Let's-Encrypt-Zertifikate mit dynamischen DNS-Updates

Ein großer Nachteil – und ein Grund, warum immer noch viele Firmen auf kostenpflichtige Zertifikate zurückgreifen – ist das Fehlen von Wildcard-Zertifikaten bei HTTP-basierter Überprüfung. Schon einige Jahre unterstützt Let's Encrypt [1] aber nun schon die Überprüfung mittels DNS und damit auch die häufig gewünschte Flexibilität. Die tatsächliche Umsetzung gestaltet sich jedoch mitunter schwierig, abhängig vom DNS-Anbieter beziehungsweise der eingesetzten Technik. Ein manueller Eingriff zum Setzen der DNS-Einträge alle 60 Tage ist mitunter sehr unpraktisch und widerspricht dem Komfort sich automatisch aktualisierender Zertifikate.

Um DNS für die Überprüfung einer Domain nutzen zu können, setzt Let's Encrypt auf TXT-Einträge im DNS. Für die Domain "it-administrator.de" wird dieser Eintrag unter der Domain "_acme-challenge.it-administrator.de" konfiguriert und dort ein Token zur Überprüfung hinterlegt. Nach der Überprüfung ist der Token wertlos und kann wieder aus dem DNS entfernt werden. Diese Prozedur ist bei jeder Aktualisierung, also etwa alle 60 Tage, erneut fällig.

Certbot ermöglicht Ihnen hierbei die dynamische Aktualisierung Ihres selbst gehosteten DNS-Servers mittels DNS-Update und stellt weitere Plug-ins für gängige, hauptsächlich amerikanische DNS-Provider zur Verfügung.

Geheimnis erstellen

Die Möglichkeit dynamischer Updates von DNS-Zonen wurde 1997 im RFC 2136 [2] beschrieben. Dafür benötigen Client und Server einen gemeinsamen Schlüssel zur Überprüfung der gesendeten Informationen, bevor diese in der Zonendatei landen.

Um Ihren DNS-Server – in diesem Artikel gehen wir davon aus, dass Sie einen BIND-Server betreiben – für die Updates von Certbot vorzubereiten, erstellen Sie zunächst ein entsprechendes Geheimnis. Dieses Geheimnis, auch als "Transaction Signatur" (TSIG) bezeichnet, können Sie

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.