Netcup-Profis hier? SSL/TLS-Zertifikat _acme-challenge

[Geeky26]

Ich würde gerne, damit es keine Probleme mehr gibt, bei netcup das SSL/TLS-Platzhalterzertifikat für *.<domain>.<tld> installieren.
Dafür soll ich in den DNS-Einstellungen einen Eintrag anlegen mit einem gewissen Wert. Das habe ich gemacht, schon vor Wochen und Monaten und es ändert sich nichts, netcup scheint das nicht zu sehen.

Wie GENAU muss man diesen Eintrag anlegen?
Aus reinere Verzweiflung habe ich mehrere angelegt

• _acme-challenge TXT dann der "Code"
• _acme-challenge.meinedomain.tld TXT dann der "Code"

Interessiert netcup nicht. Was mache ich falsch?

Ich habe 2 Domains und jede davon hat 2 Subdomains.
Muss für jede Subdomain ein DNS-Eintrag angelegt werden, wenn ja welches Format hat der, da ist netcup nicht sehr spezifisch. Oder reicht ein Eintrag und ein Zertifikat für die Hauptdomain und die schließt alle anderen mit ein?

Extern aufgelöst werden kann der Eintrag, deswegen verstehe ich nicht, wo das problem sein soll.

DNS-Werte (weil ich die Domain für Wireguard und dynamischer IP nutze)
TTL: 600
Expire: 604800
Retry: 2400
Refresh: 10000

 

[kartoffelpü]

Spuckt denn ein

nslookup -q=TXT _acme-challenge.meinedomain.tld

den richtigen Code aus?

Zwar schon ein paar Jahre alt, aber aus dem Netcup-Forum: https://forum.netcup.de/others/other-applications/11223-wie-löse-ich-die-certbot-dns-challenge/

 

[Geeky26]

Also für die Hauptdomain nur_acme-challenge. Für Subdomains dann folglich _acme-challenge.subdomain ohne Anhang von Hauptdomain und Endung?

 

[Marco01_809]

Ein Fully-Qualified-Domain-Name in Zone files (die Dinger die DNS Server lesen) endet auf einen ".". Wenn der fehlt wird der Name um deine Domain ergänzt.

_acme-challenge.domain.tld ist also auf jeden Fall falsch, denn das steht am Ende für die Domain "_acme-challenge.domain.tld.domain.tld". Entweder es heißt "_acme-challenge.domain.tld." (punkt am Ende beachten) oder "_acme-challenge", je nachdem was das Webinterface erlaubt. Schätze mal eher letzteres wenn du die records einer zuvor ausgewählten Domains bearbeitest.

 

[Geeky26]

Für die Hauptdomain habe ich jetzt _acme-challenge angegeben,
für Subdomain _acme-challenge.subdomain

immer ohne Punkt. Wenn ich das richtig verstanden habe wird daraus (das fette, rote wird ergänzt)
_acme-challenge.domain.tld
_acme-challenge.subdomain.domain.tld

 

[madmax2010]

?
was hast du denn bei netcup gebucht? Den txt record generiert dir LE eigentlich copy-paste fertig.
Bei den webhosting paketen bei netcup geht das hingenen so: https://www.netcup-wiki.de/wiki/Domains_CCP#Kostenlose_SSL-Zertifikate

Seht gute DNS Challange Doku mitBeispielen findest du hier: https://www.digitalocean.com/commun...idation-with-acme-dns-certbot-on-ubuntu-18-04

damit habe ich das damals zum 1. mal gemacht

Aka: redest du direkt mit dem Certbot / sonstigen LE Frontends?

 

[Geeky26]

Das ist alles Fachchinesisch für mich.

Ich habe das Webhosting 2000 Paket und bin ganz normal im customercontrolpanel.

 

[madmax2010]

joa, dann folg der anleitung im netcupwiki. sind irgendwie 3 Klicks und deine emailadresse

 

[Geeky26]

Das hilft mir auch nicht weiter, das Problem habe ich eingangs erwähnt und ist ein ganz anderes.
Ist jetzt egal. Der Beitrag von @Marco01_809 hat jedenfalls geholfen.

 

[Geeky26]

Ok das mit den Subdomains hat nicht geklappt, wenn man die zusätzlich schützen will. Das Schützen der Hauptdomain schließt Subdomains wohl mit ein. Subdomains müssen dann aber ohne Wildcard geschützt werden weil sonst doppelt und jetzt sind alle meine Subdomains erstmal nicht erreichbar.

 

[Marco01_809]

Nicht nachvollziehbar was du da schreibst.

_acme-challenge gilt immer für die darüberliegende Domain. Also _acme-challenge.domain.tld. validiert domain.tld, _acme-challenge.sub.domain.tld. validiert sub.domain.tld. Besonderheit: Wildcards wie z.B. für *.domain.tld werden auch per _acme-challenge.domain.tld validiert, da man ja beweisen muss Administrator aller Subdomains von domain.tld zu sein.

Ein Wildcard-Zertifikat *.domain.tld gilt für alle subdomains von domain.tld, aber nicht für domain.tld selbst. Üblicherweise fordert man ein Zertifikat für domain.tld *.domain.tld an. Dann braucht man zwei _acme-challenge.domain.tld. TXT records. Mit so einem kombinierten Wildcard Zertifikat braucht man nur noch dieses eine um die Domain und alle Subdomains zu schützen. Man kann aber auch für jede Subdomain ein eigenes Zertifikat anfordern. Dann braucht man aber kein Wildcard-Zertifikat.

Das hinzufügen beliebiger TXT Records kann keine domains per Browser/HTTP "unerreichbar" machen.
Eventuell erklärst du mal wie dieses "nicht erreichbar" aussieht bzw. wie die Fehlermeldung lautet.

 

[flopower1996]

Ich habe auch eine Domain bei Netcup liegen. Deren DNS-Manager ist eigentlich ganz brauchbar. Deswegen verstehe ich die Verwirrungen nicht. Wenn es gar nicht geht und man sich das auch anhand von Beispielen nicht vorstellen kann, dann kann man seine DNS-Settings auch zu Cloudflare umstellen. Die haben, wie ich finde, den besten DNS-Manager. Da kann man dann sicher nichts mehr falsch machen.