TLS-Zertifikat Let's Encrypt für feste WAN IP

  • Hallo Leute,


    ich bekomme es einfach nicht hin für unsere feste WAN IP die integrierte Zertifizierung einzurichten (sitecare ist aktiv).

    Könntet ihr mir da vielleicht weiterhelfen?


    Gruß René

  • Genau. Bei einer festen externen IP bietet es sich an, für die Subdomain einen A- bzw. AAAA-Record (IPv4/IPv6) anzulegen und diesen auf eure WAN-IP zeigen zu lassen. Zertifikate können nämlich nur für Hostnamen, nicht aber für IP-Adressen ausgestellt werden. Sobald sich die Änderung im DNS herumgesprochen hat (kann ein bisschen dauern), schaust du im David Admin mit dem Verbindungstest, ob der Server über die Subdomain von extern erreichbar ist. Wenn ja (Port 80 muss dazu geöffnet werden), sollte anschließend die Benatragung des Zertifikats aus dem David Admin heraus funktionieren.

  • Hallo Leute,


    vielen Dank für eure Hilfe.

    Habe am Freitagabend die Subdomain eingerichtet und eben das Lets's Encrypt Zertifikat angefordert.

    Leider erhalte ich folgende Fehlermeldung: "Fehler bei Verarbeitung des Auftrags (Failed to validate DNS-records (AAAA), Invalid domain provided)". Hat sich eventuell die Änderung im DNS noch nicht ausreichend rumgesprochen?



    Gruß René.

  • Nimm mal wie von Wizzard empfohlen den AAAA-Record ganz raus. Der wird von Let's Encrypt bevorzugt ausgewertet, muss dann aber natürlich auch korrekt durchgeleitet werden. Ich persönlich hab' das mit IPv6 offen gesagt noch nicht hinbekommen. Also: Einfach (für die SUB-Domain!) den AAAA-Eintrag löschen, paar Stunden warten, dann müsste es gehen.

  • Moin alle zusammen,


    hab nach gestriger Löschung des AAAA-Record erneut das Zertifikat angefragt.

    Nun kommen folgende Fehlermeldungen, obwohl der Port-Test sauber durchläuft...





    Hab mich auch schon zum FehlerCode 422 der WebBox belesen.

    Liegt es wirklich an Tobit, dass die DNS-Änderung erst nach einigen Tagen bei denen aktualisiert wird, oder liegt es an einer fehlerhaften Konfiguration meinerseits?


    Gruß René.

  • Hallo,

    prüf nochmal ob Port 80 von Extern auf den David für die Anforderung erlaubt ist.


    beim aufruf der Subdomain, wie im Log zu sehen ist werde ich auf eine IP Adresse (welche aber nicht dem nslookup der Subdomain entspricht) weiter geleitet die wieder um mitteilt HTTP 403 Zugriff verweigert.


    Wenn nun der zertBot von Lets's Encrypt kommt und das gleiche bekommt wird das nichts.


    Grüße

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos XGS /Reverse Proxy(WAF) - NoSpamProxy Mail Security

    Einmal editiert, zuletzt von BlackShadow ()

  • Also wenn ich von extern im Browser die Subdomain eingebe, werde ich von der WebBox aufgefordert Benutzernamen und Kennwort einzugeben. Somit sollte doch der Port 80 frei sein. Oder nicht?

  • Nun ein nslookup auf david.kat-stapelfeld.de ergibt 217.160.0.239

    öffne ich die Seite werde ich umgeleitet auf 91.106.135.246



    an den Topic Eigentümer:

    Etwas mehr info über die Infrastruktur wäre ned schlecht.


    Firewall dazwischen

    Port weitergeleitet auf david oder über einen Rev. Proxy

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos XGS /Reverse Proxy(WAF) - NoSpamProxy Mail Security

  • So, hab jetzt mal die DNS der Subdomain zurückgesetzt und den A-Record manuell vergeben.

    Nun hat es funktioniert.
    Die IP 217.160.0.239 wurde von IONOS als A-Record angelegt, wieso auch immer.

  • Aktiviere nur TLS 1.2 & 1.3 und verwende folgende Chiffren:


    ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!