Let's-Encrypt-Zertifikate mit dynamischen DNS-Updates

Auf dem neuesten Stand

Die Nutzung von Let's-Encrypt-Zertifikaten ist längst gang und gäbe. Im Handumdrehen erstellt der "Certbot" dabei regelmäßig neue Zertifikate für den Web- oder Mailserver. Dabei überprüft Let's Encrypt die Domain mittels HTTP, also mit hinterlegten Dateien auf dem Webserver selbst. Komfortabler und mit der Möglichkeit, auch Wildcard-Zertifikate auszustellen, geht es allerdings mit den passenden DNS-Einträgen.
Mitarbeiter wie auch die Unternehmensleitung setzen die Verfügbarkeit von IT-Diensten längst als selbstverständlich voraus. Ungeplante Ausfälle sind deshalb ... (mehr)

Ein großer Nachteil – und ein Grund, warum immer noch viele Firmen auf kostenpflichtige Zertifikate zurückgreifen – ist das Fehlen von Wildcard-Zertifikaten bei HTTP-basierter Überprüfung. Schon einige Jahre unterstützt Let's Encrypt [1] aber nun schon die Überprüfung mittels DNS und damit auch die häufig gewünschte Flexibilität. Die tatsächliche Umsetzung gestaltet sich jedoch mitunter schwierig, abhängig vom DNS-Anbieter beziehungsweise der eingesetzten Technik. Ein manueller Eingriff zum Setzen der DNS-Einträge alle 60 Tage ist mitunter sehr unpraktisch und widerspricht dem Komfort sich automatisch aktualisierender Zertifikate.

Um DNS für die Überprüfung einer Domain nutzen zu können, setzt Let's Encrypt auf TXT-Einträge im DNS. Für die Domain "it-administrator.de" wird dieser Eintrag unter der Domain "_acme-challenge.it-administrator.de" konfiguriert und dort ein Token zur Überprüfung hinterlegt. Nach der Überprüfung ist der Token wertlos und kann wieder aus dem DNS entfernt werden. Diese Prozedur ist bei jeder Aktualisierung, also etwa alle 60 Tage, erneut fällig.

Certbot ermöglicht Ihnen hierbei

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023