letsencrypt / 3 Subdomain mit win-acme updaten

[WulfmanGER]

Hallo in die Runde,

ich habe z.b. die Domain: meinedomain.tld - diese liegt bei meinem Webhoster und der kümmert sich um SSL (letsencrypt). Dort hab ich aber auch sub1.meinedomain.tld und sub2.meinedomain.tld. Das ist kein Thema. Hab ich nichts mit am Hut.

Zuhause hab ich einen kleinen Home-Webserver (Windows, Apache, letsencryp via win-acme)
Hier liegen 3 Subdomains (vierte liegt in Startlöchern)
zuhause.meinedomain.tld
schonerleben.meinedomain.tld
mist.meinedomain.tld

Die ersten beiden gibt es schon länger. Werden von WinAcme in einer Konfiguration verwaltet. Zudem haben beide zusammen ein Zertifikat was ich in Apache einbinde (.pem). Im Browser sieht man das bei "Alternative Inhaberbezeichnung: zuhause.meinedomain.tld, schoenerleben.meinedomain.tld).

Vorteil: die beiden Domains werden immer gleichzeitig geupdatet - Aufgabentask erstellt. Fertig.

Dann kam mist.meinedomain.tld. In der Konfig bin ich wohl irgendwo "falsch" abgebogen. Ich hab hier von win-acme eine neue Konfigdatei erhalten und die .pem für Apache ist auch eine eigene. Beim letzten refresh des Zertifikats ging mist. nicht mit. Vermutlich weil die Konfig lokal sagt "wir haben noch Zeit"....

Ich möchte das jetzt so anpassen das ich für alle 3 Subdomains (und kommende) nur ein Zertifikat habe und das ich eine vierte nach gleichen Konzept problemlos hinzufügen kann. Nur dafür muss ich wissen was ich mit mist.meinedomain.tld falsch gemacht habe.

Ich denke mal wenn ich das alles anpassen möchte, muss ich die 2 (3) Zertfikate erstmal zurückziehen und dann neu machen - und beim neu machen stellt sich die frage: Wie? Was hab ich bei der dritten falsch gemacht?

Grüße


PS: ich hatte schon versucht die beiden Konfigdateien zu mergen - aber der Syntax ist da auch verschieden. Kann gerade nicht nachschauen - ich glaub die Pfadangaben sind mal / und mal \\ (oder //) ... sollte doch einheitlich sein.

PPS: Wildcard kann ich nicht machen da DNS-Validation nötig ist - der DNS liegt bei meinem Webhoster und da komme ich so halt mit automatischen Tools nicht ran. Ich muss also HTTP-Validation machen.

 

[KillerCow]

Kenne das Tool nicht, aber wenn das keine konkrete Option bietet, das SAN eines vorhandenen CSR/Zertifikats zu verändern, dann erstell doch einfach ein komplett neues Zert mit den gewünschten Domains. Kommt ja am Ende eh darauf hinaus.

Ansonsten ließt sich das im Manual aber so, als müsste man einfach nur das gewünscht "renewal" editieren:
https://www.win-acme.com/manual/renewal-management unter "Modification".

 

[DocWindows]

PPS: Wildcard kann ich nicht machen da DNS-Validation nötig ist - der DNS liegt bei meinem Webhoster und da komme ich so halt mit automatischen Tools nicht ran. Ich muss also HTTP-Validation machen.

Das Problem hatte ich vor kurzem auch mit meinen Domains, wo die DNS-Validation bei meinem Domainhoster (Strato) auch nicht möglich war.

Hab dann einfache einen Domaintransfer zu Cloudflare gemacht, denn da ist das kein Problem.
HTTP-Validation ist ein Krampf gewesen den ich mir einfach nicht mehr antun wollte. Hab jetzt nur noch ein Wildcard-Zertifikat für alles.

 

[Der Lord]

Alternative zum Domaintransfer:
Oftmals reicht es aus die Nameserver (der ganzen Domain oder eben jener Subdomains) zu einem Provider legen zu lassen, der eine entsprechende API für die Letsencrypt-Clients anbietet. zb desec.io.

Ich bin auch kein Fan der http challenge und mache das überall nur noch via DNS, ist viel entspannter und bietet eben mehr Möglichkeiten.

 

[WulfmanGER]

hab gestern noch mal wegen DNS-Validation geschaut - win-acme unterstützt all-inkl (ich hab da auch Content liegen; also kein reiner Domain-Vertrag) nur leider nicht. Ein API von all-inkl gibt es aber - via Github gibt es ein Script (was aber von Win-ACME und Co eingebunden werden muss - nicht von mir) - ich lasse das - ist mir zu kompliziert

Ich hab für HTTP-Validation ein Script geschrieben:

• Es öffnet den Port 80 in der FritzBox
• win-acme läuft durch
• Es schließt den Port 80
• Apache wird neugestartet

Fertig.
Seit dem ich den Trick mit der FritzBox entdeckt hatte, hab ich mit http-Validation auch kein Problem mehr. DNS ist vielleicht eine Spur eleganter - aber es geht auch ohne.

dann erstell doch einfach ein komplett neues Zert mit den gewünschten Domains

das ist ja mein Problem. Das Tool bietet mittlerweile soviele wege zum Ziel das ich nicht weiß welchen weg ich nehmen muss damit ich so eines habe. Es hat einmal durch "zufall" geklappt - bei der 3. Sub-Domain hat es halt nicht geklappt...


Mein Thema ist ja echt nur ein Luxusproblem - es läuft ja alles - ich bekomme mein Zertifikat. Ich möchte das aber einheitlich haben.