bei ddnss.de einstelle online?
In der Weboberfläche lässt sich zwar der Name "_acme-challenge" aber kein Value dafür eintragen ...
Ist das 2. Feld dafür da? Weil egal was ich da rein schreibe, er behält es nicht.

 

[blurrrr]

Da fragst Du wohl am besten mal bei ddnss.de nach. Manche hätten es dann gern noch in Anführungszeichen, könnteste auch mal testen.

 

[Adama]

So sieht das bei mir (Strato) aus:


Meine Vermutung wäre ja, dass in Dein zweites Feld der Wert für die DNS-Challenge reingehört. Aber sollte er sich das natürlich auch merken...

 

[rtax]

Tach Ihrs,

habe mir für meine DS216J (hängt alles an der connectbox von UM Dual Stack geht)eine Domain registriert bei dynv6.net .... domain und zuggriff über WWW geht gut ich komme auf die ds

wollte mit Alexa Mukke abspielen und dazu benötige ich dies VERMALEDEITE Lets Encrypt Zertifikat .... jedesmal wenn ich versuche das Zert anzufordern dan sagt die Box, dass etwas schief gelaufen ist ....

Hat jemand n tip.

ich weiss mir nicht mehr anders zu helfen als hier zu posten .... last call

danke im voraus

rtax

 

[alexs1988]

Hast du Port 80 und 443 zu deiner Ds216J weitergeleitet auf der ConnectBox?