Hallo Leute,
ich bekomme es einfach nicht hin für unsere feste WAN IP die integrierte Zertifizierung einzurichten (sitecare ist aktiv).
Könntet ihr mir da vielleicht weiterhelfen?
Gruß René
TLS-Zertifikat Let's Encrypt für feste WAN IP
-
RB_KAT -
27. März 2020 um 11:29 -
Erledigt
-
hast du diese feste IP auf eine Domäne (z.B. <david>.<eure_domäne.de>) gebunden?
-
Provider Domäne, denn diese wird überprüft. Sie muss dann also über Port 80 von außen auf den Server verweisen.
-
Genau. Bei einer festen externen IP bietet es sich an, für die Subdomain einen A- bzw. AAAA-Record (IPv4/IPv6) anzulegen und diesen auf eure WAN-IP zeigen zu lassen. Zertifikate können nämlich nur für Hostnamen, nicht aber für IP-Adressen ausgestellt werden. Sobald sich die Änderung im DNS herumgesprochen hat (kann ein bisschen dauern), schaust du im David Admin mit dem Verbindungstest, ob der Server über die Subdomain von extern erreichbar ist. Wenn ja (Port 80 muss dazu geöffnet werden), sollte anschließend die Benatragung des Zertifikats aus dem David Admin heraus funktionieren.
-
Hallo,
ganz hilfreiche Tools für einen Test:
Grüße,
Tino
-
Den AAAA Record würd ich weglassen.
-
Hallo Leute,
vielen Dank für eure Hilfe.
Habe am Freitagabend die Subdomain eingerichtet und eben das Lets's Encrypt Zertifikat angefordert.
Leider erhalte ich folgende Fehlermeldung: "Fehler bei Verarbeitung des Auftrags (Failed to validate DNS-records (AAAA), Invalid domain provided)". Hat sich eventuell die Änderung im DNS noch nicht ausreichend rumgesprochen?
Gruß René.
-
Nimm mal wie von Wizzard empfohlen den AAAA-Record ganz raus. Der wird von Let's Encrypt bevorzugt ausgewertet, muss dann aber natürlich auch korrekt durchgeleitet werden. Ich persönlich hab' das mit IPv6 offen gesagt noch nicht hinbekommen. Also: Einfach (für die SUB-Domain!) den AAAA-Eintrag löschen, paar Stunden warten, dann müsste es gehen.
-
Moin alle zusammen,
hab nach gestriger Löschung des AAAA-Record erneut das Zertifikat angefragt.
Nun kommen folgende Fehlermeldungen, obwohl der Port-Test sauber durchläuft...
Hab mich auch schon zum FehlerCode 422 der WebBox belesen.
Liegt es wirklich an Tobit, dass die DNS-Änderung erst nach einigen Tagen bei denen aktualisiert wird, oder liegt es an einer fehlerhaften Konfiguration meinerseits?
Gruß René.
-
Hallo,
prüf nochmal ob Port 80 von Extern auf den David für die Anforderung erlaubt ist.
beim aufruf der Subdomain, wie im Log zu sehen ist werde ich auf eine IP Adresse (welche aber nicht dem nslookup der Subdomain entspricht) weiter geleitet die wieder um mitteilt HTTP 403 Zugriff verweigert.
Wenn nun der zertBot von Lets's Encrypt kommt und das gleiche bekommt wird das nichts.
Grüße
-
Nun ein nslookup auf david.kat-stapelfeld.de ergibt 217.160.0.239
öffne ich die Seite werde ich umgeleitet auf 91.106.135.246
an den Topic Eigentümer:
Etwas mehr info über die Infrastruktur wäre ned schlecht.
Firewall dazwischen
Port weitergeleitet auf david oder über einen Rev. Proxy
-
Dann schau das hier https://www.ssllabs.com/ssltest/index.html von dem B noch weg kommst
-
Leute, ich bin schon froh das ich es zum Laufen bekommen habe
Wie soll ich das jetzt noch auf A kriegen
-
Aktiviere nur TLS 1.2 & 1.3 und verwende folgende Chiffren:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384
-
Hab TLS 1.0 und 1.1 deaktiviert und den o.g. Chiffren verwendet.
Bekomme trotzdem nur ein B
Jetzt mitmachen!
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!