Hallo zusammen,
ich habe gestern versucht auf der OPNSense mittels des ACME-Plugin ein Let’s Encrypt Zertifikat mittels DNS-01 Challenge und einer eigenen Domain von ipv64 einzurichten.
Es wird auch ein ACME Eintrag im TXT format angezeigt, leider aber nicht verifiziert, sodass das Let’s Encrypt Zertifikat ausgeatellt werden kann.
Wenn ich den selben Schritt aber mit einer DynDNS Adresse von ipv64 mache, dann funktioniet alles reibungslos.
Erst im laufe des Tages kann ich nähere Angaben zu der „Fehlermeldung“ machen.
Sofern aber jemand eine Idee hat, wäre ich dafür sehr dankbar.
Und natürkich einen guten Start ins neue Jahr
Servus,
ja habe ich. Nur eben anstatt dem HTTP eben die DNS-01 challenge.
Also ich habe eben noch mal nachgeschaut.
Wenn ich eine eigene Domain anlege, dann habe ich eine Fehlermeldung beim NS record.
NS BAD - NS are not set correctly (May take 48 hours)
Meine Frage: Muss ich den Record selbst anlegen oder dauert es wirklich bis zu 48h bis sich das erledigt hat?
So wie es scheint ist aber auf der OPNSense alles richtig konfiguriert. In den Logs beim ACME Plugin steht nur, dass ich auf folgende Seite verwiesen werde:
https://curl.haxx.se/libcurl/c/libcurl-errors.html
Mit dem ErrorCode 28.
Also es funktioniert nur mit der eigenen Domain nicht, die gekauft wurde.
Vielleicht hat jemand einen Tipp?
Du hast aber bei deiner Domain beim Hoster die NS Einträge auf die für IPv64 gestellt?
Ich glaube irgendwo ist ein Denkfehler…
IPv64 Account Upgrade - > eigene Domain erstellt - > verweißt auf IP Adresse der FW - >
Wenn ich nun das ACME Plugin einstelle, kommt der besagte Fehler.
Wenn ich aber eine DynDNS Adresse nehme wie z. b.
Test.ipv64.de - > verweißt auf die IP Adresse der FW
Und ich nun das ACME Plugin einstelle, dann funktioniert alles.
Und jetzt kommt wahrscheinlich der Denkfehler.
-
Wieso muss ich jetzt noch mal bei einem anderen Anbieter (welcher gar nicht existiert) NS Eintrage auf die von ipv64 anlegen?
-
Um weitere lokale Dienste auch mit dem Zertifikat auszustatten, reicht dafur nicht die test.ipv64.de Adresse aus, oder muss es eine eigene Domain sein? Oder gibt es hierbei einen Unterschied zwischen „AccessPoint.eigeneDomain.de“ und „AccessPoint.test.ipv64.de“?
Stehe doch etwss aufm Schlauch.
Vielen Dank im Voraus!
Ich ergänze das mal.
Domain irgendwo kaufen - > Domain bei diesem Anbieter Einstellen (NS Records auf IPv64.net setzen) - > IPv64.net Account registrieren - > IPv64 Account Upgrade - > eigene Domain erstellt - > verweißt auf IP Adresse der FW
IPv64 ist kein Registrar.
IPv64 bietet nur den DNS Dienst an.
Okay, soweit alles verstanden. Jetzt ergibt es auch Sinn.
Zum Verstandnis:
Was spricht dafür, dass ein externer DNS Anbieter genommen wird? Und nicht die Verwaltung der Domäne durch den Registrar stattfindet?
Vielen Dank für das Licht am Fahrrad
Nix. Du kannst doch dein DNS Verwaltung wo du willst.
IPv64 ist doch nur eine Wahl. Andere können sicherlich die DNS-Challenge über API auch. IPv64 hat halt den Vorteile von diesem ganzen DynDNS geraffel.
DNS-Challenge kann eben auch Wildcard Zertifikate ausstellen und braucht auch keinen Port 80.
Okay, also Domain registriert und ns1.ipv64.net und ns2.ipv64.net alsNS hinzugefügt. Das hat funktioniert.
Beim ACME plugin wurde das Zertifikat signiert und hat gepasst.
Die OPNSense ist leider noch nicht ubter der neuen Adresse erreichbar und die nach wie vor sag ipv64 beim NS Check "NS are not set correctly). Vielleicht dauert es einfach noch ein paar stunden?
Bei IPv64 wird die Domain ganz normal als A record angelegt und die Destination ist die öffentliche IP Adresse, richtig?
Mehr muss doch erst mal nicht angelegt werden?
Und ich frage nur vorsichtig… Du bist auch über diese IP erreichbar?
Kein CG-NAT Schrott oder so?
Den DNS Server kannst ja überprüfen mit „nslookup domain.de“
Jup, kein CGNat, vorher mit der HTTP-01 Challenge hat ja allea funktioniert.
Aber nslookup auf die domain kommt das richtige?
Nslookup „meine domain“
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: „meine domain“
Address: meine öffentloche IP
Der NS Check sagt nach wie vor, NS are not set correctly.
ACME plugin auf der OPNSense hat das Zertifikat ausgestellt, das passt.
Unter system - Administration ist das SSL Zertifikat ausgewählt
Und bei dem Provider wo du die Domain hast, hast du die NS Einträge auf ns1.ipv64.net ns2.ipv64.net gesetzt?
Wenn ja, dann gut, musst du leider abwarten, aber dein Domainprovider ist Müll.
Genau,
ja ob das jetzf soweit ist oder in einem tag, also dann dauett es wirklich bis zu 48h?
Wie kann denn aber vorher dann schon das Zertifikat durch Let’s encrypt ausgestellt werden?
So, mal als Update:
Hat natürlich alles geklappt.
Aber bis man das alles versteht, ui ui ui.
Auf jeden Fall Danke für die Hilfe (y)