DNS Verwaltung von Netcup zu Cloudflare umziehen

[Don-DCH]

Guten Mittag zusammen,

nachdem ich Probleme mit Lets Enrypt Zertifiakten mit Netcup habe, weil er einfach kein Zertifikat holt und der Netcup Support mir nicht weiterhilft, würde ich gerne die DNS Verwaltung komplett zu Cloudflare migrieren.

Ich habe mich bei Cloudflare angemeldet und habe meine Domain eingegeben, dann ruft er einige Records ab, aber nicht alle.
Leider finde ich nichts über die Notwendigkeit, ob ich alle ergänzen muss.

Was bedeutet ein * A Record, ich vermute Alle anfragen?
Was bedeutet @ als A Record?

Eine Erklärung oder ob ich das migrieren muss ist mir nicht ganz klar.

Ich habe mal die Domain und IPS (Dürfte eine netcup Server IP sein) anonymisiert. Anbei ein Screenshot:

Bei Cloudflare hat er den ersten Eintrag übernommen.
Weiterhin den Maileintrag MX
CNAME www mit inhalt meinedomain.de
und einen A Record meinedomain.de Inhalt Netcup IP

Mir geht es nur um DNS als Zertifikatsmöglichkeit. Ich betreibe keinerlei Webseite oder ähnliches.

Kann ich das dann so belassen oder muss ich noch etwas hinzufügen?
Die DNS Server gibt mir dann Cloudflare die muss ich dann bei Netcup anpassen, soweit weiß ich schon.

Weiterhin ist die Frage ob ich bei Cloudflare für die Einträge ausgeschlossen den MX Eintrag den Cloudflare Proxy nutzen sollte, soweit ich das verstehe macht das nur bei Webseiten Sinn?

Ich würde mcih freuen, wenn mir jemand weiterhelfen kann. Vielleicht hat der ein oder andere ja schon zu Cloudflare die DNS Verwaltung migriert?

Viele Grüße

 

[gaym0r]

In der Zeit wo du diesen langne Post geschreiben hast, hättest du die Sachen hundert mal ergooglen können.
https://www.cloudflare.com/de-de/learning/dns/dns-records/ um die Frage nach dem @ zu beantworten.
https://de.wikipedia.org/wiki/MX_Resource_Record um dich über MX-Records schlau zu machen.

Wofür brauchst du überhaupt ein Zertifikat, wenn du da gar nichts hostest? Für welchen Server willst du das Zertifikat generieren? Ist dieser über das Internet erreichbar? Je nachdem gibt es verschiedene Wege um die Domainvalidierung durchzuführen.

 

[x.treme]

"Ich habe mich bei Cloudflare angemeldet und habe meine Domain eingegeben, dann ruft er einige Records ab, aber nicht alle."

Ja welche fehlen dir denn?

Wenn du keine Webseiten hostest, brauchst du nur MX und ggf. noch TXT und CNAME Einträge die dein Mailprovider vorgibt um E-Mail-Spoofing zu verhindern (und deinen A Record für deine Mail Subdomain)

Cloudflare Proxy natürlich für MX deaktivieren.

(PS: Das gute bei Cloudflare ist, Zertifikate kann man mit Letsencrypt dann auch via DNS Challenge generieren, selbst in geschlossenen Umgebungenen ohne Port 443/80 zu öffnen)

 

[Don-DCH]

Danke euch für die schnellen Rückmeldungen!

In der Zeit wo du diesen langne Post geschreiben hast, hättest du die Sachen hundert mal ergooglen können.

Leider nicht.
Es geht ja auch darum ob ich das benötige.

https://www.cloudflare.com/de-de/learning/dns/dns-records/ um die Frage nach dem @ zu beantworten.

Da finde ich leider nichts zum @

https://de.wikipedia.org/wiki/MX_Resource_Record um dich über MX-Records schlau zu machen.

MX ist für E-Mails.

Ich weiß nicht ob ich mich unglücklich ausgedrückt habe aber ich habe versucht oben die Cloudflare Eintrage zu beschreiben aber ich mache schnell ein Screenshot:

Entschuldigt bitte die Verwirrung!
Das wurde von Cloudflare übernommen, reicht das oder könnte ich alles rausnehmen?

Wofür brauchst du überhaupt ein Zertifikat, wenn du da gar nichts hostest?

Es geht darum, das ich intern gerne Zertifikate von meinem NGNIX Proxy Manager abrufen möchte um meine Docker Container über HTTPS zu erreichen.

Also ich hoste nichts extern hätte aber gern ein valides Zertifikat, genauer gesagt ein Wildcard Subdomain Zertifikat. Ein intern.meinedomain.de klappt.
Nun habe ich in einem Tutorial gesehen das man auch Wildcardzertifikate bekommen kann sprich *.intern.meinedomain.de

Das würde ich gerne haben wollen.

Für welchen Server willst du das Zertifikat generieren?

Ubuntu Maschine mit Docker in dem unter anderem der NPM läuft.

Ist dieser über das Internet erreichbar?

Nein, es betseht keine Portweiterleitung aber ich der Server kann ins internet.

Je nachdem gibt es verschiedene Wege um die Domainvalidierung durchzuführen.

Genau, ich würde gerne die DNS Challange verwenden, mit einer normalen Subdomain und A Record klappt es aber mit der API von Netcup klappt es leider nicht, dass ich ein Wildcard Subdomain zertifikat bekomme. :/

Im Tutorial wurde Cloudflare genutzt:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Ja welche fehlen dir denn?

Habe nochmal ein Screenshot zum besseren Verständnis angehängt.

(PS: Das gute bei Cloudflare ist, Zertifikate kann man mit Letsencrypt dann auch via DNS Challenge generieren, selbst in geschlossenen Umgebungenen ohne Port 443/80 zu öffnen)

Genau, das wäre mein Wunsch, dass dies klappt =)

 

[Der Lord]

Das gute bei Cloudflare ist, Zertifikate kann man mit Letsencrypt dann auch via DNS Challenge generieren

Stimmt, ginge aber auch problemlos bei Netcup, da DNS-API vorhanden.

Was bedeutet ein * A Record, ich vermute Alle anfragen?
Was bedeutet @ als A Record?

Steht alles auch im Netcup Wiki:
https://helpcenter.netcup.com/de/wiki/domain/dns-einstellungen#dns-einträge-bearbeiten

Und welche DNS Records du genau brauchst, wirst du nur selber wissen, da wir deine Anwendungen gar nicht kennen. Kannst ja mal genau erläutern was du vorhast.

PS: Habe keinerlei LE Probleme bei Netcup. Sowohl http als auch dns challenge funzen.

 

[SpartanerTom]

Ich habe auch persönlich keine Zertifikat-Probleme bei Netcup. Vielleicht ist es zielführender das Problem an der (bestehenden) Quelle zu lösen statt umzusatteln? Zumindest wenn Cloudflare nur für die Zertifikate genutzt werden würde.

 

[gaym0r]

Da finde ich leider nichts zum @

Ach komm, muss man dir alles vorkauen? Du suchst doch Infos über einen A-Records, dann klickst du bei meinem Link auf "Erfahren Sie mehr über den A-Eintrag." Und es kommt: The "@" symbol in this example indicates that this is a record for the root domain, and the "14400" value is the TTL (time to live), listed in seconds.

MX ist für E-Mails.

Ja, richtig. Machst du E-Mails über die Domain?

Das wurde von Cloudflare übernommen, reicht das oder könnte ich alles rausnehmen?

Das musst du doch wissen. So wie es bei dir klingt, brauchst du das nicht.

Es geht darum, das ich intern gerne Zertifikate von meinem NGNIX Proxy Manager abrufen möchte um meine Docker Container über HTTPS zu erreichen.

Also ich hoste nichts extern hätte aber gern ein valides Zertifikat, genauer gesagt ein Wildcard Subdomain Zertifikat. Ein intern.meinedomain.de klappt.
Nun habe ich in einem Tutorial gesehen das man auch Wildcardzertifikate bekommen kann sprich *.intern.meinedomain.de

Für ein Wildcard-Zertifikat musst du TXT-Einträge im DNS anlegen, es geht gar nicht anders. Was heißt denn "mit der API von Netcup klappt es leider nicht"? Den TXT-Record musst du selbst anlegen.

 

[Der Lord]

Was heißt denn "mit der API von Netcup klappt es leider nicht"? Den TXT-Record musst du selbst anlegen.

Und dann alle zwei Monate vor Ablauf des Zertifikats wieder Hand anlegen? Quark... das lässt man automatisiert über einen Client anlegen, wie zb acme.sh oder certbot, DNS-API sei dank.

Warum es bei ihm nicht klappt, wäre in der Tat interessant und sicher auch zu lösen. Aber lieber setzt man ja auf das Schwergewicht Cloudflare und baut sich ggf. mehr Fallstricke ins Setup.

 

[SpartanerTom]

Ich bin gerade dabei es bei mir zu reproduzieren. Ich erinnere mich daran dass es damals ein Problem damit gab, dass die Netcup Propagationszeiten >10min sind und das NPM webinterface in ein Timeout läuft, selbst wenn certbot im Hintergrund weiter macht.

https://github.com/NginxProxyManager/nginx-proxy-manager/issues/1706#issuecomment-1811699653

Kann aber nicht versprechen ob ich es vor heute Abend schaffe Rückmeldung zu geben.

 

[Don-DCH]

https://www.cloudflare.com/de-de/learning/dns/dns-records/ um die Frage nach dem @ zu beantworten.

Ach vergiss es, ich war erst nicht schlau genug auch auf A Rcord zu navigieren oh man

Stimmt, ginge aber auch problemlos bei Netcup, da DNS-API vorhanden.

Hmm das klappt leider nicht laufe da immer in einen Fehler:
https://www.computerbase.de/forum/threads/wie-bekomme-ich-ein-wildcard-subdomain-zertifikat.2228995/

Wie gesagt geht es mit intern.meinedomain.de wenn ich ein A Record setze.
Ich hatte jetzt gestern nochmal alle Records gelöscht und eben gerade einmal

*.Meinedomain.de versucht da bekomme ich folgenden Fehler:

CommandError: nginx: [emerg] cannot load certificate "/etc/letsencrypt/live/npm-8/fullchain.pem": BIO_new_file() failed (SSL: error:80000002:system library::No such file or directory:calling fopen(/etc/letsencrypt/live/npm-8/fullchain.pem, r) error:10000080:BIO routines::no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed

at /app/lib/utils.js:16:13
at ChildProcess.exithandler (node:child_process:430:5)
at ChildProcess.emit (node:events:518:28)
at maybeClose (node:internal/child_process:1104:16)
at ChildProcess._handle.onexit (node:internal/child_process:304:5)

für intern.meinedomain.de auch den gleichen Fehler

Bevor ich den Beitrag abgeschickt habe, habe ich einfahc den Container nochmal frisch deployed.
Jetzt bekomme ich diesen Fehler:

CommandError: Saving debug log to /tmp/letsencrypt-log/letsencrypt.log
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /tmp/letsencrypt-log/letsencrypt.log or re-run Certbot with -v for more details.

at /app/lib/utils.js:16:13
at ChildProcess.exithandler (node:child_process:430:5)
at ChildProcess.emit (node:events:518:28)
at maybeClose (node:internal/child_process:1104:16)
at ChildProcess._handle.onexit (node:internal/child_process:304:5)

Leider bekomme ich über die suche nach .log nicht die oben aufgeführte Log Datei angezeigt
Ich kann diese nicht finden hmm

Ergänzung (6. Februar 2025)

Ich bin gerade dabei es bei mir zu reproduzieren. Ich erinnere mich daran dass es damals ein Problem damit gab, dass die Netcup Propagationszeiten >10min sind und das NPM webinterface in ein Timeout läuft, selbst wenn certbot im Hintergrund weiter macht.

Da hatte ich Probleme bei Home Assistant da hatte ich dann 900 Sekunden eingetragen dann ging es da.
Ich hatte das auch mal beim NPM da hatte es glaube ich nciht geholfen aber ich versuche es gerade nochmal vielleicht liegt es tatsächlich daran

Vielleicht hatte ich damals einen anderen Fehler und hatte gedacht ich lass die Zeit mal wieder weg. Mal schauen ich habe es gerade nochmal angeschubst.

 

[Der Lord]

Die Netcup DNS Zonen refreshen nur alle 10 Minuten. Mit einer Wait time von 600 Sekunden klappt es bei mir anstandslos. Inwiefern man das dem NPM mitgeben kann, weiß ich nicht, ich nutze dedizierte Clients dafür.

Beispiel mit acme.sh:

acme.sh --server letsencrypt --issue --force --dns dns_netcup --dnssleep 600 --ecc --keylength ec-384 -d intern.domain.tld -d *.intern.domain.tld --reloadcmd systemctl reload nginx

 

[gaym0r]

Und dann alle zwei Monate vor Ablauf des Zertifikats wieder Hand anlegen? Quark...

Mir gings erstmal darum es überhaupt ans Laufen zu kriegen. Wenn es schon manuell nicht funktioniert, braucht man nicht schauen warum es bei der Automatisierung klemmt.

 

[SpartanerTom]

Also ich kann nochmal bestätigen, dass es mit NPM und der Netcup API läuft. Man muss nur >600s Propagationszeit angeben, damit es funktioniert (ich hab 720s gerade getestet).

Auszug aus dem certbot log via Docker:

Waiting 720 seconds for DNS changes to propagate
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/npm-14/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/npm-14/privkey.pem
This certificate expires on 2025-05-07.
These files will be updated when the certificate renews.
NEXT STEPS:

Falls das NPM Webinterface in ein Timeout läuft, kann man das ignorieren. Wenn man auf Nummer sicher gehen will schaut man den Log vom Docker Container an. Oder man wartet einfach mit einem Heißgetränk der Wahl die Zeit geduldig ab.

Was man an anderer Stelle natürlich auch überprüfen kann ist, ob das certbot Skript mittels netcup API den ACME .txt DNS Eintrag schon erstellt hat. Das kann man ja im Netcup Webinterface einsehen.

 

[Don-DCH]

Vielleicht hatte ich damals einen anderen Fehler und hatte gedacht ich lass die Zeit mal wieder weg. Mal schauen ich habe es gerade nochmal angeschubst.

Bad Gateway

Das hat auch nichts geholfen leider

Die Netcup DNS Zonen refreshen nur alle 10 Minuten. Mit einer Wait time von 600 Sekunden klappt es bei mir anstandslos. Inwiefern man das dem NPM mitgeben kann, weiß ich nicht, ich nutze dedizierte Clients dafür.

Propagation Seconds
das kann ich mitgeben und hatte ich auf 900 Sekunden gestellt leider erfolglos

Ach komm, muss man dir alles vorkauen?

Sorry, wie später in meinem langen post geschrieben hab ichs nicht gecheckt gehabt :/

Ja, richtig. Machst du E-Mails über die Domain?

Nein

Den TXT-Record musst du selbst anlegen.

Ich dachte das könnte der NPM automatisiert?

gerne kann ich auch Manuell zum testen einen TXT Eintrag machen, was genau muss ich da reinschreiben?

log via Docker:

Das ist ein guter Punkt ich habe gerade mal über Dockge nachgeschaut da sagt das LOG:

nginx-proxy-manager | Waiting 900 seconds for DNS changes to propagate
nginx-proxy-manager |
nginx-proxy-manager | Successfully received certificate.
nginx-proxy-manager | Certificate is saved at: /etc/letsencrypt/live/npm-2/fullchain.pem
nginx-proxy-manager | Key is saved at: /etc/letsencrypt/live/npm-2/privkey.pem
nginx-proxy-manager | This certificate expires on 2025-05-07.
nginx-proxy-manager | These files will be updated when the certificate renews.

Wenn ich das Fenster wegklicke sagt er aber Status inaktiv beim Zertifikat.
hast du das auch?

Ergänzung (6. Februar 2025)

Neuer Versuch mit *..intern.meinedomain.de mit 720 sekunden vielleicht haben ihm die 900 Sekunden nicht geschmeckt.

 

[Der Lord]

Kleiner Tipp am Rande: LE hat Rate Limits. Teste es nicht zu oft mit deiner Hauptdomain oder nutze solange die Staging/Testserver von LE.

 

[SpartanerTom]

Wenn ich das Fenster wegklicke sagt er aber Status inaktiv beim Zertifikat.
hast du das auch?

Ja ist klar. Du hast das Zertifikat zu dem Zeitpunkt ja auch noch keiner Domain/Host im NPM zugewiesen. Da heißt nur dass es noch nicht verwendet wird.

 

[x.treme]

Also wenn du weder Webseite noch Mail über die Domain laufen lässt, sondern das ganze nur für Self-Hosted Services z.B. nutzt im lokalen Netz, dann musst du genau garnichts bei Cloudflare eintragen bzgl A, MX, und co. - ist für DNS Challenge komplett irrelevant.

Und wenn NPM "Successfully received certificate." ausspuckt, dann heißt es genau das - DNS Challenge hat geklappt, Zertifikat von Letsencrypt wurde ausgestellt und kann zugewiesen werden.

Läuft doch alles wie's soll?

 

[Don-DCH]

Ach ich hatte vorhin im falschen Thread geantwortet

Endlich jetzt ist es ohne Fehler durchgelaufen.

720 Sekunden habe ich jetzt auch eingetragen, damit gab es keinerlei Fehler.
Krass das Netcup da so empfindlich ist.

Vielen herzlichen Dank euch für eure Hilfe!

Somit hat sich das ganze mit Cloudflare erledigt, umso besser.#Ich gebe euch recht, noch ein Dienst mehr muss nicht sein.
Das es so genau auf die Konfig ankommt war mir nicht bewusst.
Vorallem bei Home Assistant ging es mit 900 Sekunden naja sehr komisch.

In jedem Falle klappt jetzt alles und das, wenn man genau weiß wie garnicht kompliziert.

Nochmals vielen herzlichen Dank euch!

Kleiner Tipp am Rande: LE hat Rate Limits. Teste es nicht zu oft mit deiner Hauptdomain oder nutze solange die Staging/Testserver von LE.

Danke dir für den Tipp, weißt du wann die Limits zurückgesetzt werden ob nach 24 Stunden oder ob das mehrere Tage dann gleich sind die man warten muss?

Ja ist klar. Du hast das Zertifikat zu dem Zeitpunkt ja auch noch keiner Domain/Host im NPM zugewiesen. Da heißt nur dass es noch nicht verwendet wird.

Macht Sinn ja, ist auch beim neuen Zertifikat so wo garkein Fehler kam, hatte mich aber erstmal verwirrt.

Läuft doch alles wie's soll?

Jaa glücklicherweise klappt nun alles, fantastisch

 

[SpartanerTom]

Krass das Netcup da so empfindlich ist.

Naja empfindlich ist nicht das richtige Wort. Ist halt eine Einstellung ihrer Namensserver.

Danke dir für den Tipp, weißt du wann die Limits zurückgesetzt werden ob nach 24 Stunden oder ob das mehrere Tage dann gleich sind die man warten muss?

Wie viele verschiedene Zertifikate brauchst du denn? Ich dachte du wolltest mit einem Wildcard Zertifikat arbeiten? Ich hab nur zwei Zertifikate für 16 Hosts.

 

[Der Lord]

Danke dir für den Tipp, weißt du wann die Limits zurückgesetzt werden ob nach 24 Stunden oder ob das mehrere Tage dann gleich sind die man warten muss?

siehe docs:

Up to 50 certificates can be issued per registered domain every 7 days.

Ich meine das war mal deutlich niedriger. Aber da sollte man nun so schnell nicht mehr rankommen als Singleuser einer Domain. Es sei denn man spielt sehr sehr viel rum in einer Woche.

Wie viele verschiedene Zertifikate brauchst du denn?

Er bezieht sich da auf meinen Tipp aufzupassen. Gerade zu Beginn eines neuen Setups, testet man ggf. viel bis man die gewünschte Einstellung gefunden hat. Da konnte man früher schneller in Limits laufen. Dafür gibt es halt auch eine Testumgebung bei LE. Wenn dann alles läuft, stellt man auf die Liveserver um und gut ist. Aber die (mittlerweile) 50 Requests pro Woche muss man auch erstmal knacken...

Edit: Korrektur, das Limit ist doch etwas schärfer, da je Hostname ein niedriges Limit existiert:

Up to 5 certificates can be issued per exact same set of hostnames every 7 days.

Also doch etwas aufpassen und im Zweifel die Testserver nutzen beim Rumspielen.