Let's Encrypt DNS-Challenge von anderem Server aus  [GELÖST]

Locked
swoop
Posts: 23
Joined: Fri 3. Dec 2021, 14:26

Let's Encrypt DNS-Challenge von anderem Server aus

Post by swoop »

Hallo alle,

Ich habe einen Reverse Proxy (Nginx Proxy Manager) vor dem KeyHelp-Server, da ich einige andere Dienste per Docker bereitstelle und nicht alles neu machen will.
Bisher, mit iMSCP, habe ich im Bind erlaut, dass der NPM, per RFC2136, Wildcard-Zertifikate bzw. die DNS-Challenge machen darf.
Nun habe ich dasselbe im Keyhelp Bind eingerichtet aber vom NPM aus, bekomme ich ständig eine Fehlermeldung von "nsupdate".

Code: Select all

update failed: REFUSED
oder

Code: Select all

update failed: NOTAUTH
Je nachdem was ich in der Datei "/etc/bind/named.conf.keyhelp" konfiguriere.

Laut div. Anleitungen habe ich folgendes in der "named.conf.keyhelp" konfiguiert:

Code: Select all

zone "domain.tld" IN {
  type "master";
  file "/var/lib/bind/domain.tld.zone";
  allow-transfer { ip-von-NPM; };
  check-names warn;
  update-policy {
    grant letsencrypt_wildcard. name _acme-challenge.domain.tld. txt;
  };
};
ein key-File habe ich auch mit eingebunden:

Code: Select all

key "letsencrypt_wildcard" {
    algorithm hmac-sha512;
    secret "<here is a bunch of letters/digits/etc.>";
};

Das 2. was mir heute aufgefallen ist, da gestern ein Update von KeyHelp installiert wurde, wie kann ich das so konfigurieren, dass es einerseits funktioniert und andererseits beim nächsten Update trotzdem erhalten belibt?

NPM hat die Möglichkeit diese DNS-Challenge-Einstellungen auch per API vorzunehmen, aber leider ist keine entsprechende API auswählbar. Da wäre ISPconfig schon vorhanden.

SG
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Let's Encrypt DNS-Challenge von anderem Server aus

Post by Tobi »

Guck mal bitte in viewtopic.php?t=10307
Dort werden deine Fragen beantwortet.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
swoop
Posts: 23
Joined: Fri 3. Dec 2021, 14:26

Re: Let's Encrypt DNS-Challenge von anderem Server aus

Post by swoop »

Hallo,

danke für die schnelle Antwort.

Ich habe mir den Post durchgelsen und gleich ausprobiert.

Nun habe ich in der "/etc/bind/named.conf.options" folgendes stehen:

Code: Select all

allow-transfer { IP.Adr.essen.srv1; ...; };
allow-update { IP.Adr.essen.srv1; ...; };
Aber ich bekomme trotzdem noch

Code: Select all

update failed: SERVFAIL
per "nsupdate" vom NPM-Server.

Außerdem habe ich in den Logs folgendes gefunden:

Code: Select all

Dec 16 11:22:35 isp named[1953450]: client @0x7facf0021958 ip:v6:ip:add::59#52329: updating zone 'domain.tld/IN': adding an RR at 'test.domain.tld' TXT "hallo"
Dec 16 11:22:35 isp named[1953450]: /etc/bind/keyhelp_domains/domain.tld.jnl: create: permission denied
Dec 16 11:22:35 isp named[1953450]: client @0x7facf0021958 ip:v6:ip:add::59#52329: updating zone 'domain.tld/IN': error: journal open failed: unexpected error
Dec 16 11:22:35 isp kernel: [498911.345313] audit: type=1400 audit(1639650155.855:21): apparmor="DENIED" operation="mknod" profile="named" name="/etc/bind/keyhelp_domains/domain.tld.jnl" pid=1953450 comm="isc-net-0001" requested_mask="c" denied_mask="c" fsuid=106 ouid=106
Dec 16 11:23:12 isp named[1953450]: client @0x7facf983f3e8 ip:v6:ip:add:49d9:ba88:9f76:323b#51929: update 'domain.tld/IN' denied
Wo wird das Updaten der Domain verweigert, das ferstehe ich nicht ganz.

SG
swoop
Posts: 23
Joined: Fri 3. Dec 2021, 14:26

Re: Let's Encrypt DNS-Challenge von anderem Server aus

Post by swoop »

Hallo,

ich habe nun die Konfiguration nochmal angeschaut und festgestellt, dass ich die "apparmor"-Konfig vergessen bzw. übersehen habe.
Das habe ich jetzt nachgeholt und laut Log am KeyHelp-Server ist auch alles OK aber die hinzugefügten Einträge sind aber nicht präsent.

Code: Select all

Dec 18 20:03:19 isp named[514]: client @0x7f04a0087de8 IP:v6:vom:NPM:fe72:d6b#54402: updating zone 'domain.tld/IN': adding an RR at 'test.domain.tld' TXT "hallo"
Dec 18 20:03:19 isp named[514]: zone domain.tld/IN: sending notifies (serial 2021121105)
Wenn ich jetzt per "nslookup" auf dem KeyHelp-Server diesen Eintrag abfrage kommt folgendes:

Code: Select all

root@isp:~# nslookup
> server localhost
Default server: localhost
Address: ::1#53
Default server: localhost
Address: 127.0.0.1#53
> test.domain.tld
Server:         localhost
Address:        ::1#53

*** Can't find test.domain.tld: No answer
> set q=txt
> domain.tld
Server:         localhost
Address:        ::1#53

domain.tld       text = "v=spf1 a mx -all"
>
Habe ich da was vergessen?

Ich hab grad rausgefunden, dass in der Zonendatei der Eintrag vorhanden ist.

SG
swoop
Posts: 23
Joined: Fri 3. Dec 2021, 14:26

Re: Let's Encrypt DNS-Challenge von anderem Server aus  [GELÖST]

Post by swoop »

Hallo,

ich darf mir jetzt mal selber antworten. ;)
Zuerst, jetzt funktioniert es. :D :D

gefehlt hat noch der Eintrag

Code: Select all

query { any; };
in der named.conf.options

Dann hats funktionert.

Danke

SG
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: Let's Encrypt DNS-Challenge von anderem Server aus

Post by MLan »

swoop wrote: Sat 18. Dec 2021, 21:25 Hallo,

ich darf mir jetzt mal selber antworten. ;)
Zuerst, jetzt funktioniert es. :D :D

gefehlt hat noch der Eintrag

Code: Select all

query { any; };
in der named.conf.options

Dann hats funktionert.

Danke

SG
Super Sache.
Endlich mal ein User der ein Problem allein lösen kann und die Lösung auch noch postet. :twisted: 8-)
Und wenn du jetzt noch deinen letzten Beitrag als Lösung markieren könntest...

Gruß MLan
Locked