[Eisfair] certs_dehydrated Wildcard-Zertifikat

Detlef Paschke schabau at t-online.de
Mo Nov 6 12:47:32 CET 2023 

Am 06.11.2023 um 12:18 schrieb Marcus Röckrath:
> Hallo Detlef,

Hallo Marcus,

> Detlef Paschke wrote:
> 
>>> Da also
>>>
>>> DEHYDRATED_DOMAIN_1_NAME='schabau.eu:*.schabau.eu'
>>>
>>> nicht funktioniert bleibtmal
>>>
>>> DEHYDRATED_DOMAIN_1_NAME='*.schabau.eu:schabau.eu'
>>
>> ich weiß nicht mehr, welche Varianten ich damals alle durchprobiert
>> habe, letztendlich kam ja der Hinweis von Christian Richter, über seine
>> Erfahrungen mit diesem Problem und seiner Lösungsvariante.
> 
> IMHO hat Christian genau das vorgeschlagen, was du nach deinem Eingangspost
> auch konfiguriert hast.
> 
> DEHYDRATED_DOMAIN_1_NAME='schabau.de:*.schabau.eu:schabau.eu'
> 
> Du bemängelst bei dieser Variante aber, dass alles "doppelt" passieren
> würde, wenn ich dich richtig verstanden habe.

nun, "bemängeln" möchte ich es nicht nennen, vielmehr eine Frage, ob
hier dehydrated, die Konfiguration von certs_dehydrated oder womöglich
Let's Encrypt die Doppelung verursacht bzw. verlangt.

> Wenn *schabau.der:shcabau.de auch nicht das gewünschte liefert, wird man mit
> der "Doppelung", die ja vielleicht unschön aber funktionabel zu sein
> scheint leben müssen.
> 
> Das einer Wildcard nooch ein Alias ohne Wildcard folgen muss, ergibt sich
> aus dem dehydrated-Skript aber nicht originär aus dem zugehörigen
> eisfair-Paket:
> 
> https://terminaladdict.com/linux/networking/bash/2021/07/21/WildCardSSL.html
> im Abschnitt "Generate a cert" sieht man das schön am Kommandozeilenaufruf.

Wenn ich mir das Log ansehe, habe ich viel mehr den Eindruck, dass die
Doppelung von schabau.eu in der Konfiguration von certs_dehydrated dafür
sorgt.

DEHYDRATED_DOMAIN_1_NAME='schabau.eu:*.schabau.eu:schabau.eu'

Beim Zertifikatsupdate, dass ich gestern dann händisch angestoßen habe,
wurde die Let's Encrypt Validation nur ein mal in den DNS-TXT-Record
übertragen. Es muss demnach also durchaus möglich sein.

2023-11-05 11:23:36 - manual renewal forced ...
environment: live
challenge  : dns-01
# INFO: Using main config file /etc/dehydrated/config
Processing schabau.eu with alternative names: *.schabau.eu
 + Checking expire date of existing cert...
 + Valid till Feb  3 09:19:51 2024 GMT (Longer than 30 days). Ignoring
because renew was forced!
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting new certificate order from CA...
 + Received 2 authorizations URLs from the CA
 + Handling authorization for schabau.eu
 + Found valid authorization for schabau.eu
 + Handling authorization for schabau.eu
 + 1 pending challenge(s)
 + Deploying challenge tokens...
-> Executing hook script 'deploy_challenge' ...
  % Total    % Received % Xferd  Average Speed   Time    Time     Time
Current
                                 Dload  Upload   Total   Spent    Left
Speed

  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--
    0
100    51    0    51    0     0    178      0 --:--:-- --:--:-- --:--:--
  178
{
    "success": true,
    "domain": "schabau.eu"
}
Warte 60 Sekunden...
 + Responding to challenge for schabau.eu authorization...
 + Challenge is valid!
 + Cleaning challenge tokens...
-> Executing hook script 'clean_challenge' ...
  % Total    % Received % Xferd  Average Speed   Time    Time     Time
Current
                                 Dload  Upload   Total   Spent    Left
Speed

  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--
    0
100    51    0    51    0     0    152      0 --:--:-- --:--:-- --:--:--
  152
{
    "success": true,
    "domain": "schabau.eu"
}
 + Requesting certificate...
 + Checking certificate...
 + Done!
 + Creating fullchain.pem...
-> Executing hook script 'deploy_cert' ...
creating files/links required by eisfair ...
+ domain 'schabau.eu':
  - link '/usr/local/ssl/csr/schabau.eu.csr' created/updated.
  - link '/usr/local/ssl/private/schabau.eu.key' created/updated.
  - link '/usr/local/ssl/newcerts/schabau.eu.crt' created/updated.
  - file '/usr/local/ssl/newcerts/schabau.eu.dh' exists.
  - file '/usr/local/ssl/certs/schabau.eu.pem' created.
updating hashes '/usr/local/ssl/certs' ...
checking package usage definition ...
checking symbolic links to certificate ...
# INFO: Using main config file /etc/dehydrated/config
# INFO: Using main config file /etc/dehydrated/config
Moving unused file to archive directory: schabau.eu/cert-1699179586.csr
Moving unused file to archive directory: schabau.eu/cert-1699179586.csr
Moving unused file to archive directory: schabau.eu/cert-1699179586.pem
Moving unused file to archive directory: schabau.eu/cert-1699179586.pem
Moving unused file to archive directory: schabau.eu/chain-1699179586.pem
Moving unused file to archive directory: schabau.eu/chain-1699179586.pem
Moving unused file to archive directory: schabau.eu/fullchain-1699179586.pem
Moving unused file to archive directory: schabau.eu/fullchain-1699179586.pem
Moving unused file to archive directory: schabau.eu/privkey-1699179586.pem
Moving unused file to archive directory: schabau.eu/privkey-1699179586.pem
Moving unused file to archive directory: schabau.eu/ocsp-1699176462.der
Moving unused file to archive directory: schabau.eu/ocsp-1699176462.der
 + Done!
 + Updating OCSP stapling file
-> Executing hook script 'exit_hook' ...



-- 
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu

Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair